Nielegalna wymiana danych pomiędzy wydawcą adresu a agencją ratingową
noyb złożył 18 marca 2021 roku skargę GDPR przeciwko agencji rankingu kredytowego CRIF GmbH i wydawcy adresów AZ Direct. Firmy te wymieniają dane, co narusza GDPR, a także austriackie prawo. Wydawcy adresów mogą przekazywać dane tylko do celów reklamowych, ale nie do agencji kredytowych w celu oceny zdolności kredytowej.
Pobierz: Skarga do austriackiego urzędu ochrony danych (PDF)
Pobierz: Angielskie tłumaczenie maszynowe skargi (PDF)
CRIF i AZ Direct: Naruszenie GDPR jako wspólny model biznesowySkarżący złożył do CRIF wniosek o dostęp na mocy art. 15 GDPR. CRIF stwierdził, że przechowuje jego imię i nazwisko, datę urodzenia oraz niektóre (częściowo nieaktualne) adresy zamieszkania. Jedynym wymienionym źródłem danych był wydawca adresów AZ Direct. Wydawcy adresów mogą jednak przekazywać dane wyłącznie do celów reklamowych. W przypadku CRIF było bardzo oczywiste, że na podstawie danych otrzymanych od AZ Direct obliczył on kilka ocen zdolności kredytowej i wysłał je do różnych przedsiębiorstw.
Tajny handel danymiAgencje kredytowe mogą mieć dostęp do publicznie dostępnych danych, na przykład z różnych rejestrów w celu gromadzenia danych identyfikacyjnych. Jednak można tam znaleźć tylko ułamek populacji. Większość danych pochodzi najwyraźniej z innego źródła, a mianowicie od wydawców adresów, którzy zgodnie z prawem mogą przekazywać dane tylko w celach reklamowych
"Większość danych, którymi dysponują agencje ratingowe, pochodzi od wydawców adresów - bez żadnej podstawy prawnej i bez pytania osób, których dane dotyczą, o zgodę lub informowania ich o tym. Skarżący nie wiedział również, że jego dane były gromadzone aż do momentu złożenia wniosku o dostęp, mimo że GDPR wyraźnie stwierdza że alan Dahi, prawnik specjalizujący się w ochronie danych w noyb.eu
Ograniczenie celu jako obca koncepcja Zasada celowości stanowi, że dane mogą być gromadzone tylko dla " określonych, wyraźnych i legalnych celów " i nie mogą być dalej przetwarzane dla innych, niezgodnych z nimi celów. Tymczasem zgodnie z rejestrem handlowym AZ Direct jest wyłącznie wydawcą adresów, a zatem może przekazywać dane wyłącznie do celów marketingu bezpośredniego. Niemniej jednak CRIF ewidentnie wykorzystał te dane do celów oceny zdolności kredytowej - co stanowi poważne naruszenie zasady "ograniczenia celu" zgodnie z art. 5 DSGVO
"Marketing bezpośredni i ocena zdolności kredytowej to dwa zupełnie różne i niekompatybilne cele. Zarówno CRIF, jak i AZ Direct naruszają zasadę ograniczenia celu. Ponadto możliwe są naruszenia austriackiego prawa handlowego, które również badamy. "Alan Dahi, prawnik ds. ochrony danych w noyb.eu
Nie jest to odosobniony przypadekCRIF nie ukrywa swoich relacji z wydawcami adresów: wydawcy adresów są wymienieni w oświadczeniu o ochronie danych jako regularni dostawcy danych. Co więcej, CRIF deklaruje na swojej stronie internetowej, że nie posiada żadnych negatywnych danych (tj. żadnych danych dotyczących niespłaconych długów) od ponad 90% przechowywanych osób. Większość danych pozyskuje zatem nieuchronnie od wydawców adresów.
"Sytuacja skarżącego nie jest odosobnionym przypadkiem. noyb wie o kilku podobnych przypadkach. CRIF najwyraźniej przez lata pozyskiwał miliony rekordów danych od wydawców adresów, takich jak AZ Direct, nie informując o tym ani jednej zainteresowanej osoby. Jeśli masz miejsce zamieszkania w Austrii, istnieje duże prawdopodobieństwo, że jesteś również dotknięty."Alan Dahi, prawnik ds. ochrony prywatności w noyb.eu
Kolej na urząd Jeśli austriacki urząd ochrony danych (DPA) przychyli się do naszej skargi, CRIF będzie musiał powstrzymać się od takiego gromadzenia danych w przyszłości - i usunąć wszystkie dane zebrane z naruszeniem GDPR. Ponadto DPA może nałożyć grzywnę w wysokości do 20 milionów euro lub 4% rocznego obrotu zarówno na CRIF, jak i AZ Direct.
"Branże handlu adresami i rankingów kredytowych wciąż nie dostosowały swoich praktyk biznesowych do wymogów GDPR. Najwyższy czas, aby również te branże dotarły do teraźniejszości i respektowały ochronę danych! " Alan Dahi, prawnik ds. ochrony danych w noyb.eu
Skorzystaj ze swoich praw! Możesz również dowiedzieć się, czy CRIF bezprawnie zebrał Twoje dane od wydawcy adresu, takiego jak AZ Direct. W tym celu należy wysłać wniosek o dostęp na mocy art. 15 GDPR do CRIF (auskunft@crif.com) i zapytać w szczególności o pochodzenie przetwarzanych danych. Więcej informacji można znaleźć tutaj. CRIF jest zobowiązany do przekazania Państwu tej informacji w ciągu jednego miesiąca. Po upływie tego terminu mogą się Państwo z nami skontaktować w celu podjęcia dalszych kroków.