noyb on saavuttanut etappivoiton oikeudenkäynnissään luottotietotoimisto CRIF:ää ja osoitekauppias Acxiomia vastaan Saksassa. Yritykset käyvät laittomasti kauppaa miljoonien saksalaisten henkilötiedoilla. Hieman yli kaksi vuotta sitten, noyb jätti siksi valituksen. Nyt Baijerin tietosuojaviranomainen on todennut, että CRIF on käyttänyt ostettuja tietoja väärin - ja rikkonut siten eurooppalaista tietosuojalainsäädäntöä. Samaan aikaan Hessenin viranomainen on hylännyt Acxiomin hakemuksen kieltää noyb pääsyn tapaustiedostoihin.
Taustaa: Salainen, laiton tietojen kauppa. Luottotietotoimisto CRIF ostaa jatkuvasti miljoonien saksalaisten henkilötietoja, kuten nimiä, osoitteita ja syntymäaikoja, osoitteita välittävältä Acxiomilta ja käyttää niitä luottokelpoisuuden arviointiin. Kauppa tapahtuu salaa ja ilman asianomaisten suostumusta tai ilmoitusta. GDPR:n käyttötarkoituksen rajoittamista koskevan periaatteen mukaan markkinointitarkoituksiin kerättyjä tietoja saa käyttää luottoluokitukseen vain suostumuksella. Näin ollen molemmat yritykset rikkovat EU:n tietosuojalainsäädäntöä.
Tietokauppa julistetaan laittomaksi. Baijerin tietosuojaviranomainen (DPA), joka käsittelee CRIF:ää vastaan aloitettua menettelyä, on nyt seurannut tätä arviota: CRIF käsitteli kantelijan tietoja käyttötarkoituksen rajoittamisen periaatteen vastaisesti ja rikkoi velvollisuuttaan ilmoittaa kantelijalle hänen tietojensa hankkimisesta Acxiomilta. Eikä tässä vielä kaikki: viranomainen toteaa, että luottotietotoimisto antoi puutteellisia vastauksia kantelijan tietopyyntöön ja että se antoi jopa vääriä tietoja.
Max Schrems, noyb:n puheenjohtaja: "Saksan viranomaiset ovat katsoneet tarpeeksi kauan sivusta, kun CRIF on salaa rikastunut miljoonien saksalaisten tiedoilla. Se, että Baijerin tietosuojaviranomainen on nyt julistanut Acxiomin kanssa käydyn tietokaupan laittomaksi, on hyvä ensimmäinen askel. Luottolaitoksille, jotka luulevat olevansa lain yläpuolella, tarvitaan selkeitä seuraamuksia."
Yleinen kielto tarkistetaan. Baijerin tietosuojaviranomainen seuraa päätöksellään Itävallan viranomaisen (DSB) maaliskuussa 2023 antamaa päätöstä. Noybin tapauksessa CRIF:n itävaltalaista sivukonttoria vastaan DSB päätti tuolloin, että luottolaitosten ja osoitekauppiaiden välinen salainen kaupankäynti rikkoo tietosuoja-asetusta ja on siksi laitonta. Tämän pohjalta noyb nosti äskettäin kanteen CRIF:ää vastaan myös Itävallassa. Baijerin tietosuojavaltuutettu käy parhaillaan CRIF:ää vastaan Saksassa lisämenettelyä, jossa se tutkii yleistä kieltoa ostaa tietoja Acxiomin kaltaisilta osoitekauppiailta.
Acxiomin menettelyn viivästyminen. Acxiomia vastaan aloitettu menettely (jota hoitaa Hessenin tietosuojaviranomainen) on useita kuukausia jäljessä aikataulusta. Osoitekauppias meni oikeuteen estääkseen kantelijaa tutustumasta tapauksen asiakirjoihin. Tämä pysäytti koko menettelyn - mikä antoi Acxiomille mahdollisuuden jatkaa laitonta tietokauppaa. Tuomioistuin on nyt hylännyt Acxiomin hakemuksen, koska sitä ei voida ottaa tutkittavaksi.
