Забрана за събиране на данни от кредитни агенции чрез искания за достъп и граждански регистри
Преди две години noyb подаде жалба по GDPR срещу брокера на кредитни данни KSV 1870. Австрийската агенция за кредитна информация съхраняваше непоискани данни от неизвестни досега лица, които са упражнили законното си право на достъп до своите данни. Сега австрийският орган за защита на данните (DSB) публикува решението си по случая: агенцията за кредитно отчитане не може да събира данни чрез искания за достъп и граждански регистри.
Кредитното бюро съхранява данни от искания за информация. Европейците имат право да подават искания за информация до дружества, за да разберат какви данни се обработват за тях. За да потвърди самоличността на лицето, дружеството често иска допълнителни данни: например ЕГН, име, адрес или дата на раждане. Естествено, дружествата могат да използват тази допълнителна информация само за целите на отговора на искането за достъп и след това трябва отново да я изтрият. Не такъв е случаят с водещата в бранша австрийска агенция за кредитно отчитане: KSV 1870 съхранява информация за лицата, когато те поискат достъп до своите данни.
Систематичен подход от страна на KSV. Подходът на KSV е систематичен - получили сме множество подобни случаи. Субект на данни е подал до KSV искане за достъп съгласно член 15 от ОРЗД. Кредитната агенция е отговорила, че не са обработвани никакви лични данни на субекта на данните. Поне до момента. KSV твърди, че допълнителната информация, предоставена от субекта на данни, за да упражни правото си на достъп, сега ще се съхранява в "бизнес базата данни". Но това не е всичко: преди това информацията на субекта на данните от искането за достъп е била сравнявана с данните му в Централния регистър на жителите и добавяна към бизнес базата данни.
"DSB доказа, че сме били прави: Бизнес моделът на KSV 1870, при който исканията за информация от субектите на данни се използват за обогатяване на икономическата база данни, е незаконен. Обработването на всякаква допълнителна информация от регистъра на населението също е очевидно незаконно. Предполагаме, че освен лицето, което представляваме, са засегнати и безброй други австрийци. Те могат да поискат от KSV заличаване на незаконно обработените данни." - Марко Блохер, адвокат по защита на данните в noyb.eu
DPA и noyb са съгласни: KSV действа незаконосъобразно. Действията на KSV нарушават принципа за ограничаване на целта съгласно член 5, параграф 1, буква б) от ОРЗД. В него се посочва, че данните трябва да се събират за конкретна цел. По-нататъшно обработване за друга цел е разрешено само ако е съвместимо с първоначалната цел. ДЛЗД счита, че не е имало очевидна причина за обработване на данните от искането за достъп до кредитен рейтинг, нито пък е имало правен мандат за събиране на общи данни. Освен това ОЗД разпореди заличаване на незаконно получените данни.
noyb следи отблизо търговците на данни. Индустриите, чиято основна дейност е търговията с данни, трябва да се придържат към особено строги стандарти, когато става въпрос за защита на данните. Проблемът се състои в това, че кредитните бюра почти не са регулирани: въпреки че им е разрешено да обработват само данни, които са от значение за кредитоспособността, няма определение каква конкретна информация включва това. Тъй като агенциите за кредитна информация имат достъп до много данни, те трябва да ги обработват по особено отговорен начин.
