Právo na prístup ako bumerang ochrany údajov? Úverová referenčná agentúra zhromažďuje údaje od ľudí, ktorí požiadajú o informácie
Dňa 08.02.2021 podala spoločnosť noyb sťažnosť na GDPR proti sprostredkovateľovi údajov o úverovej bonite KSV 1870. Rakúska úverová referenčná agentúra uchováva údaje od doteraz neznámych osôb, ktoré využívajú svoje zákonné právo na prístup k svojim údajom bez povolenia.
- Stiahnite si: Sťažnosť na rakúsky úrad na ochranu údajov (PDF)
- Na stiahnutie: Strojový preklad sťažnosti do angličtiny (PDF)
Právo na prístup ako bumerang ochrany údajov? Každý má právo získať informácie o tom, aké údaje o ňom spoločnosť spracúva. Mnohí ľudia sa však boja žiadať o informácie, pretože spoločnosť o nich môže mať ešte viac údajov ako predtým: Často sa stáva, že človek musí predložiť preukaz totožnosti alebo uviesť svoje meno, adresu a dátum narodenia, aby dostal požadované informácie. Teoreticky nie je dôvod sa báť: spoločnosti samozrejme môžu údaje použiť len na účely poskytnutia informácií a potom ich musia vymazať. To však nie je prípad spoločnosti KSV, ktorá je lídrom v odvetví medzi rakúskymi úverovými referenčnými agentúrami:
KSV: Zvedavosť zabila mačku. Dotknutá osoba zaslala spoločnosti KSV žiadosť o prístup k údajom podľa článku 15 GDPR. KSV odpovedala, že žiadne osobné údaje dotknutej osoby nespracúva. Aspoň doteraz. V ďalšom odseku sa však uvádza: "Po prijatí Vašej žiadosti budú Vami poskytnuté identifikačné údaje teraz spracúvané v našej obchodnej databáze v rámci našej podnikateľskej činnosti podľa § 152 zákona o živnostenskom podnikaní."
"Táto odvaha je zarážajúca. KSV dostáva údaje len na to, aby odpovedala na žiadosť o prístup, ale potom ich bez súhlasu zadáva do svojej databázy. Následne sa údaje používajú na výpočet úverového skóre, ktoré KSV predáva svojim zákazníkom. Chcete vedieť, či KSV disponuje vašimi údajmi? Stačí sa opýtať a určite ich má!" Marco Blocher, právnik v oblasti ochrany osobných údajov, noyb.eu
Systematické vykrmovanie databázy? Prístup KSV je systematický - noyb vie o viacerých podobných prípadoch: Ak bola osoba pre KSV neznáma, do databázy sa uložilo meno, adresa a dátum narodenia zo žiadosti o prístup. Ak KSV už osobu poznala, aktualizovala svoju databázu na základe týchto informácií. Konanie spoločnosti KSV porušuje zásadu obmedzenia účelu podľa článku 5 ods. 1 písm. b) nariadenia GDPR. Podľa tejto zásady sa údaje zhromažďujú na konkrétny, výslovne uvedený a legitímny účel. Ďalšie spracovanie na iný účel je povolené len vtedy, ak je zlučiteľné s pôvodným účelom.
"Ľudia podávajú žiadosti o prístup, aby sa dozvedeli o spracúvaní údajov - a v prípade potreby proti nemu podnikli kroky. Je jednoducho groteskné, že mimo všetkých vecí takéto žiadosti vedú k tomu, že skončia v databáze KSV." Marco Blocher, právnik pre ochranu údajov v spoločnosti noyb.eu
noyb pozorne sleduje sprostredkovateľov údajov. Spoločnosti obchodujúce s údajmi musia dodržiavať obzvlášť prísne normy, pokiaľ ide o ochranu údajov. Týka sa to nielen úverových referenčných agentúr a vydavateľov adries, ale aj veľkých technologických spoločností a sociálnych médií. Keďže tieto spoločnosti majú prístup k obrovským objemom údajov, je ešte dôležitejšie, aby s nimi zaobchádzali veľmi opatrne.
"Bohužiaľ, mnohé takzvané "podniky riadené údajmi" majú o sebe úplne mylnú predstavu. Akonáhle majú údaje, robia si v podstate, čo chcú - bez ohľadu na to, prečo a ako sa k nim pôvodne dostali. GDPR zaviedlo pojmy ako obmedzenie účelu, aby sa tomu zabránilo.. V skutočnosti im na tom príliš nezáleží." Marco Blocher, právnik v oblasti ochrany údajov v spoločnosti noyb.eu
