Nezákonná výměna údajů mezi vydavatelem adresy a agenturou pro hodnocení úvěruschopnosti
noyb podala 18. března 2021 stížnost na GDPR proti ratingové agentuře CRIF GmbH a vydavateli adres AZ Direct. Společnosti si vyměňují údaje, čímž porušují GDPR a také rakouské zákony. Vydavatelé adres smějí předávat údaje pouze pro reklamní účely, nikoliv však úvěrovým agenturám pro hodnocení úvěruschopnosti.
Stáhnout: Stížnost rakouskému úřadu pro ochranu osobních údajů (PDF)
Stáhnout: Žádost o informace pro Úřad pro ochranu osobních údajů, tzv: Strojový překlad stížnosti do angličtiny (PDF)
CRIF a AZ Direct: Porušení GDPR jako běžný obchodní model. Stěžovatel podal u společnosti CRIF žádost o přístup podle článku 15 GDPR. CRIF uvedla, že má uloženo jeho jméno, datum narození a některé (částečně neaktuální) adresy bydliště. Jediným uvedeným zdrojem údajů byl vydavatel adres AZ Direct. Vydavatelé adres však mohou údaje předávat pouze pro reklamní účely. V případě společnosti CRIF bylo zcela zřejmé, že na základě údajů získaných od společnosti AZ Direct vypočítala několik skóre úvěruschopnosti a zaslala je různým společnostem.
Tajné obchodování s daty. Úvěrové agentury mohou přistupovat k veřejně dostupným údajům, například z různých registrů, a shromažďovat tak identifikační údaje. V nich však lze nalézt pouze zlomek populace. Většina údajů zřejmě pochází z jiného zdroje, a to od vydavatelů adres, kteří podle zákona mohou údaje předávat pouze pro reklamní účely.
"Většina údajů ratingových agentur pochází od vydavatelů adres - bez jakéhokoli právního základu a aniž by kdy požádaly subjekty údajů o souhlas nebo je informovaly. Stěžovatel také až do své žádosti o přístup k údajům nevěděl, že jsou jeho údaje shromažďovány, ačkoli GDPR jasně stanoví, že že měl být o tomto shromažďování informován." Alan Dahi, právník zabývající se ochranou osobních údajů ve společnosti noyb.eu
Účelové omezení jako cizí pojem. Zásada omezení účelu stanoví, že údaje mohou být shromažďovány pouze pro " stanovené, výslovně vyjádřené a legitimní účely " a nesmějí být dále zpracovávány pro jiné, neslučitelné účely. Podle obchodního rejstříku je však společnost AZ Direct výhradně vydavatelem adres, a proto smí předávat údaje pouze pro účely přímého marketingu. Nicméně společnost CRIF zjevně použila údaje pro účely hodnocení úvěruschopnosti, což je závažné porušení zásady "omezení účelu" podle článku 5 DSGVO.
"Přímý marketing a hodnocení úvěruschopnosti jsou dva zcela odlišné a neslučitelné účely. Jak společnost CRIF, tak společnost AZ Direct porušují zásadu účelového omezení. Kromě toho dochází k možnému porušení rakouského obchodního práva, které rovněž prověřujeme. " Alan Dahi, právník pro ochranu osobních údajů ve společnosti noyb.eu
Nejde o ojedinělý případ. Společnost CRIF se netají svými vztahy s vydavateli adres: vydavatelé adres jsou v prohlášení o ochraně údajů uvedeni jako pravidelní dodavatelé údajů. CRIF navíc na svých internetových stránkách prohlašuje, že nemá žádné negativní údaje (tj. žádné údaje o nesplacených dluzích) od více než 90 % uložených osob. Většinu údajů tedy nevyhnutelně získává od vydavatelů adres.
"Situace stěžovatele není ojedinělým případem. noyb ví o několika podobných případech. Společnost CRIF zřejmě získala miliony datových záznamů od vydavatelů adres, jako je například AZ Direct, v průběhu několika let, aniž by o tom informovala jedinou dotčenou osobu. Pokud máte bydliště v Rakousku, je vysoce pravděpodobné, že se to týká i vás." Alan Dahi, právník zabývající se ochranou osobních údajů, noyb.eu
Úřad je na řadě. Pokud rakouský Úřad pro ochranu osobních údajů (DPA) naši stížnost přijme, bude muset CRIF od takového shromažďování údajů v budoucnu upustit - a všechny údaje shromážděné v rozporu s GDPR vymazat. Kromě toho může úřad DPA uložit společnostem CRIF i AZ Direct pokutu až do výše 20 milionů eur nebo 4 % ročního obratu.
"Odvětví obchodování s adresami a hodnocení úvěrů stále nepřizpůsobila své obchodní praktiky požadavkům GDPR. Je nejvyšší čas, aby i tato odvětví dospěla do současnosti a respektovala ochranu osobních údajů! " Alan Dahi, právník pro ochranu osobních údajů ve společnosti noyb.eu
Uplatňujte svá práva! Zda společnost CRIF shromáždila vaše údaje neoprávněně, můžete zjistit také u vydavatele adres, jako je AZ Direct. Za tímto účelem zašlete CRIF žádost o přístup podle článku 15 GDPR (auskunft@crif.com) a zeptejte se zejména na původ zpracovávaných údajů. Další informace jsou k dispozici zde. Společnost CRIF je povinna vám tyto informace poskytnout do jednoho měsíce. Poté nás můžete kontaktovat pro další postup.
