Παράνομη ανταλλαγή δεδομένων μεταξύ εκδότη διευθύνσεων και οργανισμού κατάταξης πιστοληπτικής ικανότητας
Η noyb υπέβαλε καταγγελία GDPR εναντίον του οργανισμού αξιολόγησης πιστοληπτικής ικανότητας CRIF GmbH και του εκδότη διεύθυνσης AZ Direct στις 18 Μαρτίου 2021. Οι εταιρείες ανταλλάσσουν δεδομένα που παραβιάζουν τον GDPR, καθώς και τον αυστριακό νόμο. Οι εκδότες διευθύνσεων επιτρέπεται μόνο να διαβιβάζουν δεδομένα για διαφημιστικούς σκοπούς, αλλά όχι σε πιστωτικά γραφεία για πιστοληπτική αξιολόγηση.
Λήψη: Καταγγελία στην Αυστριακή Αρχή Προστασίας Δεδομένων (PDF)
Λήψη: Μη αυτόματη μετάφραση της καταγγελίας στα Αγγλικά (PDF)
CRIF και AZ Direct: Παράβαση του GDPR ως κοινό επιχειρηματικό μοντέλο . Ο καταγγέλλων υπέβαλε αίτηση πρόσβασης βάσει του άρθρου 15 του GDPR στην CRIF. Η CRIF δήλωσε ότι είχε αποθηκεύσει το όνομά του, την ημερομηνία γέννησής του και μερικές (μερικώς ξεπερασμένες) διευθύνσεις κατοικίας. Η μόνη πηγή δεδομένων που αναφέρθηκε ήταν ο εκδότης διευθύνσεων AZ Direct. Ωστόσο, επιτρέπεται στους εκδότες διευθύνσεων να διαβιβάζουν δεδομένα μόνο για διαφημιστικούς σκοπούς. Στην περίπτωση της CRIF, ήταν πολύ προφανές ότι είχαν υπολογίσει αρκετά αποτελέσματα πιστοληπτικής ικανότητας βάσει των δεδομένων που ελήφθησαν από την AZ Direct και τα έστειλαν σε διάφορες εταιρείες.
Μυστική ανταλλαγή δεδομένων . Τα πιστωτικά γραφεία μπορούν να έχουν πρόσβαση σε δημόσια διαθέσιμα δεδομένα, όπως από διαφορετικά μητρώα για τη συλλογή δεδομένων αναγνώρισης. Ωστόσο, μόνο ένα μέρος του πληθυσμού μπορεί να βρεθεί εκεί. Τα περισσότερα από τα δεδομένα προέρχονται προφανώς από μια διαφορετική πηγή, δηλαδή από τους εκδότες διευθύνσεων οι οποίοι, βάσει νόμου, επιτρέπεται μόνο να διαβιβάζουν δεδομένα για διαφημιστικούς σκοπούς.
"Η πλειονότητα των οργανισμών αξιολόγησης πιστοληπτικής ικανότητας προέρχονται από εκδότες διευθύνσεων - χωρίς καμία νομική βάση και χωρίς ποτέ να ζητούν τη συγκατάθεση ή να τους ενημερώσουν τα υποκείμενα των δεδομένων. Ο καταγγέλλων επίσης δεν ήξερε ότι τα δεδομένα του συλλέγονταν μέχρι το αίτημά του για πρόσβαση, ωστόσο ο GDPR δηλώνει σαφώς ότι έπρεπε να είχε ενημερωθεί για αυτήν τη συλλογή " Alan Dahi, δικηγόρος προστασίας δεδομένων στο noyb.eu
Περιορισμός σκοπού ως έννοια αλλοδαπού. Σύμφωνα με την αρχή του περιορισμού του σκοπού, τα δεδομένα μπορούν να συλλέγονται μόνο για " καθορισμένους, ρητούς και νόμιμους σκοπούς " και δεν μπορούν να υποστούν περαιτέρω επεξεργασία για άλλους, ασυμβίβαστους σκοπούς. Ωστόσο, σύμφωνα με το μητρώο επιχειρήσεων, η AZ Direct είναι αποκλειστικά εκδότης διευθύνσεων και επομένως επιτρέπεται μόνο να διαβιβάζει δεδομένα για σκοπούς άμεσου μάρκετινγκ. Ωστόσο, η CRIF είχε προφανώς χρησιμοποιήσει τα δεδομένα για σκοπούς αξιολόγησης της πιστοληπτικής ικανότητας - μια σοβαρή παραβίαση της αρχής του "περιορισμού σκοπού" σύμφωνα με το άρθρο 5 DSGVO.
