Miért minősült a GDPR megsértésének az adatgyűjtés?

Az alkalmazások a szolgáltatáshoz való hozzáférés kötelező feltételévé tették az invaszív eszközszintű nyomon követést, ami azt jelenti, hogy a felhasználóknak gyakorlatilag nem volt más választásuk, mint elfogadni a megfigyelést – ez pedig megbukik a GDPR 7. cikkének azon követelményén, hogy a hozzájárulásnak önkéntesnek kell lennie.

Hogyan indokolták a bankok adatgyűjtési gyakorlatukat?

A bankok az invaszív megfigyelési intézkedéseket csalásmegelőzési eszközökként indokolták, bár a Garante megállapította, hogy ez nem mentesíti őket a hozzájárulás megszerzésének kényszeres módja alól.

Mit jelent ez az ítélet az Európában működő többi pénzintézet számára?

Az ítélet közvetlen figyelmeztetésként szolgál az európai pénzintézetek számára, és erős ösztönzőt teremt arra, hogy átvilágítsák mobiltermékeiken belüli hozzájárulási folyamataikat a GDPR-nak való megfelelés biztosítása érdekében.

Olaszország Garante hatósága 12,5 millió eurós bírságot szabott ki banki alkalmazásokra kényszerített eszközfelügyelet miatt

Q: Mekkora bírságot szabott ki a Garante a banki alkalmazás szolgáltatóira?

A Garante összesen 12,5 millió eurós bírságot szabott ki a két banki alkalmazás szolgáltatójára, amelyek invaszív eszközfigyelő eszközöket ágyaztak be alkalmazásaikba.

Q: Milyen típusú eszközfigyelésre voltak képesek ezek a banki alkalmazások?

A megfigyelés magában foglalhatta a telepített alkalmazások vizsgálatát, az eszközazonosítók olvasását, a viselkedési minták nyomon követését és hardveres szintű jelek gyűjtését.

Olaszország Garante hatósága 12,5 millió eurós bírságot szabott ki banki alkalmazásokra kényszerített eszközfelügyelet miatt

Az olasz adatvédelmi hatóság, a Garante, összesen 12,5 millió eurós bírságot szabott ki két banki alkalmazás szolgáltatójára, amelyek invaszív eszközfigyelő eszközöket ágyaztak be alkalmazásaikba. A jogsértés lényege nem csupán az volt, hogy ezek az alkalmazások mit gyűjtöttek, hanem az is, hogyan tették ezt: a felhasználókat gyakorlatilag arra kényszerítették, hogy a saját bankszámlájukhoz való hozzáférés feltételeként fogadják el a megfigyelést. Ez a banki alkalmazásokkal kapcsolatos eszközfelügyeleti adatvédelmi ügy egyértelmű jelzést küld a pénzügyi szektornak, hogy az uniós adatvédelmi jog szerint a kényszeres hozzájárulás egyáltalán nem minősül hozzájárulásnak.

Hogyan figyelték a banki alkalmazások a felhasználók eszközeit valódi hozzájárulás nélkül

A két vállalat közvetlenül a banki alkalmazások architektúrájába ágyazta be a megfigyelési képességeket. Ahelyett, hogy opcionális, egyértelműen magyarázott adatgyűjtést kínáltak volna, az alkalmazások az invaszív eszközszintű nyomon követést a szolgáltatás használatának előfeltételévé tették. Ez azt jelenti, hogy bármely felhasználónak, aki egyenlegét kívánta ellenőrizni, pénzt utalni vagy kezelni a számláját, gyakorlatilag nem volt más választása, mint engedélyezni az alkalmazásnak az eszközének megfigyelését.

Az ilyen típusú megfigyelés magában foglalhatja a telepített alkalmazások vizsgálatát, az eszközazonosítók olvasását, a viselkedési minták nyomon követését és hardveres szintű jelek gyűjtését. Bár a bankok ezeket az intézkedéseket gyakran csalásmegelőzési eszközként indokolják, az általános adatvédelmi rendelet (GDPR) szempontjából rendkívül fontos a módszer. Az olyan körülmények között megszerzett hozzájárulás, amikor a visszautasítás egy alapvető szolgáltatáshoz való hozzáférés elvesztését jelenti, nem tekinthető önkéntesnek. A Garante megállapította, hogy a vállalatok átlépték ezt a határt, és a 12,5 millió eurós bírság tükrözi, milyen komolyan ítélik meg a szabályozók ezt a gyakorlatot.

