Hitelügynökségnek tilos adatgyűjtést végezni hozzáférési kérelmek és polgári nyilvántartások útján
Két évvel ezelőtt a noyb GDPR-panaszt nyújtott be a KSV 1870 hiteladat-közvetítő ellen. Az osztrák hitelinformációs ügynökség kéretlenül tárolt adatokat korábban ismeretlen személyektől, akik éltek az adataikhoz való hozzáféréshez való törvényes jogukkal. Most az osztrák adatvédelmi hatóság (DSB) közzétette az ügyben hozott döntését: a hitelinformációs ügynökség nem gyűjthet adatokat hozzáférési kérelmek és polgári nyilvántartások útján.
A hitelinformációs iroda a tájékoztatáskérésekből származó adatokat tárolja. Az európaiaknak jogukban áll tájékoztatási kérelmet benyújtani a vállalatokhoz, hogy megtudják, milyen adatokat kezelnek róluk. A személyazonosság megerősítése érdekében a vállalat gyakran kér további adatokat: például személyazonosító igazolványt, nevet, címet vagy születési dátumot. Természetesen a vállalatok ezeket a kiegészítő adatokat csak a hozzáférési kérelem megválaszolásához használhatják fel, és ezt követően újra törölniük kell azokat. Ez nem így van az osztrák hitelinformációs ügynökségek iparági vezetőjénél: A KSV 1870 tárolja a magánszemélyek adatait, amikor azok hozzáférést kérnek az adataikhoz.
A KSV szisztematikus megközelítése. A KSV megközelítése szisztematikus - a számos hasonló esetet kaptunk. Egy érintett a GDPR 15. cikke alapján hozzáférési kérelmet nyújtott be a KSV-hez. A hitelügynökség azt válaszolta, hogy az érintett személyes adatait nem kezelték. Legalábbis eddig. A KSV azzal érvelt, hogy az érintett által a hozzáférési jogának érvényesítése érdekében megadott további információkat mostantól az "üzleti adatbázisban" tárolják. De ez még nem minden: ezt megelőzően az érintett hozzáférési kérelemben szereplő adatait összevetették a Központi Lakossági Nyilvántartásban szereplő adataival, és felvették az üzleti adatbázisba.
"A DSB igazat adott nekünk: A KSV 1870 üzleti modellje, miszerint az érintettektől érkező információkéréseket gazdasági adatbázisának gazdagítására használja fel, jogellenes. Az anyakönyvi nyilvántartásból származó további információk feldolgozása szintén egyértelműen jogellenes. Feltételezzük, hogy az általunk képviselt személyen kívül még számtalan osztrák állampolgár érintett. Ezek követelhetik a KSV-től a jogellenesen kezelt adatok törlését." - Marco Blocher, a noyb.eu adatvédelmi ügyvédje
Az adatvédelmi hatóság és a noyb egyetért: A KSV jogellenesen jár el. A KSV eljárása sérti a GDPR 5. cikke (1) bekezdésének b) pontja szerinti célhoz kötöttség elvét. Ez kimondja, hogy az adatokat meghatározott célból kell gyűjteni. Más célú további feldolgozás csak akkor megengedett, ha az összeegyeztethető az eredeti céllal. Az adatvédelmi tisztviselő megállapította, hogy nem volt nyilvánvaló oka a hitelminősítésekhez való hozzáférés iránti kérelem adatainak feldolgozásának, és nem volt jogi felhatalmazás az általános adatgyűjtésre sem. Ezen túlmenően az adatvédelmi tisztviselő elrendelte a jogellenesen megszerzett adatok törlését.
a noyb szigorúan szemmel tartja az adatkereskedőket. Azoknak az iparágaknak, amelyek fő tevékenysége az adatkereskedelem, különösen szigorú előírásoknak kell megfelelniük az adatvédelem terén. A probléma az, hogy a hitelinformációs irodák alig szabályozottak: bár csak a hitelképesség szempontjából releváns adatokat dolgozhatnak fel, nincs meghatározva, hogy ez milyen konkrét információkat foglal magában. Mivel a hitelinformációs ügynökségek rengeteg adathoz férnek hozzá, ezeket különösen felelősségteljesen kell kezelniük.
