Kreditupplysningsföretag förbjuds att samla in uppgifter via begäran om tillgång och folkbokföringsregister
För två år sedan lämnade noyb in ett GDPR-klagomål mot kreditupplysningsföretaget KSV 1870. Det österrikiska kreditupplysningsföretaget lagrade oönskade uppgifter från tidigare okända personer som utnyttjade sin lagliga rätt att få tillgång till sina uppgifter. Nu har den österrikiska dataskyddsmyndigheten (DSB) publicerat sitt beslut i ärendet: kreditupplysningsföretaget får inte samla in uppgifter genom åtkomstförfrågningar och civila register.
Kreditupplysningsföretag lagrar uppgifter från informationsförfrågningar. Européer har rätt att skicka en informationsbegäran till företag för att ta reda på vilka uppgifter som behandlas om dem. För att bekräfta personens identitet ber ett företag ofta om ytterligare uppgifter: till exempel ett ID, namn, adress eller födelsedatum. Naturligtvis får företagen endast använda dessa ytterligare uppgifter för att besvara en begäran om tillgång och måste sedan radera dem igen. Detta är inte fallet med den branschledande österrikiska kreditupplysningsbyrån: KSV 1870 lagrar information om enskilda personer när de begär tillgång till sina uppgifter.
KSV:s systematiska tillvägagångssätt. KSV:s tillvägagångssätt är systematiskt - vi har fått många liknande fall. En registrerad hade lämnat in en begäran om tillgång till uppgifter enligt artikel 15 i GDPR till KSV. Kreditinstitutet svarade att inga personuppgifter om den registrerade hade behandlats. Åtminstone fram till nu. KSV hävdade att den ytterligare information som den registrerade hade lämnat för att kunna utöva sin rätt till tillgång nu skulle lagras i "affärsdatabasen". Men det är inte allt: innan dess jämfördes den registrerades information från begäran om tillgång med uppgifterna i det centrala invånarregistret och lades till i affärsdatabasen.
"DSB har visat att vi har rätt: KSV 1870:s affärsmodell att använda informationsförfrågningar från registrerade för att berika sin ekonomiska databas är olaglig. Att behandla ytterligare information från folkbokföringsregistret är också klart olagligt. Vi antar att förutom den person som vi representerar är otaliga andra österrikare drabbade. Dessa kan kräva av KSV att de olagligt behandlade uppgifterna raderas." - Marco Blocher, dataskyddsjurist på noyb.eu
DPA och noyb håller med: KSV agerar olagligt. KSV:s agerande strider mot principen om ändamålsbegränsning enligt artikel 5.1 b i dataskyddsförordningen. Där anges att uppgifter måste samlas in för ett specifikt ändamål. Ytterligare behandling för ett annat ändamål är endast tillåten om den är förenlig med det ursprungliga ändamålet. Dataskyddsombudet ansåg att det inte fanns något uppenbart skäl för att behandla uppgifterna i begäran om tillgång till kreditbetyg och att det inte heller fanns något rättsligt mandat för allmän uppgiftsinsamling. Dessutom beordrade dataskyddsombudet att de olagligt erhållna uppgifterna skulle raderas.
noyb håller ett vakande öga på datahandlare. Branscher vars kärnverksamhet är datahandel måste uppfylla särskilt strikta standarder när det gäller dataskydd. Problemet är att kreditupplysningsföretagen knappast är reglerade: de får endast behandla uppgifter som är relevanta för kreditvärdigheten, men det finns ingen definition av vilken specifik information som ingår i detta. Eftersom kreditupplysningsföretagen har tillgång till en stor mängd uppgifter måste de hantera dem på ett särskilt ansvarsfullt sätt.
