Berta Sándor
Jogellenesen tárolnak több millió banki adatot
Az NDR Info című műsor szerkesztői kiderítették, hogy az EC Eurocheque rendszerű betéti kártyák tulajdonosainak személyes és banki adatait anélkül tárolta az Easycash nevű cég, hogy arra bármilyen engedélye lett volna.
Az Easycash azért hozta létre illegális adatbázisát, hogy bármikor nyilatkozhasson egy banki ügyfél fizetőképességéről, pénzügyi viszonyairól. Az információkat az emberek tudta és hozzájárulása nélkül gyűjtötték össze. Számos németországi tartomány adatvédelmi biztosa aggodalmait fejezte ki a jogsértő eljárás miatt. Az adatokat másodpercek alatt megszerezték, elég volt, ha az egyik kártyatulajdonos egy szupermarket pénztáránál használta a plasztikazonosítót.
A legtöbb ember örül a bankkártyás fizetésnek, hiszen gyors, rugalmas ügyintézést tesz lehetővé és nem kell magával vinnie pénztárcát. Azt viszont csak nagyon kevesen tudják, hogy egy tranzakció során mi zajlik a háttérben. A rendszer mielőtt leveszi az összeget a bankkártyáról, továbbítja az egyes információkat (név, kártyaszám stb.) egy EC-hálózati üzemeltetőnek. Az ottani szoftver a másodperc törtrésze alatt azonosítja az illetőt és engedélyezi vagy megtagadja a pénz átutalását. A rendszer ezután meghatározza, hogy az adott személynek a négy számjegyű PIN-kódja vagy egy másik eljárás segítségével kell-e magát azonosítania.
A legtöbb ügyfélnek ez már teljesen mindegy, de a pénzintézeteknek nem. A PIN-kóddal hitelesített fizetés ugyanis többe kerül, általában az összeg 0,3 százaléka, de minimum 8 eurócent vándorol át a bank számlájára. Éves viszonylatban több millió euróról van szó. Sok áruházlánc pont ezért választ más hitelesítő eljárásokat. Az Easycash egy ilyen EC-hálózati üzemeltető cég, amely az évek alatt több millió adatot szerzett meg illegálisan. A vállalat saját honlapján hirdeti büszkén, hogy: "az adatbázisunk havi 21,7 millió banki kapcsolat és összesen 50 millió ismert banki adatkapcsolat információt tartalmazza."
A probléma az, hogy nem csak a folyószámla- vagy a bankkártyaszámokat tárolták el, hanem azt is, hogy ki, mikor, hol és mekkora összeget vásárolt. Ezekre az adatokra az indoklás szerint azért van szükség, mert a cég ezekből nyeri ki a vásárlói szokások feltérképezéséhez szükséges információkat és képes megmondani, hogy ki mennyire fizetőképes.
Az Easycashnek 92 000 szerződéses partnercége van, de mindegyik engedélyezi az ügyféladatok gyűjtését és tárolását. A vállalkozás eljárása jóval túlmegy a megszokott gyakorlaton, mivel egyrészt túl hosszú ideig őrzi meg az adatokat, másrészt az embereket szétválasztja aszerint, hogy jó vagy kevésbé jó ügyfelek-e. Utóbbi csoportba tartoznak az alacsony fizetéssel rendelkezők és a kevés pénzért vásárolók. A kártyatulajdonosok gyakorlatilag vagy semmit sem vesznek észre az egészből, vagy tehetetlenek.
Az ügyben csak az újságírók fellépése után indult vizsgálat. Az észak-rajna-vesztfáliai adatvédelmi felügyelet azonnal felszólította az Easycash vezetőit, hogy hozzák nyilvánosságra, milyen adatfeldolgozási gyakorlatot alkalmaznak. Problémát okoz ugyanakkor, hogy a terület nincs megfelelően szabályozva, így nincs tisztázva, melyik EC-hálózati üzemeltető mennyi információt tárolhat az ügyfeleiről. Egy kereskedelmi üzletlánc ugyanakkor azonnal jelezte, hogy felfüggeszti, és a jövőben nem fogadja el áruházai pénztárainál az EC-kártyás fizetéseket. Később ugyan visszavonták a döntést, de az adatok már nem kerülhetnek át az Easycash rendszerébe. A társaság szóvivője ezt azzal indokolta, hogy "számos kérdés tisztázatlan".
A cég ugyanakkor semmi kivetnivalót nem lát adatgyűjtési gyakorlatában és egy nyolc éves állásfoglalásra hivatkoznak, amely engedélyezte számukra az információk gyűjtését és hosszú távú megőrzését. Nem ez az első probléma az EC-kártyákkal. Idén januárban derült ki, hogy az un. 2010-es hiba miatt átmenetileg használhatatlanná vált 30 millió bankkártya, igaz a problémát később sikerült megoldani.
