noyb.eu złożył skargę GDPR na agencję ratingową "CRIF", która działa w ponad 28 krajach. CRIF przyznał "wynik" w wysokości dokładnie 446 z 700 ewentualne punkty kredytowe dla bezdługowego klienta energii elektrycznej z dobrze płatną stałą pracą. Jest to zdumiewające, ponieważ CRIF kilkakrotnie podkreślał, że nie znał danej osoby i nie posiadał żadnych danych na jej temat. Punktacja została obliczona znikąd. Konsekwencja była jednak bardzo realna: przedsiębiorstwo energetyczne odmówiło podpisania z nim umowy.
- Pobierz: Niemiecka skarga do Austriackiego Urzędu Ochrony Danych Osobowych (PDF)
- Pobierz: Angielskie tłumaczenie maszynowe reklamacji (PDF)
Jak magik z królikiem, CRIF wyczarował "zdolność kredytową" z powietrza.
Klient energii elektrycznej chciał podpisać nowy kontrakt na energię elektryczną. Dostawca energii niespodziewanie odmówił podpisania umowy. Przyczyna: jego zdolność kredytowa była zbyt niska - raczej zaskakująca, biorąc pod uwagę jego dochody i zawód, który powinien być więcej niż wystarczający, aby zapłacić za energię elektryczną. W odpowiedzi na dalsze pytania wyjaśniono, że jego ocena kredytowa CRIF będzie tylko 446 podczas gdy minimalny wymóg dla umowy energetycznej wynosił 650 punkty. Następnie klient zwrócił się do CRIF i poprosił o dostęp do swoich informacji zgodnie z art. 15 PKBR. W odpowiedzi CRIF stwierdził, że nie przechowuje żadnych danych osobowych dotyczących go jako konsumenta. Negatywny wynik musiał zatem pojawić się znikąd.
"Odpowiedź CRIF jest zdumiewająca. Jak można obliczyć dokładny rating kredytowy, jeśli rzekomo nie przechowuje się żadnych danych na temat danej osoby? Wydaje się, że CRIF obliczył ostry jak brzytwa wynik w wysokości 446 punktów na podstawie samych danych, tj. nazwiska, adresu i daty urodzenia. Kto mieszka pod niewłaściwym adresem lub ma niewłaściwą datę urodzenia, nie otrzyma kontraktu na energię elektryczną. "Prawdopodobnie uczciwiej jest zamknąć oczy i wybrać losową liczbę od 1 do 700." - Alan Dahi, prawnik ds. prywatności na Noyb.eu
Przetwarzanie danych musi odbywać się według określonych zasad zgodnie z PKBR. Jedną z nich jest zasada poprawności danych, czyli dokładności - dane osobowe muszą być poprawne w treści. Arbitralne oceny "voodoo", które stygmatyzują klientów i wykluczają ich z dostaw energii elektrycznej, są wyraźnie nielegalne.
"Jeżeli dana osoba faktycznie nie jest przechowywana w bazie danych CRIF, wynikiem musiałby być "Osoba nieznana", a nie 446. Wynik bez podstawy jest z natury rzeczy nieprawidłowy, a tym samym stanowi naruszenie PKBR". - Alan Dahi, prawnik ds. ochrony prywatności na noyb.eu
Tajemnica handlowa? Klient energii elektrycznej jest w ciemności.
CRIF odmówił wyjaśnienia, w jaki sposób została obliczona ocena zdolności kredytowej, pomimo wielokrotnych próśb - chociaż według PKBR, każda zainteresowana osoba ma prawo znać logikę takich obliczeń. Było to uzasadnione ogólnym twierdzeniem, że proces podejmowania decyzji przez CRIF był "tajemnicą handlową", jednak taka "tajemnica", która może pozostawić dotkniętych nią odbiorców energii elektrycznej dosłownie w ciemności.
"Po pierwsze, konsumenci nie mogą już zawierać umów, ponieważ wymyślono zupełnie nielogiczne oceny. Następnie nie można nawet wiedzieć, w jaki sposób dokonuje się tych ocen. Konsument staje się pionkiem w algorytmie." - Alan Dahi, prawnik ds. ochrony prywatności na Noyb.eu
Brak elektryczności - i brak osoby odpowiedzialnej
Dostawca energii elektrycznej powołał się na zbyt niską ocenę kredytową CRIF jako jedyną przyczynę niemożności dostaw energii i jako dowód przedstawił sprawozdanie z oceny kredytowej uzyskane z CRIF. Odbiorca nie miał możliwości udowodnienia, że jego zdolność kredytowa jest w rzeczywistości nieskazitelna i nadal uzyskuje kontrakt na dostawę energii elektrycznej. Na żądanie klienta CRIF stwierdził jednak, że CRIF nie przeprowadził żadnej oceny kredytowej. Decyzja o zawarciu umowy byłaby podejmowana wyłącznie przez dostawcę energii elektrycznej
Złożona skarga, z potencjalną grzywną w wysokości do 20 mln EUR
Ze względu na brak informacji i oczywiście błędne dane, noyb złożył pierwszą skargę do właściwego austriackiego organu ochrony danych.
"Zażądaliśmy, aby organ ochrony danych dokładnie zbadał operacje przetwarzania danych przez CRIF. Organ ten może zakazać tego typu arbitralnych decyzji dotyczących ratingu kredytowego, a także nałożyć za nie karę. Powinno to zmniejszyć prawdopodobieństwo wystąpienia fałszywych ocen" - Alan Dahi.
noyb koncentruje się na agencjach kredytowych
Agencje ratingowe mają czasami dużą władzę nad konsumentami i jak dotąd wykazywały się niewielką odpowiedzialnością w korzystaniu z tej władzy. Często kierują się tradycjami krajowymi, a nie PKBR, który obowiązuje w całej Europie od 2018 roku. Nie tylko jakość obliczeń jest często wątpliwa, ale nawet nie jest jasne, na jakiej podstawie prywatne firmy, takie jak CRIF czy Schufa w Niemczech, dają sobie prawo do tworzenia dużych baz danych dotyczących finansów milionów Europejczyków.
"Szczerze mówiąc, nie widzimy żadnej podstawy, aby te firmy tworzyły zbiór danych dotyczących finansów każdego obywatela. Skarga na CRIF jest więc tylko pierwszym krokiem. W ciągu najbliższych kilku miesięcy i lat będziemy badać całą branżę po kawałku i całą Europę oraz przeprowadzimy odpowiednie postępowanie w sprawie GDPR". - Alan Dahi, prawnik ds. ochrony prywatności na noyb.eu