簡単に言うと、Post Office アプリは、サードパーティの SDK (ThreatMetrix) を使用してユーザーのデバイス上の不要な情報、位置情報データ、アプリの使用パターンなどにアクセスします… (子供たちを救うために必要であると正当化します… 「誰かが子供たちのことを考えてください」=D ははは、彼らはセキュリティのために必要だと言っています)、ただし、これらの権限とデータはアプリの使用には不必要でした。
つまり、アプリの操作のために同意と余分なデータを求める典型的な GDPR 違反です。
当局の調査は、2024年4月から受け付けた多数の報告と苦情を受けて開始され、特にBancoPostaアプリとPostepayアプリの操作方法に関係していた。 これらのアプリケーションは、サービス利用の必須条件として、悪意のあるソフトウェアを特定するために、インストールおよび実行中のアプリケーションを含むモバイルデバイスに含まれる一連のデータを監視する権限をユーザーに解放することを提供していました。両社の申告によれば、そのような処理は業務の安全性を保証し、決済サービスに関する法律を遵守するために必要だったはずだという。
しかし、保証人は、採用された方法には以下のことが含まれると指摘した。 ユーザーのプライベートな領域への過度に侵入的な干渉詐欺防止の目的では厳密には必要ではなかったためです。
捜査中、彼らは、 さらに個人情報保護法違反も複数発覚これには、ユーザーに提供された情報の不備、適切なデータ保護影響評価 (DPIA) の欠如、適切なセキュリティ対策と適切なデータ保持ポリシーの導入の失敗、データ管理者の指定の不規則などが含まれます。
制裁に加えて、当局は企業に対し次のことを命じた。 係争中の処理を中止する、データ保持に関する要件をまだ満たしていない場合は、これを保証人に伝えます。
具体的な条項をざっと見てみたところ、 経由 しかし、朝食を終えたので帰らなければなりません(そして、LLMは役に立ちません。私は彼に「どのサードパーティのツール/SDKを使用しましたか?」と尋ねました。答えは「特定のSDKまたはサードパーティのツールはありません」……最小限のスキルを持つ人をすぐに検索すれば、詳細が見つかります…)