Obchodník s adresami žaluje německou agenturu DPA, aby zabránila noyb v přístupu k souborům
Před dvěma lety podala společnost noyb v Německu stížnost na obchodníka s adresami Acxiom a úvěrovou referenční agenturu CRIF. Přestože existují pádné důkazy o tom, že tyto společnosti svým rozsáhlým obchodováním s osobními údaji lidí porušují GDPR, případ stále probíhá u bavorského a hesenského úřadu pro ochranu údajů. Na jaře 2023 proto společnost noyb požádala hesenský úřad o přístup ke spisu stížnosti společnosti Acxiom. Obchodník s adresami reagoval rychle - žádostí o vydání předběžného opatření vůči úřadu, aby zabránil jakémukoli přístupu ke spisu.
- Stížnost na CRIF a Acxiom (německy)
- Automatický překlad stížnosti do angličtiny
- časová osa stížnosti
Pozadí: tajný a nezákonný obchod s osobními údaji. Úvěrová referenční agentura CRIF průběžně nakupuje jména, data narození a adresy milionů Němců od obchodníka s adresami Acxiom. Ačkoli tyto údaje byly původně shromážděny pro marketingové účely, CRIF je používá k posuzování úvěruschopnosti lidí. Obvykle se tak děje, aniž by o tom byli lidé informováni a aniž by k tomu dali souhlas, což je pravděpodobně v rozporu s evropským právem na ochranu osobních údajů.
Žádné oznámení ani souhlas. Podle zásad GDPR o omezení účelu a zákonnosti nelze údaje shromážděné pro marketingové účely použít bez souhlasu pro úvěrový scoring (tj. pro předpověď pravděpodobnosti nesplacení). Pro společnosti Acxiom a CRIF by to neměla být novinka: Konference o ochraně údajů, rada všech německých dozorových orgánů pro ochranu údajů, několikrát zdůraznila, že jiné údaje než negativní zkušenosti s platbami nebo jiné nesmluvní chování lze pro účely credit scoringu používat pouze se souhlasem. Společnosti CRIF a Acxiom nejenže kategoricky nežádají subjekty údajů o takový souhlas, ale dokonce jim ani nedávají vědět, že jejich údaje budou prodány společnosti CRIF. Například subjekt údajů zastoupený společností noyb se o nezákonném zpracování svých údajů dozvěděl až na základě žádosti o přístup.
Marco Blocher, právník pro ochranu údajů ve společnosti noyb: "Tajné používání údajů od obchodníka s adresami k výpočtu úvěrového skóre lidí je jako učebnicový případ nezákonného zpracování podle GDPR. Tento postup se provádí tajně, znamená nezákonnou změnu účelu zpracování - a jednoduše mu chybí právní základ."
Dva roky klidového stavu. Porušení evropského práva na ochranu osobních údajů lze jen těžko popřít. Přesto případ téměř dva roky po jeho podání stále leží u hesenského (odpovědného za společnost Acxiom) a bavorského (odpovědného za společnost CRIF) úřadu pro ochranu osobních údajů (DPA). Abychom si udělali představu o aktuálním stavu těchto případů, požádal noyb hesenský úřad o přístup ke spisům (Bavorsko toto právo neposkytuje, ale to je problém sám o sobě). Zdálo se, že hesenský úřad pro ochranu údajů je ochoten požadovaný přístup poskytnout a vyslechl v této věci společnost Acxiom - ta však byla okamžitě zažalována. Adresný obchodník se nyní snaží u soudu získat předběžné opatření, aby stěžovateli zabránil v jakémkoli přístupu ke spisům, zatímco společnost sama požádala o přístup ke spisům a byl jí umožněn.
Procesní průtahy. Z práva na přístup ke spisům existuje několik výjimek, např. v případě obchodního tajemství. Neexistuje však žádný právní základ pro uzavření celého správního spisu. Společnost Acxiom si je toho pravděpodobně vědoma. Ve skutečnosti se společnost zřejmě snaží oddálit rozhodnutí hesenského úřadu pro ochranu údajů tím, že vytváří procesní vedlejší linii. To společnosti Acxiom umožňuje pokračovat v nezákonném prodeji osobních údajů.
Jedná se o opatření podobné SLAPP. Návrh společnosti Acxiom na zákaz zřejmě navazuje na koncept takzvaných "SLAPP" ("Strategic Lawsuits Against Public Participation"), které chce EU kriminalizovat. Podávání zneužívajících žalob v kombinaci s odrazujícími náklady a složitostí soudních sporů, jakož i častým zahlcením soudů, má odradit jednotlivce a nevládní organizace, jako je noyb , od toho, aby hnali společnosti k odpovědnosti.
Jonas Breyer, německý právník zastupující stěžovatele a organizaci noyb před správním soudem ve Wiesbadenu: "Společnosti se neustále snaží protahovat vymáhání práv na ochranu údajů, aby uměle udržely při životě pochybné, ale lukrativní obchodní modely. Svědčí o tom, když například společnost Axciom iniciuje soudní řízení a označuje své obchodní podmínky z roku 2008 a další zastaralé dokumenty za obchodní tajemství."
Zneužívání právního systému. Případ společnosti Acxiom opět ukazuje, že i po pěti letech platnosti GDPR některé společnosti věří, že právní systém lze zneužít k udržení nezákonných obchodních modelů. To je nepřijatelné, zejména pro společnost, která zpracovává údaje milionů lidí a spolupracuje s mezinárodními klienty, jako jsou Meta, Adobe, Google, IBM a PayPal. noyb neustoupí a je připraven podávat další stížnosti nebo žalovat společnosti, jako je Acxiom, o soudní zákaz a náhradu škody na základě nové směrnice o reprezentativních žalobách.
