noyb.eu podala sťažnosť na GDPR proti ratingovej agentúre "CRIF", ktorá pôsobí vo viac ako 28 krajinách. CRIF pridelila "skóre" presne 446 z 700 možných kreditných bodov zákazníkovi elektriny bez dlhov s dobre plateným stálym zamestnaním. Je to zarážajúce, keďže CRIF niekoľkokrát zdôraznila, že dotyčnú osobu nepozná a nemá o nej uložené žiadne údaje. Skóre bolo vypočítané z ničoho nič. Dôsledok bol však veľmi reálny: energetická spoločnosť s ním odmietla podpísať zmluvu.
- Stiahnite si: Sťažnosť Nemecka rakúskemu úradu na ochranu údajov (PDF)
- Na stiahnutie: Anglický strojový preklad sťažnosti (PDF)
Ako kúzelník s králikom vyčarovala spoločnosť CRIF "úverovú bonitu" zo vzduchu.
Odberateľ elektriny chcel podpísať novú zmluvu o dodávke elektriny. Dodávateľ energie mu zmluvu nečakane odmietol podpísať. Dôvod: jeho úverová bonita bola príliš nízka - dosť prekvapujúce vzhľadom na jeho príjem a povolanie, ktoré by mali byť viac než dostatočné na zaplatenie elektriny. V odpovedi na ďalšie otázky mu bolo vysvetlené, že jeho úverové hodnotenie CRIF by bolo len 446 bodov, zatiaľ čo minimálna požiadavka na zmluvu o dodávke energií bola 650 bodov. Zákazník sa následne obrátil na spoločnosť CRIF a požiadal o prístup k svojim informáciám v súlade s článkom 15 GDPR. Spoločnosť CRIF odpovedala tvrdením, že o ňom ako spotrebiteľovi neuchováva žiadne osobné údaje. Negatívne bodové hodnotenie preto muselo prísť z ničoho nič.
"Odpoveď spoločnosti CRIF je zarážajúca. Ako sa môže vypočítať presné hodnotenie úverovej bonity, ak sa o osobe údajne neuchovávajú žiadne údaje? Zdá sa, že CRIF vypočítala skóre 446 bodov ako britva len z údajov uvedených v žiadosti, t. j. z mena, adresy a dátumu narodenia. Kto býva na nesprávnej adrese alebo má nesprávny dátum narodenia, nedostane zmluvu o dodávke elektriny. "Pravdepodobne je spravodlivejšie zavrieť oči a vybrať si náhodné číslo od 1 do 700." - Alan Dahi, právnik pre ochranu osobných údajov pre noyb.eu
Spracúvanie údajov musí podľa GDPR dodržiavať určité zásady. Jednou z nich je zásada správnosti alebo presnosti údajov - osobné údaje musia byť obsahovo správne. Svojvoľné "voodoo" skóre, ktoré stigmatizuje zákazníkov a vylučuje ich z dodávok elektriny, je jednoznačne nezákonné.
"Ak osoba skutočne nie je uložená v databáze CRIF, výsledok by musel byť "Osoba neznáma", a nie 446. Skóre bez podkladu je vo svojej podstate nesprávne, a teda porušuje nariadenie GDPR".- Alan Dahi, právnik v oblasti ochrany osobných údajov pre noyb.eu
Obchodné tajomstvo? Zákazník elektriny je v nevedomosti.
Spoločnosť CRIF napriek opakovaným žiadostiam odmietla vysvetliť, ako bolo kreditné skóre vypočítané - hoci podľa GDPR má každá dotknutá osoba právo poznať logiku takýchto výpočtov. Odôvodňovalo sa to všeobecným tvrdením, že rozhodovací proces spoločnosti CRIF je "obchodným tajomstvom"; takéto "tajomstvo", ktoré môže dotknutých odberateľov elektriny nechať doslova sedieť v tme, však nie je.
"Po prvé, spotrebitelia už nemôžu uzatvárať zmluvy, pretože sa vymýšľajú úplne nelogické hodnotenia. Potom sa ani nedá zistiť, ako tieto hodnotenia vznikajú. Spotrebiteľ sa stáva pešiakom v algoritme." - Alan Dahi, právnik zaoberajúci sa ochranou osobných údajov pre noyb.eu
Žiadna elektrina - a žiadna zodpovedná osoba
Dodávateľ elektriny uviedol ako jediný dôvod, prečo nebolo možné dodávať energiu, príliš nízke úverové hodnotenie CRIF a ako dôkaz predložil úverovú správu získanú od CRIF. Odberateľ nemal možnosť preukázať, že jeho bonita je v skutočnosti bezchybná, a napriek tomu získať zmluvu o dodávke elektriny. Na otázku však spoločnosť CRIF uviedla, že žiadne posúdenie bonity zo strany CRIF nebolo vykonané. Rozhodnutie o uzavretí zmluvy by bolo výlučne na dodávateľovi elektriny.
Podaná sťažnosť s možnou pokutou až do výšky 20 mil
Vzhľadom na nedostatok informácií a zjavne nesprávne údaje spoločnosť noyb podala prvú sťažnosť na príslušný rakúsky úrad na ochranu údajov.
"Žiadali sme, aby orgán na ochranu údajov dôkladne preskúmal spracovateľské operácie spoločnosti CRIF. Tento orgán môže zakázať takéto svojvoľné rozhodnutia o úverovom ratingu a tiež za ne uložiť pokutu. Tým by sa mala znížiť pravdepodobnosť falošných hodnotení." - Alan Dahi.
noyb berie úverové agentúry do centra pozornosti
Ratingové agentúry majú niekedy veľkú moc nad spotrebiteľmi a doteraz pri jej uplatňovaní neprejavili dostatočnú zodpovednosť. Často sa riadia národnými tradíciami namiesto GDPR, ktoré platí v celej Európe od roku 2018. Nielenže je kvalita výpočtov často pochybná, dokonca nie je jasné, na základe čoho si súkromné spoločnosti, ako je CRIF alebo Schufa v Nemecku, dávajú právo vytvárať rozsiahle databázy o financiách miliónov Európanov.
"Úprimne povedané, nevidíme žiadny základ na to, aby tieto spoločnosti vytvárali zbierku údajov o financiách každého občana. Sťažnosť proti CRIF je preto len prvým krokom. V nasledujúcich mesiacoch a rokoch preskúmame celé odvetvie kus po kuse a v celej Európe a uskutočníme príslušné konanie podľa GDPR."- Alan Dahi, právnik v oblasti ochrany osobných údajov, noyb.eu
