Právo na přístup jako bumerang ochrany údajů? Úvěrová referenční agentura shromažďuje údaje od osob, které o informace požádají
Dne 08.02.2021 podala společnost noyb stížnost na GDPR proti zprostředkovateli údajů o bonitě KSV 1870. Rakouská úvěrová referenční agentura uchovává údaje od dosud neznámých osob, které bez souhlasu využívají svého zákonného práva na přístup ke svým údajům.
- Stáhnout: Stáhněte si tuto zprávu: Stížnost rakouskému úřadu pro ochranu osobních údajů (PDF)
- Stáhnout: Strojový překlad stížnosti do angličtiny (PDF)
Právo na přístup jako bumerang ochrany údajů? Každý má právo získat informace o tom, jaké údaje o něm společnost zpracovává. Mnoho lidí se však bojí o informace požádat, protože společnost o nich může mít ještě více údajů než dříve: Často musí člověk předložit průkaz totožnosti nebo uvést své jméno, adresu a datum narození, aby mohl požadované informace získat. Teoreticky není důvod se bát: společnosti samozřejmě smějí údaje používat pouze za účelem poskytnutí informací a poté je musí vymazat. To však není případ společnosti KSV, která je lídrem v oboru mezi rakouskými referenčními agenturami:
KSV: Zvědavost zabila kočku. Subjekt údajů zaslal společnosti KSV žádost o přístup podle článku 15 GDPR. KSV odpověděla, že žádné osobní údaje subjektu údajů nezpracovává. Alespoň doposud. V dalším odstavci se však píše: "V případě, že se jedná o osobní údaje, je třeba je poskytnout: "Po obdržení Vaší žádosti budou Vámi poskytnuté identifikační údaje nyní zpracovávány v naší obchodní databázi v rámci naší činnosti podle § 152 zákona o živnostenském podnikání."
"Tato odvaha je zarážející. KSV obdrží údaje pouze za účelem odpovědi na žádost o přístup, ale poté je bez souhlasu vloží do své databáze. Následně jsou údaje použity k výpočtu úvěrového skóre, které KSV prodává svým zákazníkům. Chcete vědět, zda KSV disponuje vašimi údaji? Stačí se zeptat a určitě je má!" Marco Blocher, právník zabývající se ochranou osobních údajů, noyb.eu
Systematické vykrmování databáze? Přístup KSV je systematický - noyb ví o několika podobných případech: Pokud byla osoba pro KSV neznámá, bylo do databáze uloženo jméno, adresa a datum narození z žádosti o přístup. Pokud KSV osobu již znala, aktualizovala svou databázi na základě těchto informací. Jednání společnosti KSV je v rozporu se zásadou účelového omezení podle čl. 5 odst. 1 písm. b) nařízení GDPR. Podle této zásady musí být údaje shromažďovány za konkrétním, výslovně uvedeným a legitimním účelem. Další zpracování pro jiný účel je přípustné pouze tehdy, je-li slučitelné s původním účelem.
"Lidé podávají žádosti o přístup, aby se dozvěděli o zpracování údajů - a v případě potřeby proti němu zakročili. Je prostě groteskní, že mimo všech věcí takové žádosti vedou k tomu, že skončí v databázi KSV." Marco Blocher, právník zabývající se ochranou osobních údajů ve společnosti noyb.eu
noyb bedlivě sleduje zprostředkovatele údajů. Společnosti obchodující s daty musí dodržovat obzvláště přísné standardy, pokud jde o ochranu údajů. To se týká nejen agentur poskytujících úvěrové informace a vydavatelů adres, ale také velkých technologických společností a sociálních médií. Vzhledem k tomu, že tyto společnosti mají přístup k obrovským objemům dat, je o to důležitější, aby s nimi nakládaly velmi opatrně.
"Bohužel mnoho takzvaných "datově orientovaných podniků" má o sobě zcela mylnou představu. Jakmile mají data, dělají si v podstatě, co chtějí - bez ohledu na to, proč a jak se k nim původně dostaly. GDPR zavedlo pojmy, jako je omezení účelu, aby tomu zabránilo.. Ve skutečnosti je to ale příliš nezajímá." Marco Blocher, právník zabývající se ochranou osobních údajů ve společnosti noyb.eu
