Úvěrové agentuře zakázáno shromažďovat údaje prostřednictvím žádostí o přístup a občanských rejstříků
Před dvěma lety podala společnost noyb stížnost na GDPR proti zprostředkovateli úvěrových údajů KSV 1870. Rakouská úvěrová agentura uchovávala nevyžádané údaje od dosud neznámých osob, které využily svého zákonného práva na přístup ke svým údajům. Nyní rakouský úřad pro ochranu osobních údajů (DSB) zveřejnil své rozhodnutí ve věci: agentura pro úvěrové zpravodajství nesmí shromažďovat údaje prostřednictvím žádostí o přístup a občanských rejstříků.
Úvěrová kancelář uchovává údaje z žádostí o informace. Evropané mají právo podat společnostem žádost o informace, aby zjistili, jaké údaje jsou o nich zpracovávány. K potvrzení totožnosti osoby společnost často požaduje další údaje: například občanský průkaz, jméno, adresu nebo datum narození. Tyto dodatečné údaje mohou společnosti samozřejmě použít pouze pro účely odpovědi na žádost o přístup a poté je musí opět vymazat. To však není případ rakouské jedničky v oboru agentur poskytujících úvěrové informace: KSV 1870 uchovává informace o fyzických osobách, které požádají o přístup ke svým údajům.
Systematický přístup společnosti KSV. Přístup KSV je systematický - obdrželi jsme řadu podobných případů. Subjekt údajů podal u KSV žádost o přístup podle článku 15 GDPR. Úvěrová agentura odpověděla, že žádné osobní údaje subjektu údajů nebyly zpracovávány. Alespoň doposud. KSV argumentovala tím, že dodatečné informace, které subjekt údajů poskytl za účelem uplatnění svého práva na přístup, budou nyní uloženy v "podnikové databázi". To však není vše: předtím byly informace subjektu údajů z žádosti o přístup porovnány s jeho údaji v centrálním registru obyvatel a přidány do obchodní databáze.
"DSB nám dal za pravdu: Podnikatelský model KSV 1870, který využívá žádosti o informace od subjektů údajů k obohacení své hospodářské databáze, je nezákonný. Zpracovávání jakýchkoli dalších informací z registru obyvatel je rovněž jednoznačně nezákonné. Předpokládáme, že kromě osoby, kterou zastupujeme, se to týká bezpočtu dalších Rakušanů. Ti mohou po KSV požadovat výmaz nezákonně zpracovaných údajů." - Marco Blocher, právník pro ochranu osobních údajů ve společnosti noyb.eu
DPA a noyb souhlasí: KSV jedná protiprávně. KSV svým jednáním porušuje zásadu účelového omezení podle čl. 5 odst. 1 písm. b) GDPR. Ten stanoví, že údaje musí být shromažďovány za konkrétním účelem. Další zpracování pro jiný účel je přípustné pouze tehdy, je-li slučitelné s původním účelem. Inspektor ochrany údajů konstatoval, že pro zpracování údajů žádosti o přístup k úvěrovému hodnocení nebyl žádný zjevný důvod, ani neexistovalo zákonné zmocnění pro obecné shromažďování údajů. Kromě toho DPO nařídil vymazání nezákonně získaných údajů.
společnost noyb bedlivě sleduje obchodníky s údaji. Odvětví, jejichž hlavní činností je obchodování s údaji, musí dodržovat obzvláště přísné standardy, pokud jde o ochranu údajů. Problémem je, že úvěrové kanceláře nejsou téměř nijak regulovány: mohou sice zpracovávat pouze údaje, které jsou relevantní pro úvěruschopnost, ale neexistuje žádná definice, jaké konkrétní informace to zahrnuje. Vzhledem k tomu, že agentury poskytující úvěrové informace mají přístup k velkému množství údajů, musí s nimi nakládat obzvláště zodpovědně.
