Το noyb.eu υπέβαλε καταγγελία GDPR εναντίον του οργανισμού αξιολόγησης πιστοληπτικής ικανότητας "CRIF", ο οποίος δραστηριοποιείται σε περισσότερες από 28 χώρες. Η CRIF εκχώρησε ένα "σκορ" ακριβώς 446 από τους 700 πιθανούς πόντους σε έναν πελάτη ηλεκτρικής ενέργειας χωρίς χρέη με μια καλά αμειβόμενη μόνιμη εργασία. Αυτό είναι εκπληκτικό, καθώς η CRIF τόνισε πολλές φορές ότι δεν γνώριζε τον ενδιαφερόμενο και δεν είχε αποθηκευμένα δεδομένα σε αυτόν. Το σκορ υπολογίστηκε από το πουθενά. Ωστόσο, η συνέπεια ήταν πολύ πραγματική: η εταιρεία ηλεκτρικής ενέργειας αρνήθηκε να υπογράψει σύμβαση μαζί του.
- Λήψη: Γερμανική καταγγελία στην αυστριακή αρχή προστασίας δεδομένων (PDF)
- Λήψη: Μηχανική μετάφραση της καταγγελίας στα Αγγλικά (PDF)
Όπως ένας μάγος με ένα κουνέλι, το CRIF έχει δημιουργήσει «πιστοληπτική ικανότητα» από τον αέρα.
Ένας πελάτης ηλεκτρικής ενέργειας ήθελε να υπογράψει μια νέα σύμβαση ηλεκτρικής ενέργειας. Ο προμηθευτής ενέργειας απρόσμενα αρνήθηκε να υπογράψει τη σύμβαση. Ο λόγος: η πιστοληπτική του βαθμολογία ήταν πολύ χαμηλή - μάλλον έκπληξη δεδομένου του εισοδήματος και του επαγγέλματός του, τα οποία θα έπρεπε να είναι περισσότερο από επαρκή για να πληρώσουν για ηλεκτρική ενέργεια. Σε απάντηση σε περαιτέρω έρευνες, εξηγήθηκε ότι το πιστωτικό του αποτέλεσμα CRIF θα ήταν μόνο 446 πόντοι, ενώ η ελάχιστη απαίτηση για ενεργειακό συμβόλαιο ήταν 650 πόντοι. Ο πελάτης στη συνέχεια πλησίασε το CRIF και ζήτησε πρόσβαση στις πληροφορίες του σύμφωνα με το άρθρο 15 του GDPR. Η CRIF απάντησε ισχυριζόμενη ότι δεν έχει αποθηκεύσει προσωπικά δεδομένα σε αυτόν ως καταναλωτή. Το αρνητικό σκορ πρέπει επομένως να βγαίνει από το πουθενά.
" Η απάντηση του CRIF είναι εκπληκτική. Πώς μπορεί να υπολογιστεί ένα ακριβές σκορ αξιολόγησης πιστοληπτικής ικανότητας εάν δεν υπάρχουν δεδομένα που φέρεται να αποθηκεύονται στο άτομο; Φαίνεται ότι το CRIF υπολόγισε μια ευκρινή βαθμολογία 446 πόντων από τα δεδομένα απλού αιτήματος, δηλαδή όνομα, διεύθυνση και ημερομηνία γέννησης. Όποιος ζει σε λάθος διεύθυνση ή έχει λανθασμένη ημερομηνία γέννησης δεν θα πάρει συμβόλαιο ηλεκτρικής ενέργειας. " Είναι μάλλον πιο δίκαιο να κλείσετε τα μάτια σας και να επιλέξετε έναν τυχαίο αριθμό μεταξύ 1 και 700 . " - Alan Dahi, δικηγόρος απορρήτου για το noyb.eu
Η επεξεργασία δεδομένων πρέπει να ακολουθεί ορισμένες αρχές σύμφωνα με τον GDPR. Ένα από αυτά είναι η αρχή της ορθότητας ή της ακρίβειας των δεδομένων - τα προσωπικά δεδομένα πρέπει να είναι σωστά στο περιεχόμενο. Οι αυθαίρετες βαθμολογίες « βουντού» που στιγματίζουν τους πελάτες και τους αποκλείουν από την παροχή ηλεκτρικού ρεύματος είναι σαφώς παράνομες.
"Εάν ένα άτομο στην πραγματικότητα δεν είναι αποθηκευμένο στη βάση δεδομένων CRIF, το αποτέλεσμα θα πρέπει να είναι" Άγνωστο άτομο "και όχι 446. Η βαθμολογία χωρίς βάση είναι εγγενώς εσφαλμένη και συνεπώς παραβίαση του GDPR" . - Alan Dahi, δικηγόρος απορρήτου για το noyb.eu
Εμπορικό μυστικό? Ο πελάτης ηλεκτρικής ενέργειας βρίσκεται στο σκοτάδι.
