Šetření datových toků v rakouské úvěrové agentuře CRIF vneslo do této záležitosti další světlo: většina údajů o adresách v databázi CRIF pochází od zprostředkovatelů adres AZ Direct (skupina Bertelsmann), Compass-Verlag a DPIT ve Vídni. Odkud však tito obchodníci s adresami získávají své údaje? Nový noyb hodnocení, do kterého se zapojilo více než 2 400 dotčených osob, ukazuje, že přistupují k veřejným rejstříkům, jako jsou obchodní a pozemkový rejstřík, rejstřík spolků a systém informací o podnikání (GISA), který byl zaveden v roce 2015. Compass uvádí jako zdroj dat také obchodní komoru (WKO). Zůstává však nejasné, odkud společnost AZ Direct (největší dodavatel údajů CRIF) získává své údaje. Společnost AZ Direct uvádí, že neví, odkud získala údaje o 7 milionech obyvatel Rakouska.
Údaje získané z veřejných rejstříků. Úvěrová agentura CRIF získává většinu údajů o adresách od zprostředkovatelů adres AZ Direct, Compass-Verlag a DPIT. Díky žádostem o přístup podaným jménem více než 2 400 účastníků projektu CRIF nyní víme: tito tři zprostředkovatelé adres využívají především veřejné registry, jako je obchodní rejstřík a registr společností, registr spolků a obchodní rejstřík.
Max Schrems, předseda noyb: "Tyto registry samozřejmě ve skutečnosti nejsou určeny k uspokojování přání zprostředkovatelů údajů, ale k prokazování oprávnění, vlastnictví a zastupování."
Pozemkový rejstřík, obchodní rejstřík, ZVR, GISA a WKO. Konkrétně společnost Compass-Verlag často uvádí, že získala údaje z obchodního rejstříku, registru spolků (ZVR) a živnostenského rejstříku (GISA). Jako zdroj se objevuje také obchodní komora (WKO), která zřejmě předává údaje od svých členů. Mezitím DPIT uvádí, že má přístup do katastru nemovitostí, obchodního rejstříku a živnostenského rejstříku. To znamená, že potenciálně byla zaznamenána každá osoba samostatně výdělečně činná, každý vlastník nemovitosti a každý, kdo působí ve sdružení. Nejde však o informace o majetku nebo podnikatelských aktivitách, které se používají pro účely ratingu. Místo toho se používají pouze jména, data narození a adresy.
Max Schrems: "Veřejné rejstříky se používají jako adresáře, nikoliv pro svůj skutečný účel, kterým je poskytování ekonomických nebo právních důkazů. Ekonomicky relevantní údaje se nakonec pro účely ratingu vůbec nepoužívají - jde pouze o kmenové údaje."
Vláda nedělá nic proti "šrotování" veřejných registrů? Veřejné rejstříky jsou v dobře spravovaném právním státě nepostradatelné (např. pro kontrolu, zda má někdo živnostenské oprávnění nebo zda je vlastníkem nemovitosti). V minulosti se to muselo dělat ručně. Díky digitalizaci je nyní většina rejstříků dostupná také online - často však zřejmě bez dostatečné ochrany proti rozsáhlému "scrapingu". Zdá se, že chybí základní ochranná opatření, jako jsou captchas, limity dotazů na IP adresu nebo podmínky, které jasně stanoví, že údaje mohou být použity pouze pro konkrétní účely (např. k ověření živnosti, vlastnictví nebo plné moci k zastupování).
Max Schrems: "Rakousko postrádá jasné technické a právní předpisy, které by zabránily masovému scrapování pro jiné účely. Každý, kdo se snaží chránit své soukromí, je v současné době státem "prozrazen" - a společnosti tyto údaje ve velkém shromažďují. Je nejvyšší čas, aby politici toto zneužívání omezili technickými limity dotazů a jasným účelovým omezením. Nevedeme registr sdružení pro reklamní průmysl ani pro obchodníky s daty."
Zákon hovoří jasně: veřejné rejstříky podléhají "účelovému omezení". Nejenže je zřejmé, že toto komerční opětovné využívání není ve veřejném zájmu, ale porušuje také zásadu "účelového omezení" v GDPR, která je v Čl. 5 odst. 1 písm. b) GDPR. Rakouský úřad pro ochranu osobních údajů (DSB) již v souvislosti s rejstříkem listin rozhodl, že například další zpracování pro reklamní účely je v rozporu s GDPR. Známé Rozsudek Soudního dvora EU o "právu být zapomenut" se rovněž týkalo legálně zveřejněných údajů, které však vyhledávač Google nemohl jednoduše znovu použít.
Max Schrems: "To, že jsou údaje veřejně dostupné, neznamená, že je lze použít k jakémukoli účelu. Nemůžete jednoduše natáčet lidi na veřejné ulici pro své vlastní účely."
AZ Direct: 7 milionů datových záznamů bez zdroje? Společnost AZ Direct, která je součástí velké německé skupiny Bertelsmann, mezitím odhaluje zcela jiný problém: navzdory zákonné povinnosti poskytovat informace prodejce adres nezveřejnil konkrétní zdroje dat téměř u žádného z 2 400 účastníků. AZ Direct však prodala CRIF celkem více než 7 milionů datových záznamů. V současné době je zcela nejasné, odkud největší dodavatel údajů CRIF informace získává - což také znemožňuje uplatnit svá práva podle GDPR.
Max Schrems: "Je zcela absurdní, že dceřiná společnost Bertelsmannu, která má k dispozici soukromé údaje 7 milionů lidí v Rakousku, neví, odkud tyto údaje pochází. V současné době může soubor dat obsahující téměř všechny obyvatele Rakouska pocházet z jakéhokoli zdroje - ti, kterých se to týká, nemají možnost ověřit, zda jsou zdroje legální."
Cesta k hromadné žalobě: Podrobné hodnocení je téměř dokončeno. noyb pokračuje v práci na podrobném vyhodnocení úvěrových hodnocení získaných od 2 400 účastníků. Společně s profesorem finanční matematiky porovnává více než 28 000 obdržených skóre se skutečnými finančními údaji postižených, aby zjistil, zda jsou skóre CRIF statisticky správná. V současné době vše nasvědčuje tomu, že skóre CRIF má jen málo společného se skutečnou finanční situací jednotlivce a neposkytuje spolehlivé hodnocení rizik u lidí, kteří vždy platí své účty. Pro těchto 90 % populace je skóre v podstatě založeno pouze na věku, pohlaví a adrese. Další výsledky se očekávají v následujících týdnech. Poté se společnost noyb rozhodne, zda podá na CRIF rozsáhlejší hromadnou žalobu, která se pravděpodobně bude týkat milionů lidí. V případě nezákonného zpracování osobních údajů by každá postižená osoba mohla mít nárok na příslušné nároky na náhradu škody.
