noybs rättsliga förfaranden mot kreditupplysningsföretaget CRIF avslöjar en mängd lagöverträdelser och cyniska tolkningar av GDPR, vilket avslöjar ett träsk av oegentligheter. Dessa överträdelser omfattar felaktiga kreditbetyg, olaglig datainsamling och avsiktligt undanhållande av information när registrerade personer lämnar in förfrågningar till kreditupplysningsföretaget. CRIF:s taktik bygger på förhoppningen att de flesta individer kommer att ge upp sin jakt på information. Som svar har noyb lämnat in ett klagomål som tar upp dessa upprepade överträdelser och uppmärksammar de tusentals fall där individers rättigheter kränks.
Strukturella partiella svar. Enligt artikel 15 i GDPR har varje konsument rätt att få alla uppgifter som kreditupplysningsföretag som CRIF lagrar inom en månad. I CRIF:s svar anges dock inte källan till uppgifterna om den registrerade, och det innehåller endast information om mottagare av kreditvärdighetsuppgifter från de senaste sex månaderna. Ett sådant selektivt utlämnande strider mot GDPR, som föreskriver ett snabbt och fullständigt tillhandahållande av information utan godtyckliga undanhållanden från företagens sida.
Max Schrems, ordförande för noyb: "Det är nästan bisarrt i vilken utsträckning CRIF ignorerar GDPR. Vid varje tillfälle avslöjas ett nytt lagbrott, vilket visar i vilken utsträckning CRIF struntar i bestämmelserna. Motivet bakom att undanhålla information är tydligt: genom att dölja information hoppas CRIF kunna undvika besvärliga förfrågningar. De flesta konsumenter är dock omedvetna om att de uppgifter som tillhandahålls endast är ett partiellt utdrag, vilket gör att de inte känner till den fulla omfattningen av databehandlingen."
Kränkning av rättigheter sker avsiktligt och systematiskt. Den avsiktliga och systematiska kränkningen av rättigheter blir uppenbar genom CRIF:s ofullständiga tillhandahållande av information. noyb har stött på många fall där registrerade personer har fått ytterligare information först efter ihärdiga uppföljningar och ingripanden från dataskyddsmyndigheter. Ju mer bestämda individerna är, desto mer information verkar dyka upp som genom ett trollslag. I de flesta fall blir det uppenbart att uppgifterna samlats in från adressutgivare och delats i mycket större utsträckning än vad som ursprungligen erkänts. GDPR lägger dock tydligt ansvaret för att ge tillgång till uppgifterna på den personuppgiftsansvarige och betonar att denne måste underlätta utövandet av denna rättighet. CRIF gör tvärtom det motsatta.
Max Schrems: "CRIF försöker dölja sin tvivelaktiga praxis med alla knep som finns i boken. Trots GDPR:s uttryckliga krav på att du måste få all information direkt, använder CRIF sig av undvikande taktik."
Rapportera till dataskyddsmyndigheten, betydande påföljder kan vara nära förestående. Med tanke på den systematiska, avsiktliga och flagranta karaktären av CRIF:s överträdelser är det obestridligt att de motiverar straffåtgärder. Därför har noyb lämnat in ett klagomål till dataskyddsmyndigheten, utöver de enskilda klagomålen från berörda registrerade. noyb uppskattar att ett betydande antal personer, sannolikt ett femsiffrigt antal, påverkas av den ofullständiga information som CRIF tillhandahåller varje år.
Max Schrems: "Om ett företag som huvudsakligen arbetar med personuppgifter strukturellt ignorerar GDPR måste myndigheten verkligen också föregå med gott exempel med lämpliga påföljder. Det här handlar inte om ett missförstånd eller en annan juridisk uppfattning, utan här berövas konsumenterna medvetet sina rättigheter."
