Luottolaitosta kielletään keräämästä tietoja käyttöoikeuspyyntöjen ja siviilirekisterien kautta
Kaksi vuotta sitten noyb teki GDPR-valituksen luottotietojen välittäjä KSV 1870:stä. Itävaltalainen luottotietotoimisto säilytti pyytämättä tietoja aiemmin tuntemattomilta henkilöiltä, jotka käyttivät laillista oikeuttaan päästä käsiksi tietoihinsa. Nyt Itävallan tietosuojaviranomainen (DSB) julkaisi tapausta koskevan päätöksensä: luottotietotoimisto ei saa kerätä tietoja käyttöoikeuspyyntöjen ja siviilirekisterien kautta.
Luottotietotoimisto tallentaa tietoja tietopyynnöistä. Eurooppalaisilla on oikeus esittää yrityksille tietopyyntö selvittääkseen, mitä tietoja heistä käsitellään. Henkilöllisyyden vahvistamiseksi yritys pyytää usein lisätietoja: esimerkiksi henkilötunnuksen, nimen, osoitteen tai syntymäajan. Yritykset saavat luonnollisesti käyttää näitä lisätietoja vain tietopyyntöön vastaamiseen, minkä jälkeen ne on poistettava. Näin ei ole Itävallan luottotietoyhtiöiden toimialajohtajan kohdalla: KSV 1870 tallentaa tietoja henkilöistä, kun he pyytävät pääsyä tietoihinsa.
KSV:n järjestelmällinen lähestymistapa. KSV:n lähestymistapa on systemaattinen - olemme saaneet lukuisia vastaavia tapauksia . Rekisteröity oli esittänyt KSV:lle yleisen tietosuoja-asetuksen 15 artiklan mukaisen tiedonsaantipyynnön. Luottotoimisto vastasi, että rekisteröidyn henkilötietoja ei ollut käsitelty. Ainakaan tähän asti. KSV väitti, että lisätiedot, jotka rekisteröity oli toimittanut tiedonsaantioikeutensa toteuttamiseksi, tallennettaisiin nyt "yritystietokantaan". Mutta siinä ei ole vielä kaikki: ennen sitä verrattiin rekisteröidyn käyttöoikeuspyynnössä antamia tietoja hänen tietoihinsa asukaskeskusrekisterissä ja lisättiin yritystietokantaan.
"DSB on osoittanut meidät oikeiksi: KSV 1870:n liiketoimintamalli, jossa se käyttää rekisteröityjen tietopyyntöjä taloustietokantansa rikastuttamiseen, on laiton. Myös väestörekisteristä saatujen lisätietojen käsittely on selvästi laitonta. Oletamme, että edustamamme henkilön lisäksi asia koskee lukemattomia muita itävaltalaisia. Nämä voivat vaatia KSV:ltä laittomasti käsiteltyjen tietojen poistamista." - Marco Blocher, noyb.eu:n tietosuojalakimies
Tietosuojavaltuutettu ja noyb ovat samaa mieltä: KSV toimii lainvastaisesti. KSV:n toiminta rikkoo yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaista käyttötarkoitussidonnaisuuden periaatetta. Sen mukaan tiedot on kerättävä tiettyä tarkoitusta varten. Jatkokäsittely toista tarkoitusta varten on sallittua vain, jos se on yhteensopiva alkuperäisen tarkoituksen kanssa. Tietosuojavaltuutettu katsoi, että luottoluokitusten saamista koskevan pyynnön tietojen käsittelylle ei ollut ilmeistä syytä, eikä yleiseen tietojenkeruuseen ollut oikeudellista valtuutusta. Lisäksi tietosuojavaltuutettu määräsi laittomasti saatujen tietojen poistamisen.
noyb pitää tarkasti silmällä datakauppiaita. Toimialojen, joiden ydintoiminta on datakauppaa, on noudatettava erityisen tiukkoja vaatimuksia tietosuojan osalta. Ongelmana on se, että luottotietotoimistoja ei juurikaan säännellä: vaikka ne saavat käsitellä vain luottokelpoisuuden kannalta merkityksellisiä tietoja, ei ole määritelty, mitä tietoja tähän sisältyy. Koska luottotietotoimistoilla on pääsy moniin tietoihin, niiden on käsiteltävä niitä erityisen vastuullisesti.
