Szexuális és egészségügyi adatokat tárolhatott jogellenesen egy német fizetési app

Egy osztrák nem kormányzati szervezet (NGO) segítségét kérte az a nő, akinek egy német pénzfizetési alkalmazás vélhetően jogellenesen kezelte a személyes adatait. A kérelmező a European Center for Digital Rights (digitális jogok európai központja, Noyb) segítségével perelte be a Giropayt, amely hozzájárulása nélkül regisztrálta és tárolta az összes vásárlását, beleérte azokat is, amelyeket a hölgy gyógyszertárakban, szexboltokban bonyolított. A Giropay ezzel a gyakorlattal potenciálisan az Európai Unió általános adatvédelmi rendeletét (General Data Protection Regulation, GDPR) sérthette meg.

A Giropay egy online bankoláson alapuló internetes fizetési rendszert működtet, használatával a felhasználó közvetlen online átutalásokat teljesíthet bankszámlájáról; alapítói között a Deutsche Postbank is megtalálható. 

A hölgy a szolgáltatást rendszeresen használta, segítségével

Egészen addig, amíg észre nem vette, hogy a program részletesen, tételesen regisztrálja azokat a termékeket, amelyeket a rendszer használatának segítségével vásárolt. Mindez azért is volt kifejezetten váratlan a felhasználó számára, mert 2017-ben, amikor a szolgáltatást elkezdte igénybe venni, még nem volt jele ennek. 

Ekkoriban az applikáció ugyanis csak olyan általános információkat regisztrált a vásárlásokról, mint azok dátuma, értéke vagy annak a kereskedőnek az azonosítója, akitől vásárolta az adott termékeket. A változás a jelek szerint a háttérben, vagyis a felhasználók tudomása nélkül zajlott le – vagyis a frissítést követően a felhasználók nem kaptak értesítést erről, de Giropay

Amikor a hölgy a Giropayhez fordult, és magyarázatot követelt, a szolgáltató kijelentette, hogy ő nem felelős ezeknek az adatoknak a kezeléséért. Felelősségét azzal hárította, hogy ő csak tárolja és feldolgozza a vásárlási adatokat, s hogy valójában a boltok adatfeldolgozó algoritmusa szerint dől el, hogy milyen adatok jutnak el a Giropayhez. Elmondta azt is, hogy hogy ezeket az adatokat azért is tárolják ilyen részletesen, hogy a fogyasztó utólag meg tudjon győződni arról, hogy rendelése szándékának megfelelően bonyolódott-e le.

 A GDPR szerint azonban más a helyzet. Az olyan érzékeny információkra vonatkozóan, mint például a szexuális élet vagy az egészségügyi állapot, sokkal szigorúbb szabályok vonatkoznak. Emellett ott van például az a szabály is, amely előírja, hogy az adatkezelők csak a transzakció lebonyolításához legszükségesebb adatokat kezelhetik.

Kép: Silas Stein / DPA / dpa Picture-Alliance via AFP

Dobozi Gergely