Dochodzenie w sprawie przepływu danych w austriackiej agencji kredytowej CRIF rzuciło dodatkowe światło na tę sprawę: większość danych adresowych w bazie danych CRIF pochodzi od brokerów adresowych AZ Direct (Grupa Bertelsmann), Compass-Verlag i DPIT w Wiedniu. Ale skąd ci handlarze adresami biorą swoje dane? Nowy noyb z udziałem ponad 2400 zainteresowanych osób pokazuje, że uzyskują oni dostęp do rejestrów publicznych, takich jak rejestry spółek i gruntów, rejestr stowarzyszeń i system informacji gospodarczej (GISA), który został wprowadzony w 2015 roku. Compass wymienia również Izbę Handlową (WKO) jako źródło danych. Nie jest jednak jasne, skąd AZ Direct (największy dostawca danych CRIF) pozyskuje swoje dane. AZ Direct twierdzi, że nie wie, skąd ma dane dotyczące 7 milionów osób w Austrii.
Dane pobrane z rejestrów publicznych. Agencja kredytowa CRIF uzyskuje większość swoich danych adresowych od brokerów adresowych AZ Direct, Compass-Verlag i DPIT. Dzięki wnioskom o dostęp złożonym w imieniu ponad 2400 uczestników projektu CRIF, wiemy teraz: trzej brokerzy adresowi korzystają głównie z rejestrów publicznych, takich jak rejestr aktów notarialnych i rejestr spółek, rejestr stowarzyszeń i rejestr handlowy.
Max Schrems, przewodniczący noyb: "Oczywiście rejestry te nie mają na celu zaspokojenia pragnień brokerów danych, ale udowodnienie uprawnień, własności i uprawnień do reprezentacji"
Rejestr gruntów, rejestr handlowy, ZVR, GISA i WKO. W szczególności Compass-Verlag często twierdzi, że uzyskał dane z rejestru handlowego, rejestru stowarzyszeń (ZVR) i rejestru handlowego (GISA). Izba Handlowa (WKO) również pojawia się jako źródło i najwyraźniej przekazuje dane od swoich członków. Tymczasem DPIT twierdzi, że ma dostęp do rejestru gruntów, rejestru handlowego i rejestru handlowego. Oznacza to, że każda osoba samozatrudniona, każdy właściciel nieruchomości i każdy działający w stowarzyszeniu został potencjalnie zarejestrowany. Jednak to nie informacje o nieruchomościach lub działalności gospodarczej są wykorzystywane do celów ratingu kredytowego. Zamiast tego wykorzystywane są tylko nazwiska, daty urodzenia i adresy.
Max Schrems: "Rejestry publiczne są wykorzystywane jako książki adresowe, a nie do ich rzeczywistego celu, jakim jest dostarczanie dowodów ekonomicznych lub prawnych. Ostatecznie dane istotne ekonomicznie nie są w ogóle wykorzystywane do oceny zdolności kredytowej - chodzi tylko o dane podstawowe"
Rząd nie robi nic, aby zwalczać "skrobanie" rejestrów publicznych? Rejestry publiczne są niezbędne w dobrze zarządzanym państwie prawa (np. w celu sprawdzenia, czy ktoś posiada zezwolenie na prowadzenie działalności gospodarczej lub jest właścicielem nieruchomości). W przeszłości trzeba było to robić ręcznie. Dzięki cyfryzacji większość rejestrów jest obecnie dostępna również online - ale najwyraźniej często bez wystarczającej ochrony przed "skrobaniem" na dużą skalę. Wydaje się, że brakuje podstawowych środków ochronnych, takich jak captcha, limity zapytań na adres IP lub warunki, które jasno określają, że dane mogą być wykorzystywane wyłącznie do określonych celów (np. do weryfikacji transakcji, własności lub uprawnień do reprezentacji).
Max Schrems: "W Austrii brakuje jasnych regulacji technicznych i prawnych, które zapobiegałyby masowemu skrobaniu danych w innych celach. Każdy, kto próbuje chronić swoją prywatność, jest obecnie "ujawniany" przez państwo - a firmy gromadzą te dane na dużą skalę. Najwyższy czas, aby politycy ograniczyli to nadużycie za pomocą technicznych limitów zapytań i jasnych ograniczeń celu. Nie prowadzimy rejestru stowarzyszeń dla branży reklamowej ani dla podmiotów zajmujących się handlem danymi"
Prawo jest jasne: rejestry publiczne podlegają "ograniczeniu celu". Nie tylko oczywiste jest, że to komercyjne ponowne wykorzystanie nie leży w interesie publicznym, ale także narusza zasadę "ograniczenia celu" RODO w Artykuł 5(1)(b) RODO. Austriacki organ ochrony danych (DSB) zdecydował już w odniesieniu do Rejestru Aktów, że na przykład dalsze przetwarzanie w celach reklamowych narusza RODO. Dobrze znane Orzeczenie TSUE w sprawie "prawa do bycia zapomnianym również dotyczyło legalnie opublikowanych danych, które jednak nie mogły być po prostu ponownie wykorzystane przez wyszukiwarkę Google.
Max Schrems: "Tylko dlatego, że dane są publicznie dostępne, nie oznacza, że mogą być wykorzystywane w dowolnym celu. Nie można po prostu filmować ludzi na publicznej ulicy do własnych celów"
AZ Direct: 7 milionów rekordów danych bez źródła? Tymczasem AZ Direct, część dużej niemieckiej grupy Bertelsmann, ujawnia zupełnie inny problem: pomimo prawnego obowiązku dostarczania informacji, sprzedawca adresów nie ujawnił konkretnych źródeł danych dla prawie żadnego z 2400 uczestników. AZ Direct sprzedała jednak CRIF łącznie ponad 7 milionów rekordów danych. Obecnie jest całkowicie niejasne, skąd największy dostawca danych CRIF pozyskuje swoje informacje - co również uniemożliwia korzystanie z praw wynikających z RODO.
Max Schrems: "To całkowicie niedorzeczne, że spółka zależna Bertelsmanna, która posiada prywatne dane 7 milionów osób w Austrii, nie wie, skąd te dane pochodzą. Obecnie zbiór danych obejmujący prawie wszystkich mieszkańców Austrii może pochodzić z dowolnego źródła - osoby, których dane dotyczą, nie mają możliwości sprawdzenia, czy źródła te są legalne"
Droga do pozwu zbiorowego: Szczegółowa ocena prawie zakończona. noyb kontynuuje prace nad szczegółową oceną wyników kredytowych otrzymanych od 2400 uczestników. Wraz z profesorem matematyki finansowej, ponad 28 000 otrzymanych wyników jest porównywanych z rzeczywistymi danymi finansowymi osób, których dotyczą, aby dowiedzieć się, czy wyniki CRIF są statystycznie uzasadnione. Obecnie wszystko wskazuje na to, że wynik CRIF ma niewiele wspólnego z rzeczywistą indywidualną sytuacją finansową i nie zapewnia wiarygodnej oceny ryzyka dla osób, które zawsze płacą rachunki. W przypadku tych 90% populacji wynik jest zasadniczo oparty tylko na wieku, płci i adresie. Dalsze wyniki spodziewane są w nadchodzących tygodniach. Następnie Noyb zdecyduje, czy złożyć większy pozew zbiorowy przeciwko CRIF, który prawdopodobnie wpłynie na miliony ludzi. W przypadku niezgodnego z prawem przetwarzania danych osobowych, każda poszkodowana osoba może mieć prawo do odpowiednich roszczeń odszkodowawczych.
