Разследване на потоците от данни в австрийската кредитна агенция CRIF хвърли допълнителна светлина по въпроса: повечето от адресните данни в базата данни на CRIF идват от адресните брокери AZ Direct (Bertelsmann Group), Compass-Verlag и DPIT във Виена. Но откъде тези търговци на адреси получават данните си? Нов noyb оценка, включваща повече от 2400 засегнати лица, показва, че те имат достъп до публични регистри, като например фирмения и поземления регистър, регистъра на сдруженията и въведената през 2015 г. Система за бизнес информация (GISA). Компасът също така посочва търговската камара (WKO) като източник на данни. Остава обаче неясно откъде AZ Direct (най-големият доставчик на данни на CRIF) получава своите данни. AZ Direct заявява, че не знае откъде е получила данните за 7 милиона души в Австрия.
Данни, извлечени от публични регистри. Кредитната агенция CRIF получава по-голямата част от своите данни за адресите от адресните брокери AZ Direct, Compass-Verlag и DPIT. Благодарение на заявленията за достъп, подадени от името на повече от 2400 участници в проекта CRIF, вече знаем: трите адресни брокера използват предимно публични регистри, като регистъра на юридическите лица и фирмения регистър, регистъра на сдруженията и търговския регистър.
Макс Шремс, председател на noyb: "Разбира се, тези регистри всъщност нямат за цел да задоволяват желанията на брокерите на данни, а да доказват права, собственост и представителни правомощия."
Земеделски регистър, търговски регистър, ZVR, GISA и WKO. По-конкретно Compass-Verlag често заявява, че е получил данни от търговския регистър, регистъра на сдруженията (ZVR) и търговския регистър (GISA). Търговската камара (WKO) също се появява като източник и очевидно предава данни от собствените си членове. Междувременно DPIT заявява, че има достъп до поземления регистър, търговския регистър и регистъра на търговските дружества. Това означава, че всяко самостоятелно заето лице, всеки собственик на имот и всеки активен участник в сдружение е бил потенциално регистриран. Въпреки това информацията за собствеността или стопанската дейност не се използва за целите на кредитния рейтинг. Вместо това се използват само имената, рождените дати и адресите.
Макс Шремс: "Публичните регистри се използват като адресни книги, а не за действителното им предназначение да предоставят икономически или правни доказателства. В крайна сметка икономически значимите данни изобщо не се използват за кредитен рейтинг - става въпрос само за основни данни."
Правителството не прави нищо, за да се бори с "остъргването" на публичните регистри? Публичните регистри са незаменими в една добре администрирана правова държава (напр. за да се провери дали някой има лиценз за стопанска дейност или е собственик на имот). В миналото това трябваше да се прави ръчно. Благодарение на цифровизацията повечето регистри вече са достъпни и онлайн - но очевидно често без достатъчна защита срещу мащабно "изстъргване". Изглежда, че липсват основни защитни мерки, като например captchas, ограничения на заявките за всеки IP адрес или условия, в които ясно се посочва, че данните могат да се използват само за конкретни цели (напр. за проверка на търговска дейност, собственост или представителна власт).
Макс Шремс: "В Австрия липсват ясни технически и правни разпоредби, които да предотвратят масовото скрепиране за други цели. Всеки, който се опитва да защити собствената си неприкосновеност на личния живот, в момента бива "разкрит" от държавата - и компаниите събират тези данни в голям мащаб. Крайно време е политиците да ограничат тази злоупотреба с технически лимити за запитвания и ясни ограничения за целите. Ние не поддържаме регистър на сдруженията на рекламната индустрия или на търговците на данни."
Законът е ясен: публичните регистри подлежат на "ограничаване на целите". Не само че е очевидно, че това повторно използване с търговска цел не е в обществен интерес, но и нарушава принципа на "ограничаване на целите" на ОРЗД в Член 5, параграф 1, буква б) от ОРЗД. Австрийският орган за защита на данните (DSB) вече е взел решение по отношение на Регистъра на актовете, че например по-нататъшното обработване за рекламни цели нарушава ОРЗД. Добре известният Решение на СЕС относно "правото да бъдеш забравен също се отнасяше до законно публикувани данни, които обаче не можеха просто да бъдат използвани повторно от търсачката Google.
Макс Шремс: "Това, че данните са публично достъпни, не означава, че могат да се използват за всякакви цели. Не можете просто да снимате хора на обществена улица за собствените си цели."
AZ Direct: 7 милиона записа на данни без източник? Междувременно AZ Direct, част от голямата германска група Bertelsmann, разкрива съвсем различен проблем: въпреки законовото си задължение да предоставя информация, търговецът на адреси не е разкрил конкретни източници на данни за почти нито един от 2400 участници. Въпреки това AZ Direct е продала на CRIF общо над 7 милиона записа на данни. Понастоящем е напълно неясно откъде най-големият доставчик на данни на CRIF получава своята информация - което също прави невъзможно упражняването на нечии права по GDPR.
Макс Шремс: "Напълно нелепо е дъщерно дружество на Bertelsmann, което разполага с личните данни на 7 милиона души в Австрия, да не знае откъде идват данните. Понастоящем набор от данни, съдържащ почти всички хора в Австрия, може да произхожда от всеки източник - засегнатите нямат възможност да проверят дали източниците са законни."
Път към колективен иск: Подробната оценка е почти завършена. noyb продължава да работи по подробната оценка на кредитните оценки, получени от 2400 участници. Заедно с професор по финансова математика над 28 000 получени оценки се сравняват с действителните финансови данни на засегнатите лица, за да се установи дали оценките на CRIF са статистически обосновани. Понастоящем всичко сочи, че оценката CRIF има малко общо с действителното индивидуално финансово състояние и не дава надеждна оценка на риска за хора, които винаги плащат сметките си. За тези 90 % от населението оценката по същество се основава само на възрастта, пола и адреса. През следващите седмици се очакват допълнителни резултати. След това noyb ще реши дали да подаде по-голям колективен иск срещу CRIF, който вероятно ще засегне милиони хора. В случай на незаконно обработване на лични данни всяко засегнато лице би могло да има право на съответните искове за обезщетение.
