Osoitevälittäjä: GDPR-vaatimusten noudattaminen "liian rasittava"

Oct 13, 2020

Tiistaina noyb jätti GDPR valituksen Wienissä toimivan osoitteen välittäjä AZ Suora Österreich GmbH. Bertelsmann-ryhmään kuuluva yritys oli kieltäytynyt toimittamasta tietoja käsiteltyjen tietojen alkuperästä ja vastaanottajista. Esitetyt syyt olivat järkyttäviä: Osoite välittäjä väittää, ettei tiedä missä paketti tuli - I t olisi ollut liian työlästä totea. Tietoja kerätään kuitenkin päivittäin ja myydään mainostajille. SE vastaanottajat, jotka saavat   AZ Directin tietoja ei myöskään paljastettu.

Lataa: Valitus Itävallan tietosuojaviranomaiselle

Väitetysti tuntemattoman alkuperän tiedot ja säädetyt säännökset . Rekisteröidylle oli lähettänyt pääsypyyntöviestin 15 artiklan mukaisesti GDPR AZ Direct. Hän kysyi myös mistä osoitteen kustantaja oli kerännyt tietonsa ja kenelle se oli myyty. AZ Suora totesi, että muun muassa se oli tallennettu (entinen) asuinosoitteita rekisteröidyn. Kuitenkin osoitetta välittäjä väitti, ettei tiedä, miten se oli saanut nämä tiedot. Väitetysti vain oli, että yksi osoitteista oli kerätty "takia siirtäminen [rekisteröidyn]".

AZ Direct ei toimittanut yksityiskohtaista tietoa tietojen alkuperästä - vaikka GDPR sitä nimenomaisesti vaatii. AZ Direct vain totesi, että " kaikki tiedot pidetään jatkuvasti ajan tasalla omien tutkimusten avulla " . Kuitenkin "s eparate kirjaa vastaavien betonin alkuperää" ei pidetty.

Marco Blocher, tietosuojaasianajaja noyb: " AZ Directin lausunnot ovat järjettömiä. Osoitetietojen kauppa kolmansien osapuolten mainostarkoituksiin on tämän yrityksen ydinliiketoiminta. Heidän on tiedettävä, mistä tiedot tulevat. Tämä ei ole edes vain tietosuoja, se on myös omaksi eduksi osoitteen välittäjä. Ajatelkaa: supermarket tulee myös tietää, missä sen   liha , maitotuotteet ja leipä ovat peräisin. "

AZ Suora perustelee väitetty tietämättömyys viittauksella olematonta säännöksiin: Tarkka kirjaa tietojen alkuperä olisi "kohtuutonta työtä siinä mielessä, että DSG". Tämä on merkittävää, koska n joko DSG (Itävallan tietosuojalaki) eikä GDPR tarjoavat kyseistä poikkeusta. AZ Directin vaade on Ommeltujen surullinen tekosyy ei ole mitään kirjaa tietojen alkuperä, vaikka lisäpyyntöjen rekisteröidyn.

Marco Blocher: " AZ Direct on tietosuojalain alainen vastuuvelvollinen, ja sen on pystyttävä aina osoittamaan, että GDPR: n sääntöjä noudatetaan. Kuinka he voivat tehdä niin, jos he   ei ole aavistustakaan, mistä tiedot tulevat? Ne   ei koskaan pystyisi   noudattaa rekisteröidyn pääsypyyntöä - puhumattakaan siitä, että tiedot ovat sisällöltään oikeita. Joko AZ Direct tarkoituksella pidättää ta tietoa tietojen alkuperä, tai heillä on valtava rakenteellinen ongelma, joka tekee koko liiketoimintamalli ristiriidassa GDPR. Kummassakin tapauksessa tarvitaan selitystä. Valmiiksi tehty varaus ei voi muuttaa tätä. "

Myös tietojen vastaanottajat pidetään salassa . Ei vain "missä mistä", mutta myös "minne" tietojen edelleen läpinäkymätön. Mukaan GDPR, vastaus pääsypyyntöviestin annetaan myös tietoa siitä, kuka tietojen vastaanottajat olivat. AZ Direct pysyy hiljaa myös tässä suhteessa ja antaa vain mahdolliset vastaanottajaryhmät, mutta kieltäytyy sanomasta kenelle tarkalleen mitä tietoja välitettiin.

Marco Blocher: " Kun on kyse tietolähteistä, ne   väittävät tietävänsä mitään, ja kun kyse on vastaanottajista, he kieltäytyvät sanomasta mitään. Loppujen lopuksi rekisteröityä pidetään hölmönä. Kuin taikaiskusta, data ilmeisesti piipahti osoitteeseen välittäjän järjestelmän ja saattanut vyörytetty joku muu. Lisää tietoja ei ole.   GDPR: n mukaan rekisteröidyn tulisi pystyä seuraamaan, mihin tietojaan lähetetään, jotta hän voi toimia   ei-toivottua käsittelyä vastaan. AZ Direct muuttaa osoitteen välityksen mainostarkoituksiin mustaksi laatikoksi . Tätä ei voida hyväksyä. "

noyb   on omistettu varmistamaan läpinäkyvä tietojenkäsittely. Vain suoranaisen valituksen suoratoistopalveluista, kuten Netflix, Amazon Prime tai YouTube, AZ Directiä koskeva valitus koskee viime kädessä avoimuutta - yksi GDPR: n periaatteista . Tämän takaamiseksi rekisteröidyllä on oikeus käyttää tietojaan ilmaiseksi . Käytännössä tämä johtaa kuitenkin usein ihmisten törmäämiseen seiniin.

Marco Blocher: " A pääsypyynnön pitäisi sallia   rekisteröidylle arvioimiseksi laillisuus tietojenkäsittelyä. Jos yritys kuitenkin laiminlyö lain ja ei anna tietoja tai antaa vain puutteellisia tietoja, se ei usein ole mahdollista. Ainoa tapa jäljellä on hakea   kilpailualueen ent tietosuojaviranomainen pakottaa yrityksen tarjoamaan pyydetyt tiedot noudattaen GDPR. Toivomme tässä tapauksessa, että viranomainen käyttää hyväkseen laajoja valtuuksiaan ja tutkii tapauksen perusteellisesti. Varsinkin aloilla, joiden ydinliiketoiminta on datakauppa, järjestelmällistä avoimuutta ei saa suvaita . "