Mit árul el a 12,5 millió eurós bírság a kényszeres hozzájárulásról és a GDPR korlátairól

A GDPR 7. cikke megköveteli, hogy a hozzájárulás önkéntes, konkrét, tájékozott és egyértelmű legyen. Amikor egy banki alkalmazás az adatgyűjtést a szolgáltatáshoz való hozzáféréshez köti, az eleve megbukik az „önkéntes" teszten. Az európai szabályozók egyre következetesebbek ebben a kérdésben: a kötegelt hozzájárulás, amelynél a felhasználóknak vagy el kell fogadniuk az összes adatfeldolgozást, vagy semmit sem kapnak, jogellenes.

A Garante döntésével Olaszország felkerül azon uniós joghatóságok egyre bővülő listájára, amelyek aktívan érvényesítik ezt az értelmezést. A pénzügyi szolgáltatási szektor hagyományosan abból a feltételezésből indult ki, hogy a csalásmegelőzés széles körű adatgyűjtést indokol. Ez az ítélet megkérdőjelezi ezt a feltételezést. Különbséget tesz a szolgáltatás nyújtásához szigorúan szükséges biztonsági intézkedések és azok között, amelyek ennél tovább mennek, olyan célokra gyűjtve adatokat, amelyekbe a felhasználók érdemben nem egyeztek bele.

Az Európában működő pénzintézetek számára ez az ügy közvetlen figyelmeztetés. A 12,5 millió eurós büntetés és a hírnévkárosodás kombinációja valós ösztönzőt teremt arra, hogy átvilágítsák a mobiltermékeiken belüli hozzájárulási folyamatokat. A felhasználók számára emlékeztető, hogy a banki alkalmazásokon megjelenő engedélykérő képernyő sokkal nagyobb figyelmet érdemel, mint amennyit a legtöbben szentelnek neki.

Milyen adatokat gyűjtöttek, és ki van veszélynek kitéve

Az invaszív banki alkalmazás-megfigyelő eszközök által rögzített konkrét adatpontok jellemzően messze túlmutatnak azon, ami a személyazonosság ellenőrzéséhez vagy a csalás felismeréséhez szükséges. Az eszközujjlenyomat-vétel például feltárhatja a telefonon telepített alkalmazások teljes listáját, a használat gyakoriságát, az egyedi hardverazonosítókat, a hálózati környezetet és a helymeghatározási jeleket. Ez az idő múlásával összesített információ részletes viselkedési profilt hoz létre, amelynek értéke messze meghaladja bármely egyszeri bejelentkezési eseményét.

A legnagyobb kockázatnak kitett személyek nem csupán a két megbírságolt vállalat ügyfelei. Minden olyan banki alkalmazás felhasználójának, amely az alapvető funkciókon túl is engedélyeket kér, mérlegelnie kell a következményeket. Ez különösen releváns azok számára, akik utazás közben veszik igénybe a pénzügyi szolgáltatásokat, ahol ismeretlen hálózatokon keresztül csatlakozhatnak, és kevesebb ellenőrzésük van a környezetük felett. A Garante határozata Olaszországra vonatkozik, de a szóban forgó alkalmazásoknak a tágabb régióban is lehettek felhasználói, beleértve az olyan szomszédos miniállamokat is, mint San Marino, amely az olasz szabályozási körön belül helyezkedik el, annak ellenére, hogy nem uniós tag. Ha rendszeresen átlép határokat a régióban, vagy olasz banki szolgáltatásokat vesz igénybe, fontos megérteni a kockázati kitettségét. A San Marinóhoz legjobb VPN útmutatónk hasznos kiindulópontot kínál az Európa e szegletében való védelem átgondolásához.

Hogyan csökkenthetik a VPN-ek és az adatvédelmi eszközök az invaszív banki alkalmazásokból eredő kitettséget

Egyetlen eszköz sem küszöböli ki teljesen az olyan alkalmazás által jelentett kockázatot, amelynek már megadták az eszközszintű engedélyeket. Ha telepített egy banki alkalmazást és elfogadta a feltételeit, az általa végzett megfigyelés magán az alkalmazáson belül történik, nem hálózati szinten. Ennek ellenére az adatvédelmi eszközök még mindig fontos kiegészítő szerepet játszanak.

