Μια έρευνα σχετικά με τις ροές δεδομένων στον αυστριακό οργανισμό πιστοληπτικής ικανότητας CRIF έριξε περαιτέρω φως στο θέμα: τα περισσότερα από τα δεδομένα διευθύνσεων στη βάση δεδομένων CRIF προέρχονται από τους μεσίτες διευθύνσεων AZ Direct (Bertelsmann Group), Compass-Verlag και DPIT στη Βιέννη. Αλλά από πού αντλούν τα δεδομένα τους αυτοί οι έμποροι διευθύνσεων; Μια νέα αξιολόγηση του noyb που περιλαμβάνει περισσότερα από 2.400 επηρεαζόμενα άτομα δείχνει ότι έχουν πρόσβαση σε δημόσια μητρώα, όπως τα μητρώα εταιρειών και κτηματολογίου, το μητρώο ενώσεων και το Σύστημα Επιχειρηματικών Πληροφοριών (GISA), το οποίο εισήχθη το 2015. Το Compass αναφέρει επίσης το εμπορικό επιμελητήριο (WKO) ως πηγή δεδομένων. Ωστόσο, παραμένει ασαφές από πού λαμβάνει τα δεδομένα του το AZ Direct (ο μεγαλύτερος πάροχος δεδομένων του CRIF). Το AZ Direct λέει ότι δεν γνωρίζει από πού πήρε τα δεδομένα για 7 εκατομμύρια άτομα στην Αυστρία.
Δεδομένα που εξάγονται από δημόσια μητρώα. Ο οργανισμός πιστοληπτικής ικανότητας CRIF λαμβάνει τα περισσότερα δεδομένα διευθύνσεων από τους μεσίτες διευθύνσεων AZ Direct, Compass-Verlag και DPIT. Χάρη στα αιτήματα πρόσβασης που υποβλήθηκαν εκ μέρους των περισσότερων από 2.400 συμμετεχόντων στο έργο CRIF, γνωρίζουμε πλέον: οι τρεις μεσίτες διευθύνσεων χρησιμοποιούν κυρίως δημόσια μητρώα όπως το Μητρώο Συμβολαίων και το μητρώο εταιρειών, το μητρώο ενώσεων και το εμπορικό μητρώο.
Ο Max Schrems, πρόεδρος της noyb : «Φυσικά, αυτά τα μητρώα δεν προορίζονται στην πραγματικότητα να ικανοποιήσουν τις επιθυμίες των μεσιτών δεδομένων, αλλά να αποδείξουν δικαιώματα, ιδιοκτησία και εξουσίες εκπροσώπησης».
Κτηματολόγιο, εμπορικό μητρώο, ZVR, GISA και WKO. Συγκεκριμένα, η Compass-Verlag δηλώνει συχνά ότι έχει λάβει δεδομένα από το εμπορικό μητρώο, το μητρώο ενώσεων (ZVR) και το εμπορικό μητρώο (GISA). Το Εμπορικό Επιμελητήριο (WKO) εμφανίζεται επίσης ως πηγή και προφανώς διαβιβάζει δεδομένα από τα δικά του μέλη. Εν τω μεταξύ, το DPIT δηλώνει ότι έχει πρόσβαση στο κτηματολόγιο, το εμπορικό μητρώο και το εμπορικό μητρώο. Αυτό σημαίνει ότι κάθε αυτοαπασχολούμενος, κάθε ιδιοκτήτης ακινήτου και όλοι όσοι δραστηριοποιούνται σε μια ένωση ενδεχομένως καταγράφηκαν. Ωστόσο, δεν χρησιμοποιούνται πληροφορίες σχετικά με ακίνητα ή επιχειρηματικές δραστηριότητες για σκοπούς αξιολόγησης πιστοληπτικής ικανότητας. Αντ' αυτού, χρησιμοποιούνται μόνο ονόματα, ημερομηνίες γέννησης και διευθύνσεις.
Max Schrems: «Τα δημόσια μητρώα χρησιμοποιούνται ως βιβλία διευθύνσεων, όχι για τον πραγματικό σκοπό της παροχής οικονομικών ή νομικών αποδεικτικών στοιχείων. Τελικά, τα οικονομικά σχετικά δεδομένα δεν χρησιμοποιούνται καθόλου για την αξιολόγηση της πιστοληπτικής ικανότητας - πρόκειται μόνο για τα κύρια δεδομένα».
Η κυβέρνηση δεν κάνει τίποτα για την καταπολέμηση της «απόξεσης» των δημόσιων μητρώων; Τα δημόσια μητρώα είναι απαραίτητα σε ένα σωστά διοικούμενο κράτος δικαίου (π.χ. για να ελεγχθεί εάν κάποιος έχει άδεια άσκησης επιχειρηματικής δραστηριότητας ή είναι ιδιοκτήτης ακινήτου). Στο παρελθόν, αυτό έπρεπε να γίνεται χειροκίνητα. Χάρη στην ψηφιοποίηση, τα περισσότερα μητρώα είναι πλέον διαθέσιμα και στο διαδίκτυο - αλλά προφανώς συχνά χωρίς επαρκή προστασία έναντι της «απόξεσης» μεγάλης κλίμακας. Βασικά προστατευτικά μέτρα, όπως τα captcha, τα όρια ερωτημάτων ανά διεύθυνση IP ή οι όροι και προϋποθέσεις που ορίζουν σαφώς ότι τα δεδομένα μπορούν να χρησιμοποιηθούν μόνο για συγκεκριμένους σκοπούς (π.χ. για την επαλήθευση μιας εμπορικής δραστηριότητας, της ιδιοκτησίας ή της εξουσίας εκπροσώπησης), φαίνεται να απουσιάζουν.
