Tiistaina noyb jätti GDPR valituksen Wienissä toimivan osoitteen välittäjä AZ Suora Österreich GmbH. Bertelsmann-ryhmään kuuluva yritys oli kieltäytynyt toimittamasta tietoja käsiteltyjen tietojen alkuperästä ja vastaanottajista. Esitetyt syyt olivat järkyttäviä: Osoite välittäjä väittää, ettei tiedä missä paketti tuli - I t olisi ollut liian työlästä totea. Tietoja kerätään kuitenkin päivittäin ja myydään mainostajille. SE vastaanottajat, jotka saavat AZ Directin tietoja ei myöskään paljastettu.
Lataa: Valitus Itävallan tietosuojaviranomaiselle
Väitetysti tuntemattoman alkuperän tiedot ja säädetyt säännökset . Rekisteröidylle oli lähettänyt pääsypyyntöviestin 15 artiklan mukaisesti GDPR AZ Direct. Hän kysyi myös mistä osoitteen kustantaja oli kerännyt tietonsa ja kenelle se oli myyty. AZ Suora totesi, että muun muassa se oli tallennettu (entinen) asuinosoitteita rekisteröidyn. Kuitenkin osoitetta välittäjä väitti, ettei tiedä, miten se oli saanut nämä tiedot. Väitetysti vain oli, että yksi osoitteista oli kerätty "takia siirtäminen [rekisteröidyn]".
AZ Direct ei toimittanut yksityiskohtaista tietoa tietojen alkuperästä - vaikka GDPR sitä nimenomaisesti vaatii. AZ Direct vain totesi, että " kaikki tiedot pidetään jatkuvasti ajan tasalla omien tutkimusten avulla " . Kuitenkin "s eparate kirjaa vastaavien betonin alkuperää" ei pidetty.
Marco Blocher, tietosuojaasianajaja noyb: " AZ Directin lausunnot ovat järjettömiä. Osoitetietojen kauppa kolmansien osapuolten mainostarkoituksiin on tämän yrityksen ydinliiketoiminta. Heidän on tiedettävä, mistä tiedot tulevat. Tämä ei ole edes vain tietosuoja, se on myös omaksi eduksi osoitteen välittäjä. Ajatelkaa: supermarket tulee myös tietää, missä sen liha , maitotuotteet ja leipä ovat peräisin. "
AZ Suora perustelee väitetty tietämättömyys viittauksella olematonta säännöksiin: Tarkka kirjaa tietojen alkuperä olisi "kohtuutonta työtä siinä mielessä, että DSG". Tämä on merkittävää, koska n joko DSG (Itävallan tietosuojalaki) eikä GDPR tarjoavat kyseistä poikkeusta. AZ Directin vaade on Ommeltujen surullinen tekosyy ei ole mitään kirjaa tietojen alkuperä, vaikka lisäpyyntöjen rekisteröidyn.
Marco Blocher: " AZ Direct on tietosuojalain alainen vastuuvelvollinen, ja sen on pystyttävä aina osoittamaan, että GDPR: n sääntöjä noudatetaan. Kuinka he voivat tehdä niin, jos he ei ole aavistustakaan, mistä tiedot tulevat? Ne ei koskaan pystyisi noudattaa rekisteröidyn pääsypyyntöä - puhumattakaan siitä, että tiedot ovat sisällöltään oikeita. Joko AZ Direct tarkoituksella pidättää ta tietoa tietojen alkuperä, tai heillä on valtava rakenteellinen ongelma, joka tekee koko liiketoimintamalli ristiriidassa GDPR. Kummassakin tapauksessa tarvitaan selitystä. Valmiiksi tehty varaus ei voi muuttaa tätä. "
Myös tietojen vastaanottajat pidetään salassa . Ei vain "missä mistä", mutta myös "minne" tietojen edelleen läpinäkymätön. Mukaan GDPR, vastaus pääsypyyntöviestin annetaan myös tietoa siitä, kuka tietojen vastaanottajat olivat. AZ Direct pysyy hiljaa myös tässä suhteessa ja antaa vain mahdolliset vastaanottajaryhmät, mutta kieltäytyy sanomasta kenelle tarkalleen mitä tietoja välitettiin.
Marco Blocher: " Kun on kyse tietolähteistä, ne väittävät tietävänsä mitään, ja kun kyse on vastaanottajista, he kieltäytyvät sanomasta mitään. Loppujen lopuksi rekisteröityä pidetään hölmönä. Kuin taikaiskusta, data ilmeisesti piipahti osoitteeseen välittäjän järjestelmän ja saattanut vyörytetty joku muu. Lisää tietoja ei ole. GDPR: n mukaan rekisteröidyn tulisi pystyä seuraamaan, mihin tietojaan lähetetään, jotta hän voi toimia ei-toivottua käsittelyä vastaan. AZ Direct muuttaa osoitteen välityksen mainostarkoituksiin mustaksi laatikoksi . Tätä ei voida hyväksyä. "
noyb on omistettu varmistamaan läpinäkyvä tietojenkäsittely. Vain suoranaisen valituksen suoratoistopalveluista, kuten Netflix, Amazon Prime tai YouTube, AZ Directiä koskeva valitus koskee viime kädessä avoimuutta - yksi GDPR: n periaatteista . Tämän takaamiseksi rekisteröidyllä on oikeus käyttää tietojaan ilmaiseksi . Käytännössä tämä johtaa kuitenkin usein ihmisten törmäämiseen seiniin.
Marco Blocher: " A pääsypyynnön pitäisi sallia rekisteröidylle arvioimiseksi laillisuus tietojenkäsittelyä. Jos yritys kuitenkin laiminlyö lain ja ei anna tietoja tai antaa vain puutteellisia tietoja, se ei usein ole mahdollista. Ainoa tapa jäljellä on hakea kilpailualueen ent tietosuojaviranomainen pakottaa yrityksen tarjoamaan pyydetyt tiedot noudattaen GDPR. Toivomme tässä tapauksessa, että viranomainen käyttää hyväkseen laajoja valtuuksiaan ja tutkii tapauksen perusteellisesti. Varsinkin aloilla, joiden ydinliiketoiminta on datakauppa, järjestelmällistä avoimuutta ei saa suvaita . "