Ο έμπορος διεύθυνσης μηνύει τη γερμανική DPA για να αποτρέψει την πρόσβαση του noyb στα αρχεία
Πριν από δύο χρόνια, η noyb υπέβαλε καταγγελία κατά του έμπορου διεύθυνσης Acxiom και του πρακτορείου αναφοράς πιστώσεων CRIF στη Γερμανία. Αν και υπάρχουν ισχυρές ενδείξεις ότι το μεγάλο εμπόριο των εταιρειών με προσωπικά δεδομένα ανθρώπων παραβιάζει τον GDPR, η υπόθεση εξακολουθεί να εκκρεμεί με την DPA της Βαυαρίας και της Έσσης. Έτσι, την άνοιξη του 2023, ο noyb ζήτησε από την αρχή της Έσσης πρόσβαση στον φάκελο της υπόθεσης της καταγγελίας Acxiom. Ο έμπορος διευθύνσεων αντέδρασε γρήγορα - με αίτημα για προσωρινή διαταγή κατά της αρχής για την αποτροπή κάθε είδους πρόσβασης στα αρχεία.
- Καταγγελία κατά CRIF και Acxiom (Γερμανικά)
- Αγγλική αυτόματη μετάφραση της καταγγελίας
- χρονοδιάγραμμα της καταγγελίας
Ιστορικό: μυστικό και παράνομο εμπόριο προσωπικών δεδομένων. Το πρακτορείο αναφοράς πιστώσεων CRIF αγοράζει συνεχώς τα ονόματα, τις ημερομηνίες γέννησης και τις διευθύνσεις εκατομμυρίων Γερμανών από τον έμπορο διευθύνσεων Acxiom. Αν και τα δεδομένα συλλέχθηκαν αρχικά για σκοπούς μάρκετινγκ, η CRIF τα χρησιμοποιεί για να αξιολογήσει την πιστοληπτική ικανότητα των ανθρώπων. Αυτό γίνεται συνήθως χωρίς να ενημερωθούν ποτέ οι άνθρωποι και χωρίς τη συγκατάθεσή τους – κάτι που είναι πιθανό να παραβιάζει την ευρωπαϊκή νομοθεσία περί προστασίας δεδομένων για πολλούς λογαριασμούς.
Καμία ειδοποίηση ή συναίνεση. Σύμφωνα με τις αρχές του GDPR για τον περιορισμό του σκοπού και τη νομιμότητα, τα δεδομένα που συλλέγονται για σκοπούς μάρκετινγκ δεν μπορούν να χρησιμοποιηθούν χωρίς συναίνεση για βαθμολόγηση πίστωσης (δηλαδή για την πρόβλεψη των πιθανοτήτων μη πληρωμής). Αυτό δεν θα πρέπει να είναι είδηση για την Acxiom και το CRIF: η Διάσκεψη Προστασίας Δεδομένων, ένα συμβούλιο όλων των γερμανικών εποπτικών αρχών προστασίας δεδομένων, έχει τονίσει πολλές φορές ότι δεδομένα εκτός από αρνητικές εμπειρίες πληρωμών ή άλλη μη συμβατική συμπεριφορά μπορούν να χρησιμοποιηθούν μόνο για πιστοληπτική αξιολόγηση με συγκατάθεση. Όχι μόνο η CRIF και η Acxiom αποτυγχάνουν κατηγορηματικά να ζητήσουν τέτοια συγκατάθεση από τα υποκείμενα των δεδομένων τους, αλλά δεν τους ενημερώνουν καν ότι τα δεδομένα τους θα πωληθούν στην CRIF. Το υποκείμενο των δεδομένων που εκπροσωπείται από το noyb , για παράδειγμα, ενημερώθηκε για την παράνομη επεξεργασία των δεδομένων του μόνο μέσω ενός αιτήματος πρόσβασης.
Marco Blocher, δικηγόρος προστασίας δεδομένων στο noyb : «Η κρυφή χρήση δεδομένων από έναν έμπορο διευθύνσεων για τον υπολογισμό των πιστωτικών αποτελεσμάτων των ανθρώπων είναι σαν μια υπόθεση εγχειριδίου παράνομης επεξεργασίας βάσει του GDPR. Αυτή η πρακτική γίνεται μυστικά, συνεπάγεται παράνομη αλλαγή στον σκοπό της επεξεργασίας - και απλώς στερείται νομικής βάσης».