Max Schrems: «Η Αυστρία δεν διαθέτει σαφείς τεχνικούς και νομικούς κανονισμούς για την αποτροπή μαζικής συλλογής δεδομένων για άλλους σκοπούς. Όποιος προσπαθεί να προστατεύσει το απόρρητό του «αποκαλύπτεται» επί του παρόντος από το κράτος - και οι εταιρείες συλλέγουν αυτά τα δεδομένα σε μεγάλη κλίμακα. Είναι καιρός οι πολιτικοί να περιορίσουν αυτήν την κατάχρηση με τεχνικά όρια ερωτημάτων και σαφείς περιορισμούς σκοπού. Δεν διατηρούμε το μητρώο ενώσεων για τον κλάδο της διαφήμισης ή για τους εμπόρους δεδομένων.»
Ο νόμος είναι σαφής: τα δημόσια μητρώα υπόκεινται σε «περιορισμό του σκοπού». Είναι προφανές ότι αυτή η εμπορική επαναχρησιμοποίηση δεν είναι προς το δημόσιο συμφέρον, αλλά παραβιάζει επίσης την αρχή του «περιορισμού του σκοπού» του GDPR στο άρθρο 5(1)(β) του GDPR . Η Αυστριακή Αρχή Προστασίας Δεδομένων (DSB) έχει ήδη αποφασίσει όσον αφορά το Μητρώο Πράξεων ότι, για παράδειγμα, η περαιτέρω επεξεργασία για διαφημιστικούς σκοπούς παραβιάζει τον GDPR. Η γνωστή απόφαση του ΔΕΕ σχετικά με το «δικαίωμα στη λήθη» αφορούσε επίσης νομίμως δημοσιευμένα δεδομένα, τα οποία, ωστόσο, δεν μπορούσαν απλώς να επαναχρησιμοποιηθούν από την Αναζήτηση Google.
Μαξ Σρεμς: «Το γεγονός ότι τα δεδομένα είναι δημόσια διαθέσιμα δεν σημαίνει ότι μπορούν να χρησιμοποιηθούν για οποιονδήποτε σκοπό. Δεν μπορείτε απλώς να βιντεοσκοπείτε ανθρώπους σε έναν δημόσιο δρόμο για τους δικούς σας σκοπούς».
AZ Direct: 7 εκατομμύρια αρχεία δεδομένων χωρίς πηγή; Εν τω μεταξύ, η AZ Direct, μέρος του μεγάλου γερμανικού ομίλου Bertelsmann, αποκαλύπτει ένα εντελώς διαφορετικό πρόβλημα: παρά την νομική της υποχρέωση να παρέχει πληροφορίες, ο διανομέας διευθύνσεων δεν έχει αποκαλύψει συγκεκριμένες πηγές δεδομένων για σχεδόν κανέναν από τους 2.400 συμμετέχοντες. Ωστόσο, η AZ Direct έχει πουλήσει συνολικά περισσότερα από 7 εκατομμύρια αρχεία δεδομένων στην CRIF. Προς το παρόν, δεν είναι απολύτως σαφές από πού προμηθεύεται τις πληροφορίες του ο μεγαλύτερος προμηθευτής δεδομένων της CRIF - γεγονός που καθιστά επίσης αδύνατη την άσκηση των δικαιωμάτων του GDPR.
Max Schrems: «Είναι εντελώς γελοίο το γεγονός ότι μια θυγατρική της Bertelsmann, η οποία έχει τα προσωπικά δεδομένα 7 εκατομμυρίων ανθρώπων στην Αυστρία, δεν γνωρίζει από πού προέρχονται τα δεδομένα. Επί του παρόντος, ένα σύνολο δεδομένων που περιέχει σχεδόν όλους τους κατοίκους της Αυστρίας θα μπορούσε να προέρχεται από οποιαδήποτε πηγή - οι επηρεαζόμενοι δεν έχουν κανέναν τρόπο να ελέγξουν εάν οι πηγές είναι νόμιμες».
Διαδρομή προς ομαδική αγωγή: Η λεπτομερής αξιολόγηση έχει σχεδόν ολοκληρωθεί. Η noyb συνεχίζει να εργάζεται πάνω σε μια λεπτομερή αξιολόγηση των πιστωτικών βαθμολογιών που έλαβε από τους 2.400 συμμετέχοντες. Μαζί με έναν καθηγητή οικονομικών μαθηματικών, οι περισσότερες από 28.000 βαθμολογίες που λήφθηκαν συγκρίνονται με τα πραγματικά οικονομικά δεδομένα των επηρεαζόμενων για να διαπιστωθεί εάν οι βαθμολογίες CRIF είναι στατιστικά ορθές. Προς το παρόν, όλες οι ενδείξεις φαίνεται να υποδηλώνουν ότι η βαθμολογία CRIF έχει ελάχιστη σχέση με την πραγματική ατομική οικονομική κατάσταση και δεν παρέχει μια αξιόπιστη αξιολόγηση κινδύνου για τα άτομα που πληρώνουν πάντα τους λογαριασμούς τους. Για αυτό το 90% του πληθυσμού, η βαθμολογία βασίζεται ουσιαστικά μόνο στην ηλικία, το φύλο και τη διεύθυνση. Αναμένονται περαιτέρω αποτελέσματα τις επόμενες εβδομάδες. Μετά από αυτό, η noyb θα αποφασίσει εάν θα καταθέσει μεγαλύτερη ομαδική αγωγή κατά της CRIF, η οποία είναι πιθανό να επηρεάσει εκατομμύρια ανθρώπους. Σε περίπτωση παράνομης επεξεργασίας προσωπικών δεδομένων, κάθε επηρεαζόμενο άτομο θα μπορούσε να δικαιούται σχετικές αξιώσεις αποζημίωσης.
