Courtier d'adresses : Conformité à la GDPR "trop lourde" - refus de fournir des informations sur les sources et les destinataires des données

13 Oct 2020

Sur Mardi, noyb a déposé une plainte auprès de GDPR contre le courtier en adresses AZ Direct Österreich GmbH, basé à Vienne. La société, qui appartient au groupe Bertelsmann, avait refusé de fournir des informations sur l'origine et les destinataires des données traitées. Les raisons invoquées étaient les suivantes choquant: Le courtier d'adresses prétend pas à savoir d'où proviennent les données - iil aurait été trop lourd d'enregistrer que. Néanmoins, les données sont collectées jour après jour et vendues aux annonceurs. Le sitevoir destinataires qui reçoiventles données d'AZ Direct n'ont pas non plus été révélées.

Télécharger : Plainte auprès de l'autorité autrichienne de protection des données

Données d'origine prétendument inconnue et des dispositions juridiques élaborées

Le sujet des données avait a envoyé une demande d'accès en vertu de l'article 15 du GDPR à AZ Direct. Il a également demandé à partir de où l'éditeur de l'adresse avait recueilli ses données et à qui elles avaient été vendues. AZ Direct a déclaré, entre autres, qu'elle avait stocké les (anciennes) adresses résidentielles des sujet des données. Cependant, le courtier d'adresses réclamé pas à savoir comment it avait obtenuces données Les seules informations prétendument disponiblesétaitque l'une des adresses avait été recueilli "en raison d'une délocalisation [de la personne concernée]".

AZ Direct n'a pas fourni de informations détailléessur l'origine des données - bien que le Le GDPR l'exige explicitement. AZDirect a simplement déclaré que "toutes les données sont constamment mises à jour grâce à des recherches propres". Cependant,"sdes registres distincts de l'origine concrète respective" n'ont pas été conservés.

Marco Blocher, avocat spécialisé dans la protection des données au Nucle : "Les déclarations d'AZ Direct sont absurdes. Commerce de données d'adresses à des fins publicitaires pour des tiers est l'activité principale de cette société Le sitey ont pour savoir d'où proviennent les données. Ce n'est même pas seulement la protection des données, it est également dans l'intérêt même d'une adresse courtierPensez-yun supermarché aussi doit savoir où sonviandeles produits laitiers et le pain venir de."

AZ Direct justifie son l'ignorance présumée avec une référence à l'inexistence de dispositionsPréciser les enregistrements sur l'origine des données être un "un effort excessif au sens de la DSG". C'est remarquable comme nsoit le DSG (le Loi autrichienne sur la protection des données) ni la GDPR prévoient une telle exception La demande légale d'AZ Direct est composé et une triste excuse pour ne pas avoir de dossiers sur l'origine des données, malgré suivi demande par la personne concernée.

Marco Blocher : "AZ Direct est soumis à la responsabilité de la loi sur la protection des données et doit pouvoir prouver à tout moment que les règles de la GDPR sont observés. Comment peuvent-ils le faire si ilsont non d'où proviennent les données ? Ilsserait jamais être en mesure derépondre à la demande d'accès d'une personne concernée - et encore moins de s'assurer que les données sont correctes en termes de contenu. Soit AZSoit directement est délibérément retenirinformations sur l'origine des données, ou ils ont un problème structurel massif, qui rend l'ensemble de leur modèle d'entreprise incompatible avec la GDPR. Dans les deux cas l'affaire, il y a un besoin d'explication Un maquillage legal ne peut pas changer cela"

Les destinataires des données sont également conservé secret

Non seulement la "d'où" mais aussi le "" des données reste opaqueSelonà la GDPR, la réponse à une demande d'accès doit également contenir des informations sur qui sont les destinataires des données. AZ Direct reste silencieux à cet égard également et seulement donnecatégories possibles des bénéficiaires mais refuse de dire à qui exactement quelles données ont été transmises.

Marco Blocher : "En ce qui concerne les sources de données, ilsprétendre à ne savent rien et quand il s'agit des bénéficiaires, ils refuser de dire quoi que ce soit. En fin de compte, le sujet des données est pris pour un idiot. Comme par magie, les données apparemment a surgi dans l'adresse système de courtage et pourrait ont été transmises à quelqu'un d'autre. Il n'y a pas d'autres informations.Dans le cadre du GDPR, un la personne concernée devrait pouvoir savoir où leur les données sont envoyées de manière à ce que ils peut prendre des mesurescontre les traitements non désirés. AZAdresse des tours directs courtage à des fins publicitaires en un noir boîte. C'est inacceptable."

noybs'engage à assurer la transparence le traitement des données

Juste uns noyb contre les services de streaming tels que Netflix, Amazon Prime ou YouTube, la plainte contre AZ Direct est en fin de compte sur la transparence - l'un des Les principes de GDPR. Afin de garantir cela, la personne concernée a le droit accéder à leurs données gratuitement. Dans la pratique, cependant, cela conduit souvent à personnes en cours d'exécution dans les murs.

Marco Blocher : "An accès la demande doit permettreun sujet de données évaluer la légalité de le le traitement des données. Toutefois, si une entreprise ignore la loi et ne fournit aucune information ou seulement des informations incomplètes, cela n'est souvent pas possible. Le seul moyen qui reste est de s'adresser àla compétencel'autorité de protection des données à forcer l'entreprise à fournir la demande l'information dans conformité avec le GDPRDans le cas présent, nous espérons que l'autorité fera usage de ses pouvoirs étendus et enquêtera de manière approfondie sur l'affaire. En particulier dans les secteurs dont l'activité principale est le commerce de données, une intransigeance systématique ne doit pas être tolérée."