Több mint 12,5 millió eurós bírságot szabott ki az olasz adatvédelmi hatóság a Poste Italiane csoportra és annak kártyás fizetési üzletágára, a Postepayre. A döntés szerint a cégek több millió felhasználó személyes adatát jogellenesen kezelték, miközben a vizsgált mobilalkalmazások egyes funkciói a hatóság szerint túlzottan beavatkoztak az ügyfelek készülékeibe. 

A Poste italiane komoly bírságot kapott az adatkezelési hiányosságai maitt. Forrás: Unsplash

Több millió ügyfél adatkezelése miatt jött a bírság

Az olasz adatvédelmi hatóság hétfőn jelentette be, hogy összesen több mint 12,5 millió eurós bírságot szab ki a Poste Italiane-re és a Postepayre. A hatóság indoklása szerint a cégek több millió felhasználó személyes adatát jogellenesen kezelték. A Poste Italiane pedig ma már nemcsak hagyományos postai szolgáltatásokat nyújt, hanem pénzügyi és fizetési szolgáltatásokat is kínál, ezért az ügy egyszerre érinti a digitális ügyfélkezelést és a pénzügyi szolgáltatási szektort is – jelent meg a bírásgról szóló hír a Reuters oldalán.

Cikkbe ágyazott natív hirdetés · 640×250

A mobilappok egyes funkcióit találta túlzottan beavatkozónak a hatóság

Az olasz watchdog szerint a Poste mobilalkalmazásainak bizonyos funkciói, amelyeket a rosszindulatú szoftverek azonosítására használtak, a szükségesnél nagyobb mértékben avatkoztak be a felhasználók készülékeibe. A hatóság álláspontja szerint ezek a megoldások nem voltak szigorúan szükségesek a csalásmegelőzéshez. 

A döntés egyik kulcspontja tehát az volt, hogy a csalás elleni védekezés és az adatminimalizálás elve között hol húzódik a jogszerű határ. A hatóság szerint a gyakorlat ezt a határt átlépte.

A bírság egyébként nem igazán jött jókor az olasz postának. Márciusban írtunk arról, hogy az olasz gazdaság egyik legnagyobb idei üzlete készül. A Poste Italiane 10,8 milliárd eurós ajánlatot tett a Telecom Italia felvásárlására. Ha az ügylet megvalósul, egy több mint 150 ezer embert foglalkoztató, hatalmas bevételű csoport jöhet létre.

Több adatvédelmi hiányosságot is megállapítottak

A hatóság több különálló adatvédelmi jogsértést is azonosított. Ezek között szerepelt a felhasználók nem megfelelő tájékoztatása. Valamint az is probléma volt, hogy nem készült megfelelő adatvédelmi hatásvizsgálat. 

Ez azért lényeges, mert az ilyen hatásvizsgálat a GDPR-logika szerint különösen akkor fontos, ha egy szolgáltató nagy tömegben kezel személyes adatokat. De az olyan technikai megoldásoknál is, amelyek érdemben befolyásolják a felhasználók magánszféráját akkor is szükség van erre az eljárásra.

A Poste Italiane visszautasította a vádakat

A Poste Italiane közleményben utasította vissza a hatóság megállapításait. A vállalat azt közölte, hogy minden vádat elutasít, és ismételten hangsúlyozta eljárásának helyességét és átláthatóságát.  A cég azt állította, hogy az ügyfelek készülékeiből csak technikai adatokat értek el jogszerűen. Mindezt a fizetési szolgáltatásokra vonatkozó szabályokkal összhangban voltak. Ezt kizárólag csalásellenes és rosszindulatú szoftverek elleni védelmi célból tette. 

Érzékeny ügy lehet a digitális pénzügyi szolgáltatóknak is

Az ügy azért is figyelemre méltó, mert jól mutatja, mekkora kockázatot jelenthet, ha egy pénzügyi vagy fizetési szolgáltató a biztonsági indokokra hivatkozva a szükségesnél nagyobb körben fér hozzá ügyfél eszközeinek technikai adataihoz. A mostani döntés a Poste Italiane számárapénzügyi büntetést és reputációvesztést is jelent. Komoly jelzés lehet más európai szolgáltatóknak is arra, hogy az adatvédelmi hatóságok a csalásmegelőzési célból alkalmazott digitális eszközöket is szigorúan vizsgálják.

Jelen írás kizárólag tájékoztatási célt szolgál. A cikkben megjelenő információk nyilvánosak és mindenki számára elérhető adatok alapján kerültek felhasználásra.

Címlapkép forrása: Poste Italiane