Απαγορεύεται σε πιστωτικό οργανισμό να συλλέγει δεδομένα μέσω αιτημάτων πρόσβασης και ληξιαρχείων
Πριν από δύο χρόνια, η noyb υπέβαλε καταγγελία GDPR κατά του μεσίτη πιστωτικών δεδομένων KSV 1870. Ο αυστριακός οργανισμός αναφοράς πιστώσεων αποθήκευε ανεπιθύμητα δεδομένα από προηγουμένως άγνωστα άτομα που άσκησαν το νόμιμο δικαίωμά τους να έχουν πρόσβαση στα δεδομένα τους. Τώρα, η Αυστριακή Αρχή Προστασίας Δεδομένων (DSB) δημοσίευσε την απόφασή της για την υπόθεση: ο οργανισμός αναφοράς πιστώσεων δεν επιτρέπεται να συλλέγει δεδομένα μέσω αιτημάτων πρόσβασης και μητρώων πολιτών.
Το γραφείο πιστοληπτικής αξιολόγησης αποθηκεύει δεδομένα από αιτήματα πληροφοριών. Οι Ευρωπαίοι έχουν το δικαίωμα να υποβάλουν αίτημα πληροφοριών σε εταιρείες για να μάθουν ποια δεδομένα τους υποβάλλονται σε επεξεργασία. Για να επιβεβαιώσει την ταυτότητα του ατόμου, μια εταιρεία συχνά ζητά πρόσθετα δεδομένα: για παράδειγμα, ταυτότητα, όνομα, διεύθυνση ή ημερομηνία γέννησης. Φυσικά, οι εταιρείες μπορούν να χρησιμοποιήσουν αυτές τις πρόσθετες πληροφορίες μόνο για να απαντήσουν σε ένα αίτημα πρόσβασης και στη συνέχεια πρέπει να τις διαγράψουν ξανά. Αυτό δεν ισχύει για τον κορυφαίο στον κλάδο αυστριακό οργανισμό αξιολόγησης πιστοληπτικής αξιολόγησης: το KSV 1870 αποθηκεύει πληροφορίες σχετικά με άτομα όταν ζητούν πρόσβαση στα δεδομένα τους.
Συστηματική προσέγγιση από την KSV. Η προσέγγιση της KSV είναι συστηματική - έχουμε λάβει πολυάριθμες Παρόμοιες περιπτώσεις. Ένα υποκείμενο δεδομένων είχε υποβάλει αίτημα πρόσβασης βάσει του άρθρου 15 του ΓΚΠΔ στην KSV. Ο οργανισμός πιστοληπτικής ικανότητας απάντησε ότι δεν είχαν υποβληθεί σε επεξεργασία προσωπικά δεδομένα του υποκειμένου των δεδομένων. Τουλάχιστον μέχρι τώρα. Η KSV υποστήριξε ότι οι πρόσθετες πληροφορίες που παρείχε το υποκείμενο των δεδομένων για την άσκηση του δικαιώματός του πρόσβασης θα αποθηκεύονταν πλέον στη «βάση δεδομένων επιχειρήσεων». Αλλά δεν είναι μόνο αυτό: πριν από αυτό, οι πληροφορίες του υποκειμένου των δεδομένων από το αίτημα πρόσβασης συγκρίθηκαν με τα δεδομένα του στο Κεντρικό Μητρώο Κατοίκων και προστέθηκαν στη βάση δεδομένων επιχειρήσεων.
« Το DSB μας δικαίωσε: Το επιχειρηματικό μοντέλο του KSV 1870, το οποίο χρησιμοποιεί αιτήματα πληροφοριών από υποκείμενα δεδομένων για τον εμπλουτισμό της οικονομικής του βάσης δεδομένων, είναι παράνομο. Η επεξεργασία οποιωνδήποτε πρόσθετων πληροφοριών από το ληξιαρχείο είναι επίσης σαφώς παράνομη. Υποθέτουμε ότι, εκτός από το άτομο που εκπροσωπούμε, επηρεάζονται αμέτρητοι άλλοι Αυστριακοί. Αυτοί μπορούν να απαιτήσουν από το KSV τη διαγραφή των παράνομα επεξεργασμένων δεδομένων. » - Marco Blocher, δικηγόρος προστασίας δεδομένων στο noyb.eu
Η DPA και η noyb συμφωνούν: Η KSV ενεργεί παράνομα. Οι ενέργειες της KSV παραβιάζουν την αρχή του περιορισμού του σκοπού σύμφωνα με το άρθρο 5(1)(β) του ΓΚΠΔ. Αυτό ορίζει ότι τα δεδομένα πρέπει να συλλέγονται για συγκεκριμένο σκοπό. Περαιτέρω επεξεργασία για άλλο σκοπό επιτρέπεται μόνο εάν είναι συμβατή με τον αρχικό σκοπό. Ο DPO έκρινε ότι δεν υπήρχε προφανής λόγος για την επεξεργασία των δεδομένων του αιτήματος πρόσβασης για αξιολογήσεις πιστοληπτικής ικανότητας, ούτε υπήρχε νομική εντολή για γενική συλλογή δεδομένων. Επιπλέον, ο DPO διέταξε τη διαγραφή των παρανόμως αποκτηθέντων δεδομένων.
Η noyb παρακολουθεί στενά τους εμπόρους δεδομένων. Οι βιομηχανίες των οποίων η κύρια δραστηριότητα είναι η εμπορία δεδομένων πρέπει να υπόκεινται σε ιδιαίτερα αυστηρά πρότυπα όσον αφορά την προστασία των δεδομένων. Το πρόβλημα είναι ότι τα πιστωτικά γραφεία δεν υπόκεινται σε κανονιστικές ρυθμίσεις: ενώ επιτρέπεται να επεξεργάζονται μόνο δεδομένα που σχετίζονται με την πιστοληπτική ικανότητα, δεν υπάρχει ορισμός για το ποιες συγκεκριμένες πληροφορίες περιλαμβάνουν αυτό. Καθώς οι οργανισμοί αξιολόγησης πιστοληπτικής ικανότητας έχουν πρόσβαση σε πολλά δεδομένα, πρέπει να τα χειρίζονται με ιδιαίτερα υπεύθυνο τρόπο.
