Op Dinsdag, noyb een GDPR-klacht ingediend tegen de in Wenen gevestigde adresmakelaar AZ Direct Österreich GmbH. De onderneming, die deel uitmaakt van het Bertelsmann-concern, had geweigerd informatie te verstrekken over de herkomst en de ontvangers van de verwerkte gegevens. De opgegeven redenen waren schokkend: De adresmakelaar beweert niet naar weten waar de gegevens vandaan komen -t zou te belastend zijn geweest om op te nemen dat. Toch worden de gegevens dag in dag uit verzameld en verkocht aan adverteerders. Dese begunstigden die ontvangengegevens van AZ Direct werden ook niet onthuld.
Download: Klacht bij de Oostenrijkse gegevensbeschermingsautoriteit
Gegevens van naar verluidt onbekende oorsprong en geconfectioneerde wettelijke bepalingen
De gegevenssubject had een verzoek om toegang op grond van artikel 15 van het bbpR te sturen naar AZ Direct. Hij vroeg ook van waar de adresuitgever verzameld zijn gegevens en aan wie het was verkocht. AZ Direct verklaarde onder meer dat het (voormalige) woonadressen van de gegevenssubject. Maar, het adres dat de makelaar heeft geclaimd niet naar weten hoe het had kreegdeze gegevens De naar verluidt enige beschikbare informatiewasdat een van de adressen verzameld "als gevolg van een verhuizing [van de betrokkene]".
AZ Direct heeft geen gedetailleerde informatieion over de oorsprong van de gegevens - hoewel de Het BBPR vereist dit expliciet. AZDirecte stelde alleen maar dat "alle gegevens worden voortdurend up-to-date gehouden door eigen onderzoek". Maar,"separate records van de respectieve concrete oorsprong" werden niet gehouden.
Marco Blocher, advocaat voor gegevensbescherming bij Noyb: "De uitspraken van AZ Direct zijn absurd. Handel in adresgegevens voor reclamedoeleinden van derden is de kernactiviteit van dit bedrijf Dej j hebben om te weten waar de gegevens vandaan komen. Deze is niet eens alleen gegevensbescherming, het is ook in het eigen belang van een adres makelaarDenk er eens over naeen supermarkt ook moet weten waar zijnvlees, melkproducten, en brood komen van."
AZ Direct rechtvaardigt zijn vermeende onwetendheid met een verwijzing naar niet-bestaande juridische voorzieningenNauwkeurig gegevens over de oorsprong van de gegevens zou zijn een "overmatige inspanning in de zin van de DSG". Dit is opmerkelijk als nofwel de DSG (de Oostenrijkse wet op de gegevensbescherming) noch de BBPR voorzien in een dergelijke uitzondering De rechtsvordering van AZ Direct is opgemaakt en een sorry excuus voor geen gegevens over de oorsprong van de gegevens hebben, ondanks opvolging aanvragen door de betrokkene.
Marco Blocher: "AZ Direct is volgens de wet op de gegevensbescherming aansprakelijk en moet te allen tijde kunnen bewijzen dat de regels van de BBPR worden geobserveerd. Hoe kunnen ze dat doen indien zijhebben geen idee waar de gegevens vandaan komen? Zijzou nooit kunnenvoldoen aan een verzoek om toegang van een betrokkene - laat staan ervoor zorgen dat de gegevens correct zijn qua inhoud. Ofwel AZDirecte is met opzet houd achterwegeing informatie over de oorsprong van de gegevens, of die ze hebben een gigantisch structureel probleem, dat hun hele bedrijfsmodel onverenigbaar maakt met de BBPR. In beide geval, er is behoefte aan uitleg Een verzonnen legaik kan dit niet veranderen
De ontvangers van de gegevens zijn ook gehouden geheime
Niet alleen de "waar vandaan" maar ook de "waarheen" van de gegevens blijft ondoorzichtigVolgensnaar de BBPR, het antwoord op een verzoek om toegang moet ook informatie bevatten over wie de ontvangers van de gegevens waren. AZ Direct blijft stil ook in dit opzicht en alleen geeftmogelijke categorieën van de ontvangers maar weigert te zeggen aan wie precies welke gegevens zijn doorgegeven.
Marco Blocher: "Als het gaat om de gegevensbronnen, zijbeweren dat niets weten en als het op de ontvangers aankomt, zij weiger iets te zeggen. Uiteindelijk zal de gegevenssubject wordt genomen voor een dwaas. Als bij toverslag worden de gegevens blijkbaar opgedoken in het adres makelaarssysteem en misschien zijn doorgegeven aan iemand anders. Er is geen informatie meer.Onder de GDPR, een de betrokkene moet kunnen nagaan waar hun gegevens worden verzonden zodat zij kan tot actie overgaantegen ongewenste verwerking. AZRechtstreeks draaiend adres broking voor reclamedoeleinden in een zwarte vak. Dit is onaanvaardbaar."
noybis toegewijd aan het verzekeren van transparante gegevensverwerking
Gewoon eeniemands klachten tegen streamingdiensten zoals Netflix, Amazon Prime of YouTube, de klacht tegen AZ Direct is uiteindelijk over transparantie - een van de BBPR-principes. Om dit te garanderen heeft een betrokkene recht op toegang tot hun gegevens gratis. In de praktijk leidt dit echter vaak tot mensen lopende in muren.
Marco Blocher: "An toegang verzoek moet toestaaneen gegevenssubject dat onderworpen is aan beoordelen de rechtmatigheid van de gegevensverwerking. Echter, als een bedrijf negeert de wet en geeft geen of slechts onvolledige informatie, dit is vaak niet mogelijk. De enige manier die nog overblijft is om gelden voorde concurrentiede gegevensbeschermingsautoriteit te belasten met het afdwingen van het bedrijf om te voorzien in de gevraagde informatie in naleving met de BBPRIn dit geval hopen we dat de autoriteit gebruik zal maken van haar uitgebreide bevoegdheden en de zaak grondig zal onderzoeken. Vooral in sectoren waar de handel in gegevens een kernactiviteit is, mag systematische ondoorzichtigheid niet worden getolereerd."