Το CRIF αρνήθηκε να εξηγήσει τον τρόπο υπολογισμού του πιστωτικού αποτελέσματος, παρά τα επανειλημμένα αιτήματα - αν και σύμφωνα με το GDPR, κάθε ενδιαφερόμενος έχει το δικαίωμα να γνωρίζει τη λογική πίσω από αυτούς τους υπολογισμούς. Αυτό δικαιολογείται με τον γενικό ισχυρισμό ότι η διαδικασία λήψης αποφάσεων της CRIF ήταν "εμπορικό μυστικό". Ωστόσο, ένα τέτοιο «μυστικό» που μπορεί να αφήσει τους πελάτες ηλεκτρισμού που επηρεάζονται κυριολεκτικά να κάθονται στο σκοτάδι.
"Πρώτον, οι καταναλωτές δεν μπορούν πλέον να συνάπτουν συμβόλαια επειδή εφευρίσκονται εντελώς παράλογες εκτιμήσεις. Τότε δεν μπορείτε καν να ξέρετε πώς γίνονται αυτές οι αξιολογήσεις. Ο καταναλωτής γίνεται πιόνι σε έναν αλγόριθμο." - Alan Dahi, δικηγόρος απορρήτου για το noyb.eu
Χωρίς ηλεκτρισμό - και κανένα υπεύθυνο άτομο
Ο προμηθευτής ηλεκτρικής ενέργειας ανέφερε το πιστωτικό αποτέλεσμα CRIF, το οποίο ήταν πολύ χαμηλό, ως ο μόνος λόγος για τον οποίο δεν ήταν δυνατή η παροχή ενέργειας και υπέβαλε την πιστωτική έκθεση που αποκτήθηκε από την CRIF ως αποδεικτικά στοιχεία. Ο πελάτης δεν είχε την ευκαιρία να αποδείξει ότι η πιστοληπτική του ικανότητα ήταν στην πραγματικότητα άψογη και εξακολουθούσε να έχει συμβόλαιο ηλεκτρικής ενέργειας. Ωστόσο, όταν ρωτήθηκε, η CRIF δήλωσε ότι δεν πραγματοποιήθηκε αξιολόγηση πιστοληπτικής ικανότητας από την CRIF. Η απόφαση για τη σύναψη της σύμβασης θα ληφθεί αποκλειστικά από τον προμηθευτή ηλεκτρικής ενέργειας.
Η καταγγελία κατατέθηκε, με πιθανό πρόστιμο έως 20 εκατομμύρια ευρώ
Λόγω της έλλειψης πληροφοριών και των προφανώς λανθασμένων δεδομένων, η noyb υπέβαλε μια πρώτη καταγγελία στην αρμόδια αυστριακή αρχή προστασίας δεδομένων.
"Ζητήσαμε από την αρχή προστασίας δεδομένων να εξετάσει προσεκτικά τις διαδικασίες επεξεργασίας από την CRIF. Η αρχή μπορεί να απαγορεύσει αυτούς τους τύπους αυθαίρετων αποφάσεων αξιολόγησης πιστοληπτικής ικανότητας και επίσης να επιβάλει ποινή γι 'αυτές. Αυτό θα καθιστούσε λιγότερο πιθανές τις ψευδείς αξιολογήσεις." - Άλαν Ντάχι.
Το noyb εστιάζει τα πιστωτικά γραφεία
Οι οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας μερικές φορές έχουν μεγάλη δύναμη στους καταναλωτές και μέχρι στιγμής έχουν δείξει μικρή ευθύνη στην άσκηση αυτής της εξουσίας. Συχνά ακολουθούν τις εθνικές παραδόσεις αντί του GDPR, το οποίο ισχύει σε όλη την Ευρώπη από το 2018. Όχι μόνο η ποιότητα των υπολογισμών είναι συχνά αμφισβητήσιμη, είναι ακόμη ασαφές σε ποια βάση προσφέρονται ιδιωτικές εταιρείες όπως η CRIF ή η Schufa στη Γερμανία το δικαίωμα δημιουργίας μεγάλων βάσεων δεδομένων για τα οικονομικά εκατομμυρίων Ευρωπαίων.
"Ειλικρινά δεν βλέπουμε καμία βάση για αυτές τις εταιρείες να δημιουργήσουν μια συλλογή δεδομένων σχετικά με τα οικονομικά κάθε πολίτη. Η καταγγελία κατά της CRIF είναι επομένως μόνο ένα πρώτο βήμα. Τους επόμενους μήνες και χρόνια, θα εξετάσουμε ολόκληρο τον κλάδο από κομμάτι και πανευρωπαϊκή και διεξάγει κατάλληλες διαδικασίες GDPR " . - Alan Dahi, δικηγόρος απορρήτου στο noyb.eu