noyb.eu подаде жалба по GDPR срещу агенция за кредитен рейтинг "CRIF", която е активна в над 28 държави. CRIF присвои „оценка“ от точно 446 от 700 възможни кредитни точки на бездължен клиент на електроенергия с добре платена постоянна работа. Това е изумително, тъй като CRIF няколко пъти подчерта, че не познава засегнатото лице и не разполага със съхранени данни. Резултатът беше изчислен от нищото. Последствията обаче бяха съвсем реални: електрическата компания отказа да подпише договор с него.
- Изтегляне: Жалба на Германия до австрийския орган за защита на данните (PDF)
- Изтегляне: Английски машинен превод на жалбата (PDF)
Подобно на магьосник със заек, CRIF извика „кредитоспособност“ от нищото.
Клиент на електроенергия искаше да подпише нов договор за електричество. Доставчикът на енергия неочаквано отказа да подпише договора. Причината: кредитният му рейтинг е бил твърде нисък - доста изненадващ предвид доходите и професията му, които би трябвало да са повече от достатъчни за плащане на електричество. В отговор на допълнителни запитвания беше обяснено, че кредитният му рейтинг CRIF ще бъде само 446 точки, докато минималното изискване за енергиен договор е 650 точки. След това клиентът се обърна към CRIF и поиска достъп до неговата информация в съответствие с член 15 от ОРЗД. CRIF отговори с твърдението, че не е съхранявал никакви лични данни за него като потребител. Следователно отрицателният резултат трябва да е излязъл от нищото.
„ Отговорът на CRIF е поразителен. Как може да се изчисли точен рейтинг на кредитния рейтинг, ако не се съхраняват данни за лицето? Изглежда, че CRIF е изчислил остър като бръснач резултат от 446 точки само от данните за искане, т.е. име, адрес и дата който живее на грешен адрес или има грешна дата на раждане, няма да получи договор за електричество. " Вероятно е по-справедливо да затворите очи и да изберете произволно число между 1 и 700 . " - Алън Дахи, адвокат за поверителността на noyb.eu
Обработката на данни трябва да следва определени принципи съгласно GDPR. Един от тях е принципът за коректност на данните или точността - личните данни трябва да бъдат верни по съдържание. Произволните „ вуду“ оценки, които заклеймяват клиентите и ги изключват от доставки на електроенергия, са явно незаконни.
„Ако дадено лице всъщност не се съхранява в базата данни CRIF, резултатът ще трябва да бъде„ Лице неизвестно “, а не 446. Резултатът без основание по своята същност е неправилен и следователно е нарушение на GDPR“ . - Алън Дахи, адвокат за поверителността на noyb.eu
Търговска тайна? Клиентът на електричество е на тъмно.
CRIF отказа да обясни как е изчислен кредитният рейтинг, въпреки многократните искания - въпреки че съгласно GDPR, всяко заинтересовано лице има право да знае логиката на тези изчисления. Това беше оправдано с общото твърдение, че процесът на вземане на решения на CRIF е „търговска тайна“; такава „тайна“ обаче, която може да остави засегнатите клиенти на електричество буквално да седят на тъмно.
"Първо, потребителите вече не могат да сключват договори, защото са измислени напълно нелогични оценки. Тогава дори не можете да знаете как се правят тези оценки. Потребителят се превръща в пионка в алгоритъм." - Алън Дахи, адвокат за поверителността на noyb.eu
Няма електричество - и няма отговорно лице
Доставчикът на електроенергия посочи кредитния рейтинг на CRIF, който беше твърде нисък, като единствената причина, поради която не беше възможно да се достави енергия, и представи като доказателство кредитния доклад, получен от CRIF. Клиентът не получи възможността да докаже, че кредитоспособността му всъщност е безупречна и все пак да получи договор за електроенергия. На въпрос обаче CRIF заяви, че от CRIF не е извършена кредитна оценка. Решението за сключване на договора ще бъде взето единствено от доставчика на електроенергия.
Подадена жалба с потенциална глоба до 20 милиона евро
Поради липсата на информация и очевидно неверните данни, noyb е подал първа жалба до компетентния австрийски орган за защита на данните.
„Поискахме органът за защита на данните да проучи внимателно операциите по обработка от CRIF. Органът може да забрани тези видове произволни решения за кредитен рейтинг и да наложи наказание за тях. Това би трябвало да направи по-малко вероятни неверни оценки.“ - Алън Дахи.
noyb обръща внимание на кредитните агенции
Агенциите за кредитен рейтинг понякога имат голяма власт над потребителите и досега не са проявявали голяма отговорност при упражняването на тази власт. Често те следват националните традиции вместо GDPR, който е в сила в цяла Европа от 2018 г. Не само качеството на изчисленията често е под въпрос, дори е неясно на каква основа се дават частни компании като CRIF или Schufa в Германия правото да създавате големи бази данни за финансите на милиони европейци.
"Честно казано, не виждаме основание тези компании да създават събиране на данни за финансите на всеки гражданин. Следователно жалбата срещу CRIF е само първа стъпка. През следващите няколко месеца и години ще разгледаме цялата индустрия до парче и в цяла Европа и провеждат подходящи GDPR производства " . - Алън Дахи, адвокат за поверителността на noyb.eu