de juridische procedures vannoyb tegen het kredietinformatiebureau CRIF brengen een groot aantal juridische schendingen en cynische interpretaties van de GDPR aan het licht en leggen een moeras van wangedrag bloot. Deze schendingen omvatten onjuiste kredietscores, onwettige gegevensverzameling en het opzettelijk achterhouden van informatie wanneer betrokkenen een verzoek indienen bij het kredietinformatiebureau. De tactiek van CRIF is gebaseerd op de hoop dat de meeste individuen hun jacht op informatie opgeven. In reactie hierop heeft noyb een klacht ingediend tegen deze herhaalde schendingen, om de aandacht te vestigen op de duizenden gevallen waarin de rechten van individuen worden geschonden.
Structurele gedeeltelijke antwoorden. Volgens artikel 15 GDPR heeft elke consument het recht om binnen een maand alle gegevens te ontvangen die kredietbureaus zoals CRIF opslaan. Het antwoord van CRIF vermeldt echter niet de bron van de gegevens over de betrokkene en bevat alleen informatie over ontvangers van kredietwaardigheidsgegevens van de afgelopen zes maanden. Dergelijke selectieve openbaarmaking is in strijd met de GDPR, die de snelle en volledige verstrekking van informatie verplicht stelt zonder dat bedrijven dit willekeurig kunnen achterhouden.
Max Schrems, voorzitter van noyb: "Het is bijna bizar in welke mate CRIF de GDPR negeert GDPR. Elke keer komt er een nieuwe overtreding van de wet aan het licht, die laat zien hoezeer CRIF de regels aan haar laars lapt. Het motief achter het achterhouden van informatie is duidelijk: door informatie te verbergen hoopt CRIF lastige vragen te vermijden. De meeste consumenten zijn zich er echter niet van bewust dat de verstrekte gegevens slechts een gedeeltelijk uittreksel zijn, waardoor ze niet op de hoogte zijn van de volledige omvang van de gegevensverwerking."
Het schenden van rechten gebeurt opzettelijk en systematisch. De opzettelijke en systematische schending van rechten wordt duidelijk door de onvolledige informatieverstrekking door CRIF. noyb is talloze gevallen tegengekomen waarin betrokkenen pas aanvullende informatie kregen na aanhoudende follow-ups en tussenkomst van gegevensbeschermingsautoriteiten. Hoe vastberadener individuen zijn, hoe meer informatie er op magische wijze lijkt te verschijnen. In de meeste gevallen wordt duidelijk dat de gegevens werden verzameld bij uitgevers van adressen en veel uitgebreider werden gedeeld dan aanvankelijk werd erkend. De GDPR legt de verantwoordelijkheid voor het verlenen van toegang echter duidelijk bij de voor de verwerking verantwoordelijke en benadrukt dat deze de uitoefening van dit recht moet vergemakkelijken. CRIF doet daarentegen het tegenovergestelde.
Max Schrems: "CRIF probeert haar twijfelachtige praktijk te verhullen met alle trucs uit het boek. Ondanks de expliciete eis van de GDPR dat je alle informatie direct moet ontvangen, bedient CRIF zich van ontwijkende tactieken."
Melden bij de gegevensbeschermingsautoriteit, forse boete kan aanstaande zijn. Gezien de systematische, opzettelijke en flagrante aard van de schendingen door CRIF, valt niet te ontkennen dat deze strafmaatregelen rechtvaardigen. Noyb erkent dit en heeft een klacht ingediend bij de gegevensbeschermingsautoriteit, naast de individuele klachten van getroffen betrokkenen. noyb schat dat een aanzienlijk aantal mensen, waarschijnlijk in de vijf cijfers, elk jaar wordt getroffen door de onvolledige informatie van CRIF.
Max Schrems: "Als een bedrijf dat voornamelijk werkt met persoonsgegevens de GDPR structureel negeert, moet de autoriteit zeker ook het goede voorbeeld geven met gepaste sancties. Het gaat hier niet om een misverstand of een afwijkende juridische mening, hier worden consumenten bewust hun rechten ontnomen."