A VPN titkosítja az eszköze és az internet közötti forgalmat, megakadályozva, hogy az internetszolgáltató, a hálózatüzemeltetők és a potenciális lehallgatók lássák a banki tevékenységét átvitel közben. Ez különösen fontos, ha nyilvános Wi-Fi-t használ szállodákban, kávézókban vagy repülőtereken, ahol nagyobb a forgalom lehallgatásának kockázata. A VPN nem akadályozza meg az alkalmazást abban, hogy olvassa az eszközön telepített alkalmazások listáját, de megvédi a hálózaton keresztül az eszközről küldött adatokat.

A VPN-eken túl a felhasználók csökkenthetik kitettségüket azzal, hogy telepítés előtt átnézik az alkalmazásengedélyeket, megtagadják az aránytalannak tűnő engedélyeket a kínált szolgáltatáshoz képest, és ahol lehetséges, külön eszközöket vagy homokozóba zárt környezeteket használnak az érzékeny pénzügyi alkalmazásokhoz. Egyes mobil operációs rendszerek mostanra engedélykezelő irányítópultokat kínálnak, amelyek megmutatják, hogy egy alkalmazás milyen gyakran fér hozzá adott adattípusokhoz – ez hasznos ellenőrzési eszköz.

Mindazok számára, akik Olaszországon vagy a környező régión utaznak át, és külföldön banki alkalmazásokra támaszkodnak, a megbízható VPN kombinálása gondos engedélykezeléssel praktikus kiindulási alapot jelent. A Garante végrehajtási intézkedése azt mutatja, hogy a szabályozók odafigyelnek, de a szabályozói bírságok a kár megtörténte után érkeznek. A személyes éberség marad az első védelmi vonal.

Mit jelent ez az Ön számára

A két banki alkalmazás szolgáltatójára kiszabott 12,5 millió eurós bírság nem csupán egy megfelelőségi történet. Szemléletes illusztrációja annak, hogyan léphetik túl csendesen a pénzügyi alkalmazások azt a határt, amelybe a felhasználók valójában beleegyeztek, és hogyan hajlandók egyre inkább cselekedni a szabályozók. Íme a legfontosabb tanulságok:

Rendszeresen ellenőrizze az alkalmazásengedélyeket. Amikor telepít vagy frissít egy banki alkalmazást, ellenőrizze, mihez kér hozzáférést. Kérdőjelezze meg a banki funkciókhoz nem kapcsolódónak tűnő engedélyeket.
Kezelje szkepticizmussal az „összes elfogadása" felszólításokat. Ha egy szolgáltatás az adatgyűjtés széles körű elfogadását teszi a hozzáférés feltételévé, az olyan piros zászló, amelyet érdemes megvizsgálni, mielőtt az „elfogadom" gombra kattint.
Használjon VPN-t nyilvános vagy ismeretlen hálózatokon. A forgalom titkosítása védelmi réteget ad, amely kiegészíti az egyéb adatvédelmi szokásokat, különösen utazáskor.
Maradjon tájékozott a szabályozói intézkedésekről. Az ehhez hasonló végrehajtási döntések gyakran megnevezik a szankcionált gyakorlatok típusait, ami segít felismerni a hasonló mintákat az Ön által használt más alkalmazásokban.

A Garante határozata lépés az elszámoltathatóság felé a pénzügyi alkalmazások ökoszisztémájában. Annak megértése, mi történt és miért, megadja Önnek azt a tudást, amellyel jobb döntéseket hozhat a legérzékenyebb pénzügyi adataival megbízott alkalmazásokról.

Olaszország Garante hatósága 12,5 millió eurós bírságot szabott ki banki alkalmazásokra kényszerített eszközfelügyelet miatt

Hogyan figyelték a banki alkalmazások a felhasználók eszközeit valódi hozzájárulás nélkül

Mit árul el a 12,5 millió eurós bírság a kényszeres hozzájárulásról és a GDPR korlátairól

Milyen adatokat gyűjtöttek, és ki van veszélynek kitéve

Hogyan csökkenthetik a VPN-ek és az adatvédelmi eszközök az invaszív banki alkalmazásokból eredő kitettséget

Mit jelent ez az Ön számára

// GYIK

// Kapcsolódó