På Tisdag, noyb ett GDPR-klagomål mot den Wien-baserade adressmäklaren AZ Direct Österreich GmbH. Företaget, som tillhör Bertelsmann-koncernen, hade vägrat att tillhandahålla information om ursprung och mottagare av de uppgifter som behandlats. De skäl som angavs var chockerande: Adressmäklaren hävdar inte att veta var uppgifterna kom ifrån - it skulle ha varit för betungande att registrera det. Ändå samlas data in dag ut och dag in och säljs till annonsörer. Dense mottagare som får data från AZ Direct avslöjades inte heller.
Ladda ner: Klagomål till den österrikiska dataskyddsmyndigheten
Uppgifter av påstått okänt ursprung och påhittaderättsliga bestämmelser. Den registrerade hade skickat en begäran om tillgång enligt artikel 15 i GDPR till AZ Direct. Han frågade också från var adressutgivaren hade samlat in uppgifter och till vem de hade sålts. AZ Direct uppgav att det bland annat hade lagrat (tidigare) bostadsadresser för den registrerade. Detta var dock inte fallet, adressmäklaren hävdade dock inte att veta hur den hade fått dessa uppgifter. Den påstått enda tillgängliga informationen var att en av adresserna hade blivit samlats in "på grund av en omplacering [av den registrerade]".
AZ Direct tillhandahöll inte någon detaljerad informationom uppgifternas ursprung - även om trots att GDPR uttryckligen kräver detta. AZ Direkt uppgav bara att "alla uppgifter ständigt hålls uppdaterade genom egen forskning". Men, "sseparata register över respektive konkret ursprung" fördes inte.
Marco Blocher, dataskyddsjurist på noyb: "AZ Directs uttalanden är absurda. Handel med adressuppgifter för tredjepartsannonseringsändamål är kärnverksamheten i detta företag. Dey måste veta var uppgifterna kommer ifrån. Detta är inte ens bara dataskydd, det är också i eget intresse för en adress mäklare. Tänk på det: en stormarknad också behöver veta var dess köttmejeriprodukter och bröd kommer från."
AZ Direct rättfärdigar dess påstådda okunnighet med en hänvisning till obefintliga rättsliga bestämmelser: Exakta uppgifter om uppgifternas ursprung skulle vara en "överdriven ansträngning i den mening som avses i DSG". Detta är anmärkningsvärt eftersom nantingen DSG (den Österrikiska dataskyddslagen) eller GDPR föreskriver ett sådant undantag. AZ Directs rättsliga anspråk är påhittat och en dålig ursäkt för att inte ha några register över uppgifternas ursprung, trots uppföljning förfrågningar av den registrerade.
Marco Blocher: "AZ Direct är föremål för ansvarsskyldighet enligt dataskyddslagstiftningen och måste alltid kunna bevisa att reglerna i GDPR följs. Hur kan de göra det om de har ingen var datan kommer ifrån? De skulle aldrig kunna tillmötesgå en registrerads begäran om tillgång till uppgifterna - än mindre säkerställa att uppgifterna är korrekta när det gäller innehåll. Antingen AZ Direkt är avsiktligt undanhållerningar information om uppgifternas ursprung, eller de har ett stort strukturellt problem som gör att hela deras affärsmodell inte är förenlig med GDPR. I båda fall finns det ett behov av en förklaring. En påhittad laglagbestämmelse kan inte ändra på detta."
Mottagarna av uppgifterna är också hålls hemliga. Inte bara "varifrån" utan också "var till" av data förblir ogenomskinlig. Enligt till GDPR, ska svaret på en begäran om tillgång också innehålla information om vilka mottagarna av uppgifterna var. AZ Direct förblir tyst i detta avseende också och endast ger möjliga kategorier av mottagare men vägrar att säga till vem exakt vilka uppgifter som överfördes.
Marco Blocher: "När det gäller datakällorna, de hävdar de att de vet ingenting och när det gäller mottagarna vägrar de vägrar de att säga något. I slutändan blir den den registrerade tas för en idiot. Som genom ett trollslag blir uppgifterna uppenbarligen dykt upp i adressen mäklarens system och kan ha vidarebefordrats till någon annan. Det finns ingen mer information. Enligt GDPR ska en registrerad kunna spåra var deras uppgifter skickas så att de kan vidta åtgärder mot oönskad behandling. AZ Adress för direkta vändningar förmedling för reklamändamål till en svart låda. Detta är oacceptabelt."
noyb är dedikerad till att säkerställa transparent databehandling. Precis somsom noybs klagomål mot streamingtjänster som Netflix, Amazon Prime eller YouTube, handlar klagomålet mot AZ Direct i slutändan om transparens en av GDPR:s principer. För att garantera detta har den registrerade rätt att få tillgång till sina uppgifter kostnadsfritt. I praktiken leder detta dock ofta till att människor springer in i väggar.
Marco Blocher: "An tillgång begäran bör tillåta en registrerad att bedöma lagenligheten av lagligheten databehandlingen. Men om ett företag ignorerar lagen och inte lämnar någon information eller endast ofullständig information, är detta ofta inte möjligt. Det enda sättet som återstår är att ansöka till den behörigadataskyddsmyndighet för att tvinga företaget att tillhandahålla den begärda begärda informationen i överensstämmelse med GDPR. I det aktuella fallet hoppas vi att myndigheten kommer att utnyttja sina omfattande befogenheter och utreda ärendet grundligt. Särskilt i branscher vars kärnverksamhet är datahandel får systematisk intransparens inte tolereras."
