Kredietbemiddelaar verboden gegevens te verzamelen via toegangsverzoeken en burgerlijke registers
Twee jaar geleden diende noyb een GDPR-klacht in tegen kredietgegevensmakelaar KSV 1870. Het Oostenrijkse kredietinformatiebureau sloeg ongevraagd gegevens op van voorheen onbekende personen die gebruik maakten van hun wettelijke recht op toegang tot hun gegevens. Nu heeft de Oostenrijkse autoriteit voor gegevensbescherming (DSB) haar uitspraak over de zaak gepubliceerd: de kredietinformatiemaatschappij mag geen gegevens verzamelen via verzoeken om toegang en burgerlijke registers.
Kredietinformatiebureau bewaart gegevens uit informatieverzoeken. Europeanen hebben het recht om een informatieverzoek in te dienen bij bedrijven om te weten te komen welke gegevens over hen worden verwerkt. Om de identiteit van de persoon te bevestigen, vraagt een bedrijf vaak om aanvullende gegevens: een ID, naam, adres of geboortedatum, bijvoorbeeld. Uiteraard mogen bedrijven deze aanvullende informatie alleen gebruiken om een verzoek om toegang te beantwoorden en moeten ze deze informatie daarna weer verwijderen. Dit is niet het geval bij de marktleider van Oostenrijkse kredietinformatiebureaus: KSV 1870 bewaart informatie over individuen wanneer zij om toegang tot hun gegevens vragen.
Systematische aanpak door KSV. De aanpak van KSV is systematisch - we hebben talloze soortgelijke gevallen ontvangen. Een betrokkene had een verzoek om toegang op grond van artikel 15 GDPR ingediend bij het KSV. Het kredietbureau antwoordde dat er geen persoonsgegevens van de betrokkene waren verwerkt. Tenminste tot nu toe. KSV voerde aan dat de aanvullende informatie die de betrokkene had verstrekt om zijn recht op toegang af te dwingen, nu zou worden opgeslagen in de "zakelijke database". Maar dat is nog niet alles: daarvoor werd de informatie van de betrokkene uit het verzoek om toegang vergeleken met zijn gegevens in het Centraal Register van Ingezetenen en toegevoegd aan de zakelijke database.
"De DSB heeft ons gelijk gegeven: Het bedrijfsmodel van KSV 1870, waarbij informatieverzoeken van betrokkenen worden gebruikt om de economische database te verrijken, is illegaal. Het verwerken van aanvullende informatie uit de burgerlijke stand is ook duidelijk illegaal. We gaan ervan uit dat, naast de persoon die wij vertegenwoordigen, talloze andere Oostenrijkers getroffen zijn. Deze kunnen van KSV eisen dat de onrechtmatig verwerkte gegevens worden verwijderd." - Marco Blocher, advocaat gegevensbescherming bij noyb.eu
DPA en noyb zijn het eens: KSV handelt onrechtmatig. De acties van KSV schenden het beginsel van doelbinding volgens artikel 5, lid 1, onder b), van de GDPR. Dit stelt dat gegevens voor een specifiek doel moeten worden verzameld. Verdere verwerking voor een ander doel is alleen toegestaan als het verenigbaar is met het oorspronkelijke doel. De DPO oordeelde dat er geen duidelijke reden was om de gegevens van het verzoek om toegang voor kredietratings te verwerken, noch was er een wettelijk mandaat voor algemene gegevensverzameling. Bovendien beval de DPO de verwijdering van de illegaal verkregen gegevens.
noyb houdt gegevenshandelaren nauwlettend in de gaten. Bedrijfstakken die als kernactiviteit het verhandelen van gegevens hebben, moeten zich houden aan bijzonder strenge normen als het gaat om gegevensbescherming. Het probleem is dat kredietinformatiebureaus nauwelijks gereguleerd zijn: ze mogen alleen gegevens verwerken die relevant zijn voor de kredietwaardigheid, maar er is geen definitie van welke specifieke informatie hieronder valt. Omdat kredietinformatiebureaus toegang hebben tot veel gegevens, moeten ze er op een bijzonder verantwoordelijke manier mee omgaan.
