noyb.eu gDPR-panaszt nyújtott be a "CRIF" hitelminősítő intézet ellen, amely több mint 28 országban tevékenykedik. A CRIF pontosan a következő "pontszámot" adta meg 446 a 700 lehetséges hitelpontot egy adósságmentes, jól fizetett állandó munkahellyel rendelkező villamosenergia-ügyfélnek. Ez azért döbbenetes, mert a CRIF többször hangsúlyozta, hogy nem ismeri az érintett személyt, és semmilyen adatot nem tárol róla. A pontszámot a semmiből számították ki. A következmény azonban nagyon is valós volt: az áramszolgáltató nem volt hajlandó szerződést kötni vele.
- Download: Német panasz az osztrák adatvédelmi hatósághoz (PDF)
- Letöltés: (angol nyelven) A panasz angol gépi fordítása (PDF)
Mint bűvész a nyulat, a CRIF a semmiből varázsolta elő a "hitelképességet".
Egy villamosenergia-ügyfél új villamosenergia-szerződést akart kötni. Az energiaszolgáltató váratlanul megtagadta a szerződés aláírását. Az ok: túl alacsony volt a hitelminősítése - ami meglehetősen meglepő, tekintve a jövedelmét és a foglalkozását, amelyeknek több mint elegendőnek kellene lenniük a villanyáram kifizetéséhez. További érdeklődésre válaszolva elmagyarázták, hogy a CRIF-hitelminősítői pontszáma csak 446 pont, míg az energiaszerződéshez szükséges minimumkövetelmény az alábbi volt 650 pont. Az ügyfél ezután a CRIF-hez fordult, és a GDPR 15. cikkének megfelelően hozzáférést kért az adataihoz. A CRIF válaszában azt állította, hogy nem tárolt róla mint fogyasztóról semmilyen személyes adatot. A negatív pontszám tehát a semmiből jöhetett.
"A CRIF válasza megdöbbentő. Hogyan lehet pontos hitelminősítési pontszámot kiszámítani, ha állítólag semmilyen adatot nem tárolnak az adott személyről? Úgy tűnik, hogy a CRIF a puszta kérési adatokból, azaz a névből, a címből és a születési dátumból számolta ki a borotvaéles, 446 pontos pontszámot. Aki rossz címen lakik, vagy rossz születési dátummal rendelkezik, az nem kap villamosenergia-szerződést. "Valószínűleg igazságosabb, ha becsukjuk a szemünket, és kiválasztunk egy véletlenszerű számot 1 és 700 között" - Alan Dahi, a noyb.eu adatvédelmi ügyvédje
A GDPR szerint az adatfeldolgozásnak bizonyos elveket kell követnie. Ezek egyike az adatok helyességének vagy pontosságának elve - a személyes adatoknak tartalmilag helytállónak kell lenniük. Az önkényes "voodoo" pontszámok, amelyek megbélyegzik az ügyfeleket, és kizárják őket az áramszolgáltatásból, egyértelműen illegálisak.
"Ha egy személy valóban nem szerepel a CRIF adatbázisában, akkor az eredménynek nem 446, hanem "Ismeretlen személy" kellene lennie. Az alap nélküli pontszám eleve helytelen, és így sérti a GDPR-t".- Alan Dahi, a noyb.eu adatvédelmi ügyvédje
Üzleti titok? A villamosenergia-ügyfél a sötétben tapogatózik.
A CRIF többszöri kérés ellenére sem volt hajlandó megmagyarázni, hogyan számították ki a hitelpontszámot - holott a GDPR szerint minden érintettnek joga van megismerni az ilyen számítások logikáját. Ezt azzal indokolták, hogy a CRIF döntéshozatali folyamata "üzleti titok"; azonban egy ilyen "titok", amely szó szerint sötétben hagyhatja az érintett áramfogyasztókat.
"Először is, a fogyasztók nem tudnak többé szerződéseket kötni, mert teljesen logikátlan értékeléseket találnak ki. Aztán azt sem lehet tudni, hogyan készülnek ezek az értékelések. A fogyasztó egy algoritmus bábjává válik" - Alan Dahi, a noyb.eu adatvédelmi ügyvédje
Nincs áram - és nincs felelős személy
Az áramszolgáltató a túl alacsony CRIF-hitelminősítésre hivatkozott, mint egyetlen okra, amiért nem tudott energiát szolgáltatni, és bizonyítékként benyújtotta a CRIF-től kapott hiteljelentést. Az ügyfélnek nem adtak lehetőséget arra, hogy bizonyítsa, hogy hitelképessége valójában kifogástalan, és mégis kapjon villamosenergia-szerződést. Kérdésre azonban a CRIF azt állította, hogy a CRIF nem végzett hitelképesség-értékelést. A szerződés megkötéséről szóló döntést kizárólag az áramszolgáltató hozta meg.
Panaszt nyújtottak be, akár 20 millió eurós bírságot is kiszabhatnak
A tájékoztatás hiánya és a nyilvánvalóan téves adatok miatt a noyb első alkalommal panaszt nyújtott be az illetékes osztrák adatvédelmi hatósághoz.
"Kértük, hogy az adatvédelmi hatóság vizsgálja meg alaposan a CRIF által végzett adatkezelési műveleteket. A hatóság megtilthatja az ilyen típusú önkényes hitelminősítési döntéseket, és büntetést is kiszabhat értük. Ezáltal a hamis értékelések valószínűsége csökkenne." - Alan Dahi.
noyb a hitelügynökségeket veszi górcső alá
A hitelminősítő intézetek olykor nagy hatalommal rendelkeznek a fogyasztók felett, és eddig kevés felelősséget mutattak e hatalom gyakorlása során. Gyakran a nemzeti hagyományokat követik a 2018 óta Európa-szerte hatályos GDPR helyett. Nemcsak a számítások minősége gyakran megkérdőjelezhető, de még az sem világos, hogy az olyan magáncégek, mint a CRIF vagy a németországi Schufa milyen alapon adnak maguknak jogot arra, hogy nagy adatbázisokat hozzanak létre európaiak millióinak pénzügyeiről.
"Őszintén szólva nem látunk semmilyen alapot arra, hogy ezek a cégek adatgyűjtést hozzanak létre minden egyes polgár pénzügyeiről. A CRIF elleni panasz ezért csak az első lépés. A következő hónapokban és években darabról darabra és Európa-szerte megvizsgáljuk az egész iparágat, és megfelelő GDPR-eljárást fogunk lefolytatni". - Alan Dahi, a noyb.eu adatvédelmi ügyvédje
