Vyšetrovanie tokov údajov v rakúskej úverovej agentúre CRIF vnieslo do tejto záležitosti ďalšie svetlo: väčšina údajov o adresách v databáze CRIF pochádza od sprostredkovateľov adries AZ Direct (skupina Bertelsmann), Compass-Verlag a DPIT vo Viedni. Odkiaľ však títo obchodníci s adresami získavajú svoje údaje? Nový noyb hodnotenia, do ktorého sa zapojilo viac ako 2 400 dotknutých osôb, vyplýva, že pristupujú k verejným registrom, ako sú obchodné a pozemkové registre, register združení a systém obchodných informácií (GISA), ktorý bol zavedený v roku 2015. Kompas uvádza ako zdroj údajov aj obchodnú komoru (WKO). Zostáva však nejasné, odkiaľ AZ Direct (najväčší dodávateľ údajov CRIF) získava svoje údaje. Spoločnosť AZ Direct tvrdí, že nevie, odkiaľ získala údaje o 7 miliónoch ľudí v Rakúsku.
Údaje získané z verejných registrov. Úverová agentúra CRIF získava väčšinu údajov o adresách od sprostredkovateľov adries AZ Direct, Compass-Verlag a DPIT. Vďaka žiadostiam o prístup podaným v mene viac ako 2 400 účastníkov projektu CRIF teraz vieme: títo traja sprostredkovatelia adries využívajú predovšetkým verejné registre, ako sú register listín a obchodný register, register združení a obchodný register.
Max Schrems, predseda noyb: "Samozrejme, že tieto registre v skutočnosti nie sú určené na uspokojenie túžob sprostredkovateľov údajov, ale na preukázanie oprávnení, vlastníctva a zastupiteľských právomocí."
Pozemkový register, obchodný register, ZVR, GISA a WKO. Konkrétne spoločnosť Compass-Verlag často uvádza, že získala údaje z obchodného registra, registra združení (ZVR) a obchodného registra (GISA). Ako zdroj sa objavuje aj obchodná komora (WKO), ktorá zrejme odovzdáva údaje od svojich vlastných členov. DPIT medzitým uvádza, že má prístup do katastra nehnuteľností, obchodného registra a živnostenského registra. To znamená, že potenciálne bola zaznamenaná každá samostatne zárobkovo činná osoba, každý vlastník nehnuteľnosti a každý, kto pôsobí v združení. Nejde však o informácie o majetku alebo podnikateľských aktivitách, ktoré sa používajú na účely hodnotenia úverovej bonity. Namiesto toho sa používajú len mená, dátumy narodenia a adresy.
Max Schrems: "Verejné registre sa používajú ako adresáre, nie na svoj skutočný účel, ktorým je poskytovanie ekonomických alebo právnych dôkazov. V konečnom dôsledku sa ekonomicky relevantné údaje vôbec nepoužívajú na účely úverového ratingu - ide len o kmeňové údaje."
Vláda nerobí nič proti "škrabaniu" verejných registrov? Verejné registre sú v dobre spravovanom právnom štáte nevyhnutné (napr. na kontrolu, či má niekto živnostenské oprávnenie alebo či je vlastníkom nehnuteľnosti). V minulosti sa to muselo robiť ručne. Vďaka digitalizácii je teraz väčšina registrov dostupná aj online - ale zrejme často bez dostatočnej ochrany proti rozsiahlemu "škrabaniu". Zdá sa, že chýbajú základné ochranné opatrenia, ako sú captchas, limity dotazov na IP adresu alebo podmienky, ktoré jasne stanovujú, že údaje sa môžu použiť len na konkrétne účely (napr. na overenie živnosti, vlastníctva alebo plnej moci na zastupovanie).
Max Schrems: "Rakúsku chýbajú jasné technické a právne predpisy, ktoré by zabránili hromadnému scrapovaniu na iné účely. Každý, kto sa pokúša chrániť svoje súkromie, je v súčasnosti štátom "vydieraný" - a spoločnosti tieto údaje zhromažďujú vo veľkom rozsahu. Je najvyšší čas, aby politici obmedzili toto zneužívanie technickými limitmi na dopytovanie a jasnými účelovými obmedzeniami. Nevedieme register združení pre reklamný priemysel ani pre obchodníkov s údajmi."
Zákon hovorí jasne: verejné registre podliehajú "účelovému obmedzeniu". Nielenže je zrejmé, že toto komerčné opätovné použitie nie je vo verejnom záujme, ale porušuje aj zásadu "obmedzenia účelu" v GDPR Článku 5 ods. 1 písm. b) GDPR. Rakúsky úrad na ochranu údajov (DSB) už v súvislosti s registrom listín rozhodol, že napríklad ďalšie spracúvanie na reklamné účely je v rozpore s GDPR. Známe Rozhodnutie SDEÚ o "práve byť zabudnutý sa tiež týkalo legálne zverejnených údajov, ktoré však vyhľadávač Google nemohol jednoducho opätovne použiť.
Max Schrems: "To, že sú údaje verejne dostupné, neznamená, že sa môžu použiť na akýkoľvek účel. Nemôžete jednoducho natáčať ľudí na verejnej ulici na svoje vlastné účely."
AZ Direct: 7 miliónov dátových záznamov bez zdroja? Spoločnosť AZ Direct, ktorá je súčasťou veľkej nemeckej skupiny Bertelsmann, medzitým odhaľuje úplne iný problém: napriek zákonnej povinnosti poskytovať informácie predajca adries nezverejnil konkrétne zdroje údajov takmer pre žiadneho z 2 400 účastníkov. AZ Direct však predal CRIF celkovo viac ako 7 miliónov záznamov údajov. V súčasnosti je úplne nejasné, odkiaľ najväčší dodávateľ údajov CRIF získava svoje informácie - čo tiež znemožňuje uplatniť svoje práva podľa GDPR.
Max Schrems: "Je úplne absurdné, že dcérska spoločnosť Bertelsmannu, ktorá disponuje súkromnými údajmi 7 miliónov ľudí v Rakúsku, nevie, odkiaľ tieto údaje pochádzajú. V súčasnosti môže súbor údajov obsahujúci takmer každého obyvateľa Rakúska pochádzať z akéhokoľvek zdroja - dotknuté osoby nemajú možnosť skontrolovať, či sú zdroje legálne."
Cesta k hromadnej žalobe: Podrobné hodnotenie je takmer dokončené. noyb pokračuje v práci na podrobnom vyhodnotení úverových hodnotení získaných od 2 400 účastníkov. Spolu s profesorom finančnej matematiky sa viac ako 28 000 získaných skóre porovnáva so skutočnými finančnými údajmi dotknutých osôb, aby sa zistilo, či sú skóre CRIF štatisticky správne. V súčasnosti všetko nasvedčuje tomu, že skóre CRIF má len málo spoločného so skutočnou individuálnou finančnou situáciou a neposkytuje spoľahlivé hodnotenie rizika pre ľudí, ktorí vždy platia svoje účty. Pre týchto 90 % populácie je skóre v podstate založené len na veku, pohlaví a adrese. Ďalšie výsledky sa očakávajú v najbližších týždňoch. Potom sa spoločnosť noyb rozhodne, či podá väčšiu hromadnú žalobu proti spoločnosti CRIF, ktorá sa pravdepodobne dotkne miliónov ľudí. V prípade nezákonného spracovania osobných údajov by každá dotknutá osoba mohla mať nárok na príslušné nároky na náhradu škody.
