Onwettige gegevensuitwisseling tussen uitgever van adressen en kredietbeoordelingsbureau
noyb heeft op 18 maart 2021 een GDPR-klacht ingediend tegen het kredietbeoordelingsbureau CRIF GmbH en de adresuitgever AZ Direct . De bedrijven wisselen gegevens uit die in strijd zijn met de GDPR, maar ook met de Oostenrijkse wet. Adressenuitgevers mogen alleen gegevens doorgeven voor reclamedoeleinden, maar niet aan kredietbureaus voor kredietrating.
Download: Klacht bij de Oostenrijkse autoriteit voor gegevensbescherming (PDF)
Download: Engelse machinevertaling van de klacht (PDF)
CRIF en AZ Direct: GDPR-overtreding als gemeenschappelijk bedrijfsmodelDe klager had bij CRIF een verzoek om toegang op grond van artikel 15 GDPR ingediend. CRIF verklaarde dat het zijn naam, geboortedatum en enkele (deels verouderde) woonadressen had opgeslagen. De enige gegevensbron die werd vermeld was de adresuitgever AZ Direct. Adresuitgevers mogen echter alleen gegevens doorgeven voor reclamedoeleinden. In het geval van CRIF was het overduidelijk dat zij verschillende kredietwaardigheidsscores hadden berekend op basis van de van AZ Direct ontvangen gegevens en deze aan verschillende bedrijven hadden doorgegeven.
Geheime handel in gegevensKredietagentschappen hebben toegang tot publiekelijk beschikbare gegevens, zoals uit verschillende registers, om identificatiegegevens te verzamelen. Daar kan echter slechts een fractie van de bevolking worden gevonden. De meeste gegevens komen blijkbaar uit een andere bron, namelijk adresuitgevers die volgens de wet alleen gegevens mogen doorgeven voor reclamedoeleinden
"Het merendeel van de gegevens van de kredietbeoordelingsbureaus is afkomstig van adresuitgevers - zonder enige rechtsgrondslag en zonder ooit de betrokkenen om toestemming te vragen of hen te informeren. De klager wist ook niet dat zijn gegevens werden verzameld tot zijn verzoek om toegang, hoewel de GDPR duidelijk stelt dat hij over deze verzameling had moeten worden geïnformeerd" Alan Dahi, advocaat gegevensbescherming bij noyb.eu
Doelbinding als een vreemd concept Het beginsel van doelbinding houdt in dat gegevens alleen voor " welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden " mogenworden verzameld en niet verder mogen worden verwerkt voor andere, onverenigbare doeleinden. Volgens het handelsregister is AZ Direct echter uitsluitend een uitgever van adressen en mag het dus alleen gegevens doorgeven voor direct-marketingdoeleinden. Niettemin had CRIF de gegevens kennelijk gebruikt voor kredietbeoordelingsdoeleinden - een ernstige schending van het beginsel van "doelbinding" overeenkomstig artikel 5 DSGVO
"Direct marketing en kredietrating zijn twee totaal verschillende en onverenigbare doeleinden. CRIF en AZ Direct schenden beide het beginsel van doelbinding. Daarnaast zijn er mogelijke schendingen van het Oostenrijkse handelsrecht, die wij ook onderzoeken. "Alan Dahi, advocaat gegevensbescherming bij noyb.eu
Geen op zichzelf staand gevalCRIF maakt geen geheim van zijn relatie met adresuitgevers: adresuitgevers worden in de gegevensbeschermingsverklaring genoemd als vaste leveranciers van gegevens. Bovendien verklaart CRIF op haar website dat zij van meer dan 90% van de opgeslagen personen geen negatieve gegevens heeft (d.w.z. geen gegevens over onbetaalde schulden). Het is dus onvermijdelijk dat zij het merendeel van de gegevens betrekt van adresuitgevers.
"De situatie van de klager is geen alleenstaand geval. noyb is op de hoogte van verschillende soortgelijke gevallen. Het CRIF zou in de loop der jaren miljoenen gegevensbestanden van adresuitgevers zoals AZ Direct hebben verworven zonder ook maar één betrokkene daarvan in kennis te stellen. Als u in Oostenrijk woont, is de kans groot dat u ook getroffen bent."Alan Dahi, privacy-advocaat bij noyb.eu
De autoriteit is aan zet Als de Oostenrijkse gegevensbeschermingsautoriteit (DPA) onze klacht volgt, zal CRIF in de toekomst moeten afzien van dergelijke gegevensverzameling - en alle gegevens moeten verwijderen die in strijd met de GDPR zijn verzameld. Bovendien kan de DPA zowel CRIF als AZ Direct een boete opleggen van maximaal 20 miljoen euro of 4% van de jaaromzet.
"De adreshandel en de kredietranglijstindustrie hebben hun bedrijfspraktijken nog steeds niet aangepast aan de vereisten van de GDPR. Het is hoog tijd dat ook deze industrieën in het heden komen en de gegevensbescherming respecteren! "Alan Dahi, advocaat gegevensbescherming bij noyb.eu
Maak gebruik van uw rechten! U kunt ook te weten komen of CRIF uw gegevens onrechtmatig heeft verzameld bij een adresuitgever zoals AZ Direct. Stuur hiervoor een verzoek om toegang op grond van artikel 15 van de GDPR naar CRIF (auskunft@crif.com) en vraag in het bijzonder naar de herkomst van de verwerkte gegevens. Meer informatie is beschikbaar hier. CRIF is verplicht u deze informatie binnen een maand te verstrekken. Daarna kunt u contact met ons opnemen voor verdere stappen.
