A hozzáférési jog mint adatvédelmi bumeráng? A hitelinformációs ügynökség adatokat gyűjt azoktól az emberektől, akik információt kérnek
2021.02.08-án a noyb GDPR-panaszt nyújtott be a KSV 1870 hitelképességi adatközlő ellen. Az osztrák hitelinformációs ügynökség olyan, korábban ismeretlen személyek adatait tárolja, akik engedély nélkül élnek az adataikhoz való hozzáféréshez való törvényes jogukkal.
- Töltse le: Bíró úr! Német panasz az osztrák adatvédelmi hatósághoz (PDF)
- Letöltés: A panasz angol nyelvű gépi fordítása (PDF)
A hozzáférési jog mint adatvédelmi bumeráng? Mindenkinek joga van ahhoz, hogy tájékoztatást kapjon arról, hogy egy vállalat milyen adatokat kezel róla. Sokan azonban félnek információt kérni, mert egy vállalat esetleg még több adatot tárol róluk, mint korábban: Gyakran előfordul, hogy a kért információ megszerzéséhez személyi igazolványt kell bemutatni, vagy meg kell adni a nevet, a címet és a születési dátumot. Elméletileg nincs ok a félelemre: a vállalatok nyilvánvalóan csak a tájékoztatás céljából használhatják fel az adatokat, és utána törölniük kell azokat. Nem ez a helyzet a KSV-nél, az osztrák hitelminősítő ügynökségek iparági vezetőjénél:
KSV: A kíváncsiság megölte a macskát. Az érintett a GDPR 15. cikke alapján hozzáférési kérelmet küldött a KSV-nek. A KSV azt válaszolta, hogy az érintett személyes adatait nem kezelik. Legalábbis eddig. A következő bekezdésben azonban ez áll: "A kérelmének beérkezését követően az Ön által megadott azonosító adatokat mostantól az üzletszabályzatról szóló törvény 152. §-a szerinti üzleti tevékenységünkkel összefüggésben a kereskedelmi adatbázisunkban kezeljük."
"Ez a merészség megdöbbentő. A KSV csak a hozzáférési kérelem megválaszolása céljából kapja meg az adatokat, de aztán engedély nélkül beviszi azokat az adatbázisába. Ezt követően az adatokból hitelpontszámokat számolnak ki, amelyeket a KSV elad az ügyfeleinek. Szeretné tudni, hogy a KSV-nél vannak-e az Ön adatai? Csak kérdezze meg, és biztosan náluk lesznek!" Marco Blocher, a noyb.eu adatvédelmi ügyvédje
Az adatbázis szisztematikus hizlalása? A KSV megközelítése szisztematikus - a noyb több hasonló esetről is tud: Ha egy személy ismeretlen volt a KSV számára, a hozzáférési kérelemben szereplő nevet, címet és születési dátumot tárolták az adatbázisban. Ha a KSV már ismerte az illetőt, akkor ezen információk alapján frissítették az adatbázisukat. A KSV eljárása sérti a GDPR 5. cikke (1) bekezdésének b) pontja szerinti célhoz kötöttség elvét. Ezen elv szerint az adatokat meghatározott, egyértelmű és jogszerű célból kell gyűjteni. A további feldolgozás más célból csak akkor megengedett, ha az összeegyeztethető az eredeti céllal.
"Az emberek azért nyújtanak be hozzáférési kérelmet, hogy tudomást szerezzenek az adatkezelésről - és szükség esetén felléphessenek ellene. Egyszerűen groteszk, hogy mindenekelőtt az ilyen kérelmek vezetnek oda, hogy a KSV adatbázisában kötnek ki"." Marco Blocher, a noyb.eu adatvédelmi ügyvédje
a noyb szoros szemmel tartja az adatközvetítőket. Az adatkereskedő cégeknek különösen szigorú előírásokat kell betartaniuk, ha adatvédelemről van szó. Ez nemcsak a hitelinformációs ügynökségekre és a címkiadókra, hanem a nagy technológiai és közösségi médiavállalatokra is vonatkozik. Mivel ezek a cégek hatalmas adathalmazokhoz férnek hozzá, még fontosabb, hogy azokat nagy körültekintéssel kezeljék.
"Sajnos sok úgynevezett "adatvezérelt vállalkozás" teljesen téves önképpel rendelkezik. Ha egyszer már rendelkeznek adatokkal, lényegében azt tesznek, amit akarnak - függetlenül attól, hogy eredetileg miért vagy hogyan jutottak hozzájuk. A GDPR olyan fogalmakat vezetett be, mint a célhoz kötöttség, hogy ezt megakadályozza... A valóságban azonban ez nem nagyon érdekli őket." Marco Blocher, a noyb.eu adatvédelmi jogásza
