Nezákonná výmena údajov medzi vydavateľom adries a agentúrou pre hodnotenie úverovej bonity
noyb podala 18. marca 2021 sťažnosť na GDPR proti ratingovej agentúre CRIF GmbH a vydavateľovi adries AZ Direct. Spoločnosti si vymieňajú údaje, čím porušujú GDPR, ako aj rakúske právne predpisy. Vydavatelia adries môžu údaje odovzdávať len na reklamné účely, nie však úverovým agentúram na účely hodnotenia úverovej bonity.
Na stiahnutie: Sťažnosť rakúskemu úradu na ochranu údajov (PDF)
Na stiahnutie: Strojový preklad sťažnosti do angličtiny (PDF)
CRIF a AZ Direct: Porušenie GDPR ako bežný obchodný model. Sťažovateľ predložil spoločnosti CRIF žiadosť o prístup podľa článku 15 GDPR. Spoločnosť CRIF uviedla, že uložila jeho meno, dátum narodenia a niektoré (čiastočne neaktuálne) adresy bydliska. Jediným uvedeným zdrojom údajov bol vydavateľ adries AZ Direct. Vydavatelia adries však môžu údaje poskytovať len na reklamné účely. V prípade spoločnosti CRIF bolo veľmi zrejmé, že na základe údajov získaných od spoločnosti AZ Direct vypočítala niekoľko hodnotení úverovej bonity a zaslala ich rôznym spoločnostiam.
Tajné obchodovanie s údajmi. Úverové agentúry môžu pristupovať k verejne dostupným údajom, napríklad z rôznych registrov na zhromažďovanie identifikačných údajov. V nich však možno nájsť len zlomok populácie. Väčšina údajov zjavne pochádza z iného zdroja, a to od vydavateľov adries, ktorí podľa zákona môžu údaje odovzdávať len na reklamné účely.
"Väčšina údajov ratingových agentúr pochádza od vydavateľov adries - bez akéhokoľvek právneho základu a bez toho, aby si dotknuté osoby vôbec vyžiadali súhlas alebo ich informovali. Sťažovateľ tiež až do svojej žiadosti o prístup nevedel, že sa jeho údaje zhromažďujú, hoci v nariadení GDPR sa jasne uvádza že mal byť o tomto zhromažďovaní údajov informovaný." Alan Dahi, právnik v oblasti ochrany údajov, noyb.eu
Obmedzenie účelu ako cudzí pojem. V zásade obmedzenia účelu sa uvádza, že údaje sa môžu zhromažďovať len na " konkrétne, výslovne uvedené a legitímne účely " a nesmú sa ďalej spracúvať na iné, nezlučiteľné účely. Podľa obchodného registra je však spoločnosť AZ Direct výlučne vydavateľom adries, a preto môže údaje odovzdávať len na účely priameho marketingu. Napriek tomu spoločnosť CRIF zjavne použila údaje na účely posúdenia úverovej bonity, čo je závažné porušenie zásady "obmedzenia účelu" podľa článku 5 DSGVO.
"Priamy marketing a hodnotenie úverovej bonity sú dva úplne odlišné a nezlučiteľné účely. CRIF aj AZ Direct porušujú zásadu obmedzenia účelu. Okrem toho existuje možné porušenie rakúskeho obchodného práva, ktoré tiež skúmame. " Alan Dahi, právnik v oblasti ochrany údajov v spoločnosti noyb.eu
Nejde o ojedinelý prípad. CRIF sa netají svojimi vzťahmi s vydavateľmi adries: vydavatelia adries sú vo vyhlásení o ochrane údajov uvedení ako pravidelní dodávatelia údajov. Okrem toho CRIF na svojom webovom sídle vyhlasuje, že nemá žiadne negatívne údaje (t. j. žiadne údaje o nezaplatených dlhoch) od viac ako 90 % uložených osôb. Väčšinu údajov preto nevyhnutne získava od vydavateľov adries.
"Situácia sťažovateľa nie je ojedinelým prípadom. noyb vie o viacerých podobných prípadoch. Spoločnosť CRIF zrejme v priebehu rokov získala milióny záznamov údajov od vydavateľov adries, ako je napríklad AZ Direct, bez toho, aby o tom informovala jedinú dotknutú osobu. Ak máte bydlisko v Rakúsku, existuje vysoká pravdepodobnosť, že sa to týka aj vás." Alan Dahi, právnik v oblasti ochrany osobných údajov, noyb.eu
Na rad prišiel úrad. Ak rakúsky úrad na ochranu údajov (DPA) bude postupovať podľa našej sťažnosti, spoločnosť CRIF sa bude musieť v budúcnosti zdržať takéhoto zhromažďovania údajov - a vymazať všetky údaje zhromaždené v rozpore s GDPR. Okrem toho môže úrad DPA uložiť spoločnosti CRIF aj AZ Direct pokutu až do výšky 20 miliónov EUR alebo 4 % ročného obratu.
"Odvetvia obchodovania s adresami a hodnotenia úverov stále neprispôsobili svoje obchodné postupy požiadavkám nariadenia GDPR. Je najvyšší čas, aby aj tieto odvetvia prišli do súčasnosti a rešpektovali ochranu údajov! " Alan Dahi, právnik v oblasti ochrany údajov v spoločnosti noyb.eu
Uplatňujte svoje práva! Môžete tiež zistiť, či spoločnosť CRIF neoprávnene nezískala vaše údaje od vydavateľa adries, ako je napríklad AZ Direct. Na tento účel zašlite spoločnosti CRIF žiadosť o prístup podľa článku 15 všeobecného nariadenia o ochrane údajov (auskunft@crif.com) a opýtajte sa najmä na pôvod spracúvaných údajov. Ďalšie informácie sú k dispozícii tu. Spoločnosť CRIF je povinná poskytnúť vám tieto informácie do jedného mesiaca. Po uplynutí tejto lehoty nás môžete kontaktovať v prípade ďalších krokov.