Δύο χρόνια στασιμότητας. Οι παραβιάσεις της ευρωπαϊκής νομοθεσίας για την προστασία δεδομένων είναι δύσκολο να αρνηθούν. Ωστόσο, η υπόθεση εξακολουθεί να εκκρεμεί με τις αρχές προστασίας δεδομένων της Hessian (υπεύθυνες για το Acxiom) και της Βαυαρίας (υπεύθυνες για το CRIF) (DPAs) σχεδόν δύο χρόνια μετά την κατάθεσή της. Για να πάρει μια ιδέα της τρέχουσας κατάστασης αυτών των υποθέσεων, η noyb ζήτησε πρόσβαση στους φακέλους της υπόθεσης από την αρχή της Έσσης (η Βαυαρία δεν παρέχει αυτό το δικαίωμα, αλλά αυτό είναι από μόνο του πρόβλημα). Η DPA της Έσσης φαινόταν πρόθυμη να παραχωρήσει την ζητούμενη πρόσβαση και άκουσε το Acxiom σχετικά με το θέμα – αλλά άσκησε μήνυση αμέσως. Ο έμπορος διευθύνσεων επιδιώκει τώρα να λάβει προσωρινή διαταγή στο δικαστήριο για να αποτρέψει τον καταγγέλλοντα από οποιαδήποτε πρόσβαση στα αρχεία, ενώ η ίδια η εταιρεία ζήτησε και της παραχωρήθηκε πρόσβαση στα αρχεία.
Διαδικαστική καθυστέρηση. Υπάρχουν μερικές εξαιρέσεις στο δικαίωμα πρόσβασης σε αρχεία, π.χ. στην περίπτωση επαγγελματικών απορρήτων. Ωστόσο, δεν υπάρχει νομική βάση για το κλείσιμο ολόκληρου του διοικητικού φακέλου. Το Acxiom μάλλον το γνωρίζει αυτό. Στην πραγματικότητα, η εταιρεία φαίνεται να προσπαθεί να καθυστερήσει μια απόφαση της αρχής προστασίας δεδομένων της Έσσης δημιουργώντας μια διαδικαστική παράπλευρη εμφάνιση. Αυτό επιτρέπει στην Acxiom να συνεχίσει την παράνομη πώληση προσωπικών δεδομένων.
Ένα μέτρο σαν SLAPP. Η πρόταση απαγόρευσης του Acxiom φαίνεται να ακολουθεί την έννοια των λεγόμενων "SLAPPs" ("Στρατηγικές Αγωγές κατά της Συμμετοχής του Δημοσίου"), την οποία η ΕΕ θέλει να ποινικοποιήσει. Η κατάθεση καταχρηστικών αιτήσεων, σε συνδυασμό με το αποτρεπτικό κόστος και την πολυπλοκότητα των διαφορών, καθώς και τη συχνή συμφόρηση των δικαστηρίων, έχει ως στόχο να αποθαρρύνει άτομα και ΜΚΟ όπως η noyb από το να λογοδοτήσουν εταιρείες.
Jonas Breyer, Γερμανός δικηγόρος που εκπροσωπεί τον καταγγέλλοντα ενώπιον του Διοικητικού Δικαστηρίου του Βισμπάντεν: "Οι εταιρείες συνεχίζουν να προσπαθούν να καθυστερήσουν την επιβολή των δικαιωμάτων προστασίας δεδομένων προκειμένου να διατηρήσουν τεχνητά ζωντανά σκιερά αλλά προσοδοφόρα επιχειρηματικά μοντέλα. Μιλάει από μόνο του όταν η Axciom κινεί νομικές διαδικασίες , για παράδειγμα, χαρακτηρίζοντας τους όρους και τις προϋποθέσεις τους από το 2008 και άλλα παρωχημένα έγγραφα εμπορικά μυστικά."
Κατάχρηση του νομικού συστήματος. Η υπόθεση Acxiom δείχνει για άλλη μια φορά ότι ακόμη και μετά από πέντε χρόνια GDPR, ορισμένες εταιρείες πιστεύουν ότι το νομικό σύστημα μπορεί να καταστρατηγηθεί για να διατηρήσει παράνομα επιχειρηματικά μοντέλα. Αυτό είναι απαράδεκτο, ειδικά για μια εταιρεία που χειρίζεται τα δεδομένα εκατομμυρίων ανθρώπων και συνεργάζεται με διεθνείς πελάτες όπως η Meta, η Adobe, η Google, η IBM και το PayPal. Η noyb δεν θα υποχωρήσει και είναι έτοιμη να υποβάλει περαιτέρω καταγγελίες ή να μηνύσει εταιρείες όπως η Acxiom για ασφαλιστικά μέτρα και αποζημίωση βάσει της νέας οδηγίας για τις αντιπροσωπευτικές ενέργειες.