"Το άμεσο μάρκετινγκ και η πιστοληπτική ικανότητα είναι δύο τελείως διαφορετικοί και ασυμβίβαστοι σκοποί. Τα CRIF και AZ Direct και τα δύο παραβιάζουν την αρχή του περιορισμού του σκοπού. Επιπλέον, υπάρχουν πιθανές παραβιάσεις της αυστριακής εμπορικής νομοθεσίας, τις οποίες εξετάζουμε επίσης. " Alan Dahi, Data Προστασία Δικηγόρος στο noyb.eu
Όχι μεμονωμένη περίπτωση . Η CRIF δεν αποκρύπτει τη σχέση της με τους εκδότες διευθύνσεων: οι εκδότες διευθύνσεων αναφέρονται στη δήλωση προστασίας δεδομένων ως τακτικοί προμηθευτές δεδομένων. Επιπλέον, η CRIF δηλώνει στον ιστότοπό της ότι δεν έχει αρνητικά δεδομένα (δηλ. Δεν υπάρχουν δεδομένα για απλήρωτα χρέη) από περισσότερο από το 90% των αποθηκευμένων ατόμων. Συνεπώς, αποκτούν αναπόφευκτα τα περισσότερα δεδομένα από εκδότες διευθύνσεων.
" Η κατάσταση του καταγγέλλοντος δεν είναι μεμονωμένη υπόθεση. Η noyb γνωρίζει αρκετές παρόμοιες υποθέσεις. Η CRIF προφανώς απέκτησε εκατομμύρια αρχεία δεδομένων από εκδότες διευθύνσεων όπως η AZ Direct για μια περίοδο ετών χωρίς να ενημερώσει ένα άτομο που επηρεάστηκε. Εάν έχετε μια κατοικία στην Αυστρία, υπάρχει μεγάλη πιθανότητα να επηρεαστείτε επίσης. "Alan Dahi, δικηγόρος απορρήτου στο noyb.eu
Η σειρά της αρχής. Εάν η Αυστριακή Αρχή Προστασίας Δεδομένων (DPA) ακολουθήσει το παράπονό μας, το CRIF θα πρέπει να απέχει από τέτοια συλλογή δεδομένων στο μέλλον - και να διαγράψει όλα τα δεδομένα που συλλέγονται κατά παράβαση του GDPR. Επιπλέον, η DPA μπορεί να επιβάλει πρόστιμο έως και 20 εκατομμύρια ευρώ ή 4% του ετήσιου κύκλου εργασιών τόσο στα CRIF όσο και στην AZ Direct.
" Οι κλάδοι διαπραγμάτευσης και κατάταξης πιστοληπτικής ικανότητας δεν έχουν ακόμη προσαρμόσει τις επιχειρηματικές τους πρακτικές στις απαιτήσεις του GDPR. Είναι καιρός να φτάσουν αυτές οι βιομηχανίες στο παρόν και να σεβαστούν την προστασία δεδομένων! " Alan Dahi, Δικηγόρος Προστασίας Δεδομένων στο noyb.eu
Άσκησε τα δικαιώματά σου! Μπορείτε επίσης να μάθετε εάν το CRIF έχει συλλέξει παράνομα τα δεδομένα σας από έναν εκδότη διευθύνσεων όπως το AZ Direct. Για να το κάνετε αυτό, στείλτε ένα αίτημα πρόσβασης σύμφωνα με το άρθρο 15 του GDPR στο CRIF (auskunft@crif.com) και ρωτήστε συγκεκριμένα για την προέλευση των δεδομένων που υποβάλλονται σε επεξεργασία. Περισσότερες πληροφορίες είναι διαθέσιμες εδώ . Η CRIF υποχρεούται να σας παράσχει αυτές τις πληροφορίες εντός ενός μηνός. Μετά από αυτό, μπορείτε να επικοινωνήσετε μαζί μας για περαιτέρω βήματα.
