Jogellenes adatcsere a címkiadó és a hitelminősítő ügynökség között
noyb 2021. március 18-án GDPR panaszt nyújtott be a CRIF GmbH hitelrangsor-ügynökség és az AZ Direct címkiadó ellen . A vállalatok olyan adatokat cserélnek, amelyek sértik a GDPR-t, valamint az osztrák törvényeket. A címkiadók csak reklámcélokra adhatnak át adatokat, de hitelminősítés céljából nem adhatnak át adatokat a hitelminősítő ügynökségeknek.
Töltse le: Az Adresszel foglalkozó cégek a következő információkat adják ki: "Az Adresszel foglalkozó cégek a következő információkat adják ki: Panasz az osztrák adatvédelmi hatósághoz (PDF)
Letöltés: A panasz angol gépi fordítása (PDF)
CRIF és AZ Direct: a GDPR megsértése mint közös üzleti modell. A panaszos a GDPR 15. cikke alapján hozzáférési kérelmet nyújtott be a CRIF-hez. A CRIF közölte, hogy tárolta a nevét, születési dátumát és néhány (részben elavult) lakcímét. Az egyetlen említett adatforrás az AZ Direct címkiadó volt. A címkiadók azonban csak reklámcélokra adhatnak át adatokat. A CRIF esetében nagyon is nyilvánvaló volt, hogy az AZ Direct-től kapott adatok alapján több hitelképességi pontszámot is kiszámítottak, és azokat különböző cégeknek továbbították.
Titkos adatkereskedelem. A hitelügynökségek hozzáférhetnek nyilvánosan elérhető adatokhoz, például különböző nyilvántartásokból, hogy azonosító adatokat gyűjtsenek. Ott azonban a lakosságnak csak egy töredéke található meg. A legtöbb adat nyilvánvalóan más forrásból származik, nevezetesen a címkiadókból, amelyek a törvény szerint csak reklámcélokra adhatnak át adatokat.
"Az adatok többsége a hitelkockázati rangsoroló ügynökségektől származik - minden jogalap nélkül, az érintettek hozzájárulásának megkérése vagy tájékoztatása nélkül. A panaszos a hozzáférési kérelméig nem is tudott arról, hogy az adatait gyűjtik, holott a GDPR egyértelműen kimondja, hogy hogy a tájékoztatni kellett volna erről a gyűjtésről" Alan Dahi, a noyb.eu adatvédelmi ügyvédje
A célhoz kötöttség mint idegen fogalom. A célhoz kötöttség elve kimondja, hogy az adatokat csak " meghatározott, egyértelmű és jogszerű célokra " lehet gyűjteni , és nem lehet tovább feldolgozni más, egymással összeegyeztethetetlen célokra. A cégjegyzék szerint azonban az AZ Direct kizárólag címkiadó, ezért csak direkt marketing célokra adhat át adatokat. Ennek ellenére a CRIF nyilvánvalóan hitelbírálati célokra használta fel az adatokat - ami a DSGVO 5. cikke szerinti "célhoz kötöttség" elvének súlyos megsértése.
"A direkt marketing és a hitelminősítés két teljesen különböző és összeegyeztethetetlen cél. A CRIF és az AZ Direct egyaránt megsérti a célhoz kötöttség elvét. Ezen túlmenően az osztrák kereskedelmi jog lehetséges megsértése is fennáll, amelyet szintén vizsgálunk. " Alan Dahi, a noyb.eu adatvédelmi ügyvédje
Nem egyedi eset. A CRIF nem csinál titkot a címkiadókkal való kapcsolatából: a címkiadók az adatvédelmi nyilatkozatban rendszeres adatszolgáltatóként szerepelnek. Sőt, a CRIF a honlapján kijelenti, hogy a tárolt személyek több mint 90%-áról nem rendelkezik negatív adatokkal (azaz nem rendelkezik kifizetetlen tartozásokra vonatkozó adatokkal). Az adatok nagy részét tehát elkerülhetetlenül a címkiadóktól szerzik be.
"A panaszos helyzete nem egyedi eset. a noyb több hasonló esetről is tud. A CRIF nyilvánvalóan több millió adatrekordot szerzett meg a címkiadóktól, például az AZ Direct-től, éveken keresztül anélkül, hogy egyetlen érintett személyt is tájékoztatott volna. Ha Önnek Ausztriában van lakóhelye, nagy a valószínűsége, hogy Ön is érintett." Alan Dahi, a noyb.eu adatvédelmi ügyvédje
A hatóságon a sor. Ha az osztrák adatvédelmi hatóság (DPA) követi a panaszunkat, a CRIF-nek a jövőben tartózkodnia kell az ilyen adatgyűjtéstől - és törölnie kell a GDPR megsértésével gyűjtött összes adatot. Ezenkívül a DPA akár 20 millió euróig terjedő bírságot vagy az éves forgalom 4%-át is kiszabhatja mind a CRIF-re, mind az AZ Directre.
"A címkereskedelem és a hitelrangsorolás iparágai még mindig nem igazították üzleti gyakorlatukat a GDPR követelményeihez. Legfőbb ideje, hogy ezek az iparágak is megérkezzenek a jelenbe és tiszteletben tartsák az adatvédelmet! " Alan Dahi, a noyb.eu adatvédelmi ügyvédje
Éljen jogaival! Azt is megtudhatja, hogy a CRIF jogellenesen gyűjtötte-e az Ön adatait egy olyan címkiadónál, mint az AZ Direct. Ehhez küldjön hozzáférési kérelmet a GDPR 15. cikke alapján a CRIF-nek (auskunft@crif.com) és kérdezze meg különösen a feldolgozott adatok eredetét. További információk a következőkről állnak rendelkezésre itt. A CRIF köteles ezt a tájékoztatást egy hónapon belül megadni Önnek. Ezt követően a további lépésekkel kapcsolatban szívesen vesszük, ha kapcsolatba lép velünk.