Az Easycash azért hozta létre illegális adatbázisát, hogy bármikor nyilatkozhasson egy banki ügyfél fizetőképességéről, pénzügyi viszonyairól. Az információkat az emberek tudta és hozzájárulása nélkül gyűjtötték össze. Számos németországi tartomány adatvédelmi biztosa aggodalmait fejezte ki a jogsértő eljárás miatt. Az adatokat másodpercek alatt megszerezték, elég volt, ha az egyik kártyatulajdonos egy szupermarket pénztáránál használta a plasztikazonosítót.
A legtöbb ember örül a bankkártyás fizetésnek, hiszen gyors, rugalmas ügyintézést tesz lehetővé és nem kell magával vinnie pénztárcát. Azt viszont csak nagyon kevesen tudják, hogy egy tranzakció során mi zajlik a háttérben. A rendszer mielőtt leveszi az összeget a bankkártyáról, továbbítja az egyes információkat (név, kártyaszám stb.) egy EC-hálózati üzemeltetőnek. Az ottani szoftver a másodperc törtrésze alatt azonosítja az illetőt és engedélyezi vagy megtagadja a pénz átutalását. A rendszer ezután meghatározza, hogy az adott személynek a négy számjegyű PIN-kódja vagy egy másik eljárás segítségével kell-e magát azonosítania.
A legtöbb ügyfélnek ez már teljesen mindegy, de a pénzintézeteknek nem. A PIN-kóddal hitelesített fizetés ugyanis többe kerül, általában az összeg 0,3 százaléka, de minimum 8 eurócent vándorol át a bank számlájára. Éves viszonylatban több millió euróról van szó. Sok áruházlánc pont ezért választ más hitelesítő eljárásokat. Az Easycash egy ilyen EC-hálózati üzemeltető cég, amely az évek alatt több millió adatot szerzett meg illegálisan. A vállalat saját honlapján hirdeti büszkén, hogy: "az adatbázisunk havi 21,7 millió banki kapcsolat és összesen 50 millió ismert banki adatkapcsolat információt tartalmazza."
A probléma az, hogy nem csak a folyószámla- vagy a bankkártyaszámokat tárolták el, hanem azt is, hogy ki, mikor, hol és mekkora összeget vásárolt. Ezekre az adatokra az indoklás szerint azért van szükség, mert a cég ezekből nyeri ki a vásárlói szokások feltérképezéséhez szükséges információkat és képes megmondani, hogy ki mennyire fizetőképes.
Az Easycashnek 92 000 szerződéses partnercége van, de mindegyik engedélyezi az ügyféladatok gyűjtését és tárolását. A vállalkozás eljárása jóval túlmegy a megszokott gyakorlaton, mivel egyrészt túl hosszú ideig őrzi meg az adatokat, másrészt az embereket szétválasztja aszerint, hogy jó vagy kevésbé jó ügyfelek-e. Utóbbi csoportba tartoznak az alacsony fizetéssel rendelkezők és a kevés pénzért vásárolók. A kártyatulajdonosok gyakorlatilag vagy semmit sem vesznek észre az egészből, vagy tehetetlenek.
Az ügyben csak az újságírók fellépése után indult vizsgálat. Az észak-rajna-vesztfáliai adatvédelmi felügyelet azonnal felszólította az Easycash vezetőit, hogy hozzák nyilvánosságra, milyen adatfeldolgozási gyakorlatot alkalmaznak. Problémát okoz ugyanakkor, hogy a terület nincs megfelelően szabályozva, így nincs tisztázva, melyik EC-hálózati üzemeltető mennyi információt tárolhat az ügyfeleiről. Egy kereskedelmi üzletlánc ugyanakkor azonnal jelezte, hogy felfüggeszti, és a jövőben nem fogadja el áruházai pénztárainál az EC-kártyás fizetéseket. Később ugyan visszavonták a döntést, de az adatok már nem kerülhetnek át az Easycash rendszerébe. A társaság szóvivője ezt azzal indokolta, hogy "számos kérdés tisztázatlan".
A cég ugyanakkor semmi kivetnivalót nem lát adatgyűjtési gyakorlatában és egy nyolc éves állásfoglalásra hivatkoznak, amely engedélyezte számukra az információk gyűjtését és hosszú távú megőrzését. Nem ez az első probléma az EC-kártyákkal. Idén januárban derült ki, hogy az un. 2010-es hiba miatt átmenetileg használhatatlanná vált 30 millió bankkártya, igaz a problémát később sikerült megoldani.