Prawo dostępu jako bumerang ochrony danych? Biuro informacji kredytowej zbiera dane od osób, które proszą o informacje
W dniu 08.02.2021 r. firma noyb złożyła skargę GDPR przeciwko brokerowi danych o wiarygodności kredytowej KSV 1870. Austriacka agencja informacji kredytowej przechowuje dane od wcześniej nieznanych osób, które korzystają z prawa do dostępu do swoich danych bez zgody.
- Pobierz: Niemiecka skarga do austriackiego organu ochrony danych (PDF)
- Pobierz: Angielskie tłumaczenie maszynowe skargi (PDF)
Prawo dostępu jako bumerang ochrony danych? Każdy ma prawo do uzyskania informacji o tym, jakie dane na jego temat przetwarza firma. Jednak wiele osób boi się poprosić o informacje, ponieważ firma może mieć jeszcze więcej danych na ich temat niż wcześniej: Często, aby otrzymać żądane informacje, trzeba przedstawić dowód osobisty lub podać swoje nazwisko, adres i datę urodzenia. W teorii nie ma powodu do obaw: firmy mają oczywiście prawo wykorzystywać dane tylko w celu udzielenia informacji, a następnie muszą je usunąć. Nie jest tak w przypadku KSV, lidera branży wśród austriackich biur informacji kredytowej:
KSV: Ciekawość zabiła kota. Osoba, której dane dotyczą, wysłała do KSV wniosek o dostęp na podstawie art. 15 GDPR. KSV odpowiedziała, że żadne dane osobowe osoby, której dane dotyczą, nie są przetwarzane. Przynajmniej do chwili obecnej. Ale w następnym akapicie stwierdza się: "Po otrzymaniu Państwa wniosku, podane przez Państwa dane identyfikacyjne będą teraz przetwarzane w naszej bazie danych handlowych w kontekście naszej działalności na podstawie § 152 ustawy o regulacji handlu"
"Ta śmiałość jest zdumiewająca. KSV otrzymuje dane tylko po to, aby odpowiedzieć na wniosek o dostęp, ale następnie wprowadza je do swojej bazy danych bez zezwolenia. Następnie dane te są wykorzystywane do obliczania punktacji kredytowej, którą KSV sprzedaje swoim klientom. Chcesz wiedzieć, czy KSV ma Twoje dane? Wystarczy zapytać, a na pewno będą je mieli!"Marco Blocher, prawnik ds. ochrony danych z noyb.eu
Systematyczne tuczenie bazy danych? Podejście KSV jest systematyczne - noyb wie o kilku podobnych przypadkach: Jeśli dana osoba nie była znana KSV, nazwisko, adres i data urodzenia z wniosku o dostęp były zapisywane w bazie danych. Jeśli KSV znało już daną osobę, aktualizowało bazę danych w oparciu o te informacje. Działania KSV naruszają zasadę ograniczenia celu zgodnie z art. 5 ust. 1 lit. b) GDPR. Zgodnie z tą zasadą dane powinny być gromadzone w określonym, wyraźnym i uzasadnionym celu. Dalsze przetwarzanie w innym celu jest dozwolone tylko wtedy, gdy jest zgodne z pierwotnym celem
"Ludzie składają wnioski o dostęp, aby dowiedzieć się o przetwarzaniu danych - i, jeśli to konieczne, aby podjąć działania przeciwko temu. To po prostu groteskowe, że poza wszystkim takie wnioski prowadzą do znalezienia się w bazie danych KSV."Marco Blocher, prawnik ds. ochrony danych w noyb.eu
noyb bacznie przygląda się brokerom danych. Firmy handlujące danymi muszą przestrzegać szczególnie surowych standardów w zakresie ochrony danych. Dotyczy to nie tylko biur informacji kredytowej i wydawców adresów, ale także dużych firm technologicznych i mediów społecznościowych. Ponieważ firmy te mają dostęp do ogromnych ilości danych, jeszcze ważniejsze jest, aby obchodzić się z nimi z wielką ostrożnością
"Niestety, wiele tak zwanych "firm opartych na danych" ma całkowicie błędne wyobrażenie o sobie. Kiedy już mają dane, robią w zasadzie wszystko, co chcą - bez względu na to, dlaczego i w jaki sposób weszły w ich posiadanie. GDPR wprowadziło pojęcia takie jak ograniczenie celu, aby temu zapobiec. W rzeczywistości nie przejmują się tym zbytnio." Marco Blocher, prawnik ds. ochrony danych w noyb.eu