Agencja kredytowa nie może gromadzić danych za pośrednictwem wniosków o dostęp i rejestrów cywilnych
Dwa lata temu Noyb złożył skargę GDPR przeciwko brokerowi danych kredytowych KSV 1870. Austriacka agencja informacji kredytowej przechowywała niezamówione dane od nieznanych wcześniej osób, które skorzystały z przysługującego im prawa dostępu do swoich danych. Teraz austriacki organ ochrony danych (DSB) opublikował orzeczenie w tej sprawie: agencja informacji kredytowej nie może gromadzić danych za pośrednictwem wniosków o dostęp i rejestrów cywilnych.
Biuro kredytowe przechowuje dane z wniosków o udzielenie informacji. Europejczycy mają prawo złożyć wniosek o udzielenie informacji do firm, aby dowiedzieć się, jakie dane są przetwarzane na ich temat. Aby potwierdzić tożsamość osoby, firma często prosi o dodatkowe dane: na przykład dowód tożsamości, imię i nazwisko, adres lub datę urodzenia. Oczywiście firmy mogą wykorzystywać te dodatkowe informacje wyłącznie w celu udzielenia odpowiedzi na wniosek o dostęp, a następnie muszą je ponownie usunąć. Nie dotyczy to lidera branży austriackich agencji informacji kredytowej: KSV 1870 przechowuje informacje o osobach fizycznych, gdy żądają one dostępu do swoich danych.
Systematyczne podejście KSV. Podejście KSV jest systematyczne - otrzymaliśmy wiele podobnych przypadków. Osoba, której dane dotyczą, złożyła do KSV wniosek o dostęp na podstawie art. 15 RODO. Agencja kredytowa odpowiedziała, że żadne dane osobowe osoby, której dane dotyczą, nie były przetwarzane. Przynajmniej do tej pory. KSV argumentował, że dodatkowe informacje dostarczone przez osobę, której dane dotyczą, w celu wyegzekwowania prawa dostępu, będą teraz przechowywane w "biznesowej bazie danych". Ale to nie wszystko: wcześniej informacje o osobie, której dane dotyczą, z wniosku o dostęp były porównywane z jej danymi w Centralnym Rejestrze Mieszkańców i dodawane do biznesowej bazy danych.
"DSB udowodniło, że mieliśmy rację: Model biznesowy KSV 1870 polegający na wykorzystywaniu wniosków o udzielenie informacji od osób, których dane dotyczą, w celu wzbogacenia swojej bazy danych gospodarczych jest niezgodny z prawem. Przetwarzanie wszelkich dodatkowych informacji z rejestru cywilnego jest również wyraźnie niezgodne z prawem. Zakładamy, że oprócz osoby, którą reprezentujemy, dotyczy to niezliczonej liczby innych Austriaków. Mogą oni żądać od KSV usunięcia bezprawnie przetwarzanych danych" - Marco Blocher, prawnik zajmujący się ochroną danych osobowych w noyb.eu
DPA i noyb zgadzają się: KSV działa niezgodnie z prawem. Działania KSV naruszają zasadę celowości zgodnie z art. 5 ust. 1 lit. b) GDPR. Stanowi to, że dane muszą być gromadzone w określonym celu. Dalsze przetwarzanie w innym celu jest dozwolone tylko wtedy, gdy jest zgodne z pierwotnym celem. Inspektor ochrony danych stwierdził, że nie było wyraźnego powodu do przetwarzania danych z wniosku o dostęp do ratingów kredytowych, ani nie było prawnego upoważnienia do ogólnego gromadzenia danych. Ponadto inspektor ochrony danych nakazał usunięcie nielegalnie uzyskanych danych.
noyb bacznie obserwuje podmioty zajmujące się handlem danymi. Branże, których podstawową działalnością jest handel danymi, muszą spełniać szczególnie surowe standardy w zakresie ochrony danych. Problem polega na tym, że biura kredytowe nie są w żaden sposób regulowane: chociaż mogą przetwarzać tylko dane, które są istotne dla zdolności kredytowej, nie ma definicji, jakie konkretne informacje to obejmują. Ponieważ biura informacji kredytowej mają dostęp do dużej ilości danych, muszą obchodzić się z nimi w szczególnie odpowiedzialny sposób.
