Laiton tietojenvaihto osoitteen julkaisijan ja luottoluokituslaitoksen välillä
noyb jätti GDPR- valituksen luottoluokituslaitokselle CRIF GmbH: lle ja osoitteiden julkaisijalle AZ Directille 18. maaliskuuta 2021. Yritykset vaihtavat tietoja, jotka rikkovat GDPR: ää ja Itävallan lakia. Osoitekirjailijat voivat välittää tietoja vain mainostarkoituksiin, mutta eivät luottoluokituslaitoksille luottoluokitusta varten.
Lataa: Valitus Itävallan tietosuojaviranomaiselle (PDF)
Lataa: Valituksen englanninkielinen konekäännös (PDF)
CRIF ja AZ Direct: GDPR-rikkomukset yleisenä liiketoimintamallina . Kantelija oli toimittanut CRIF: lle pääsypyynnön GDPR: n 15 artiklan nojalla. CRIF ilmoitti tallentaneensa hänen nimensä, syntymäpäivänsä ja joitain (osittain vanhentuneita) asuinosoitteita. Ainoa mainittu tietolähde oli osoitteen julkaisija AZ Direct. Osoitejulkaisijat voivat kuitenkin välittää tietoja vain mainostarkoituksiin. CRIF: n tapauksessa oli hyvin ilmeistä, että he olivat laskeneet useita luottokelpoisuuspisteitä AZ Directiltä saatujen tietojen perusteella ja lähettäneet ne useille yrityksille.
Salainen datakauppa . Luottotoimistot voivat käyttää julkisesti saatavilla olevia tietoja, kuten eri rekistereistä, kerätäksesi tunnistetietoja. Siellä on kuitenkin vain murto-osa väestöstä. Suurin osa tiedoista on ilmeisesti peräisin toisesta lähteestä, nimittäin osoitteen julkaisijoille, jotka lain mukaan saavat siirtää tietoja vain mainostarkoituksiin.
"Suurin osa luottoluokituslaitoksista on tullut osoitteiden julkaisijoilta - ilman mitään oikeusperustaa ja pyytämättä rekisteröidyiltä suostumusta tai ilmoittamatta heille. Valituksen tekijä ei myöskään tiennyt, että hänen tietojaan kerättiin vasta hänen pyynnöstään, vaikka GDPR: ssä todetaan selvästi, että hänelle olisi pitänyt tiedottaa tästä kokoelmasta " Alan Dahi, tietosuojaasianajaja noyb.eu -sivustolla
Tarkoituksen rajoittaminen ulkomaalaiskäsitteenä. Tarkoituksen rajoittamisen periaatteessa todetaan, että tietoja voidaan kerätä vain " määriteltyihin, nimenomaisiin ja laillisiin tarkoituksiin ", eikä niitä saa käsitellä edelleen muihin, yhteensopimattomiin tarkoituksiin. Yritysrekisterin mukaan AZ Direct on kuitenkin yksinomaan osoitteen julkaisija, ja sen vuoksi sillä on lupa välittää tietoja vain suoramarkkinointitarkoituksiin. CRIF oli kuitenkin ilmeisesti käyttänyt tietoja luottotietojen arviointitarkoituksiin - mikä on vakava loukkaus DSGVO: n 5 artiklan mukaisen "tarkoituksen rajoittamisen" periaatteeseen.
" Suoramarkkinointi ja luottoluokitus ovat kaksi täysin erilaista ja yhteensopimatonta tarkoitusta. CRIF ja AZ Direct rikkovat molemmat tarkoituksen rajoittamisen periaatetta. Lisäksi Itävallan kauppalakia on mahdollista rikkoa, jota myös tutkimme. " Alan Dahi, Data Suojauslakimies osoitteessa noyb.eu
Ei yksittäinen tapaus . CRIF ei salaa suhdettaan osoitteiden julkaisijoihin: osoitteiden julkaisijat nimetään tietosuojailmoituksessa säännöllisinä tietojen toimittajina. Lisäksi CRIF ilmoittaa verkkosivustollaan, että sillä ei ole negatiivisia tietoja (eli tietoja maksamattomista veloista) yli 90 prosentilta tallennettuista henkilöistä. Siksi he hankkivat väistämättä suurimman osan tiedoista osoitteiden julkaisijoilta.
" Kantelijan tilanne ei ole yksittäinen tapaus. Kukaan ei ole tietoinen useista vastaavista tapauksista. CRIF on ilmeisesti hankkinut miljoonia tietueita osoitteiden julkaisijoilta, kuten AZ Direct, vuosien ajan ilmoittamatta asiasta yhdelle henkilölle, jota asia koskee. asuinpaikka Itävallassa, on todennäköistä, että tämä vaikuttaa myös sinuun. "Alan Dahi, yksityisyyden asianajaja, noyb.eu
Viranomaisen vuoro. Jos Itävallan tietosuojaviranomainen (DPA) seuraa valitustamme, CRIF: n on pidättäydyttävä tällaisesta tiedonkeräämisestä tulevaisuudessa - ja poistettava kaikki GDPR: n vastaisesti kerätyt tiedot. Lisäksi tietosuojaviranomainen voi määrätä sekä CRIF: lle että AZ Directille sakon, joka on enintään 20 miljoonaa euroa eli 4 prosenttia vuotuisesta liikevaihdosta.
" Osoitteiden kauppa ja luottoluokitukset eivät ole vieläkään mukauttaneet liiketoimintakäytäntöjään GDPR: n vaatimusten mukaisiksi. On korkea aika, että myös nämä toimialat saapuvat nykypäivään ja kunnioittavat tietosuojaa! " Alan Dahi, tietosuojalakimies noyb.eu
Käytä oikeuksiasi! Voit myös selvittää, onko CRIF kerännyt tietojasi lainvastaisesti osoitteiden julkaisijoilta, kuten AZ Direct. Voit tehdä tämän lähettämällä pääsypyynnön GDPR: n 15 artiklan mukaisesti CRIF: lle (auskunft@crif.com) ja kysymällä erityisesti käsiteltyjen tietojen alkuperästä. Lisätietoja on täällä . CRIF on velvollinen toimittamaan sinulle nämä tiedot kuukauden kuluessa. Tämän jälkeen olet tervetullut ottamaan yhteyttä meihin jatkotoimenpiteitä varten.
