Jogellenes, ha a bankkártyával fizető ügyfél nevével együtt tárolják a kártya számát, mert így összekapcsolva a kártyaszám is személyes adatnak minősül, ráadásul komoly biztonsági kockázatot is jelenthet – állapította meg az állampolgári jogok országgyűlési biztosa.

Szabó Máté egy panasz nyomán vizsgálta a kérdést és leszögezte: a kártyaszám nem minősül személyes adatnak, ha a tranzakciókhoz tartozó kártyaszámokat oly módon tárolják, hogy azok nem kapcsolhatók konkrét személyhez illetve vásárlóhoz. Ez az adatkezelés a közlemény szerint jogszerű és kívül esik az adatvédelmi törvény hatályán.

Az viszont az országgyűlési biztos állásfoglalása szerint jogellenes, ha a nevet és a kártyaszámot együtt tárolják, ehhez nem kérik ki az érintett hozzájárulását és törvény sem nyújt felhatalmazást erre. Az ombudsman felhívta a bepanaszolt kereskedelmi cég figyelmét arra, hogy a kártyaszámok azonosítható módon történő tárolása nemcsak adatvédelmi szempontból jogszerűtlen, de a komoly biztonsági kockázat miatt az érintettek bírósághoz is fordulhatnak.

Szabó Máté a bepanaszolt kereskedelmi cégeket felszólította, hogy a kártyaszámok tárolását vagy úgy oldják meg, hogy azokat még véletlenül se lehessen egy adott személyhez kapcsolni, vagy szüntessék meg a kifogásolt adatkezelést és semmisítsék meg az eddig “begyűjtött” kártyaszámokat.