noyb.eu har lämnat in ett GDPR-klagomål mot kreditvärderingsinstitutet "CRIF", som är verksamt i över 28 länder. CRIF tilldelade en "poäng" på exakt 446 av 700 möjliga kreditpoäng till en skuldfri elkund med ett välbetalt fast jobb. Detta är häpnadsväckande eftersom CRIF flera gånger betonat att man inte kände personen i fråga och inte hade några uppgifter lagrade om honom. Poängen räknades ut från ingenstans. Konsekvensen var dock mycket verklig: elbolaget vägrade att teckna avtal med honom.
- Ladda ner: Tyskt klagomål till den österrikiska dataskyddsmyndigheten (PDF)
- Ladda ner: Engelsk maskinöversättning av klagomålet (PDF)
Som en trollkarl med en kanin har CRIF trollat fram "kreditvärdighet" ur tomma intet.
En elkund ville teckna ett nytt elavtal. Energileverantören vägrade oväntat att underteckna avtalet. Anledningen var att hans kreditvärdighet var för låg, vilket var förvånande med tanke på hans inkomst och yrke, som borde vara mer än tillräckliga för att betala för elen. Vid ytterligare förfrågningar förklarades att hans CRIF-kreditvärdighet endast skulle vara 446 poäng, medan minimikravet för ett energikontrakt var 650 poäng. Kunden vände sig då till CRIF och begärde tillgång till sin information i enlighet med artikel 15 i GDPR. CRIF svarade att man inte hade sparat några personuppgifter om honom som konsument. Den negativa poängen måste därför ha kommit från ingenstans.
"CRIF:s svar är häpnadsväckande. Hur kan en exakt kreditvärdighet beräknas om inga uppgifter påstås finnas lagrade om personen? Det verkar som om CRIF har beräknat en knivskarp poäng på 446 poäng från enbart förfrågningsdata, dvs. namn, adress och födelsedatum. Den som bor på fel adress eller har fel födelsedatum kommer inte att få något elavtal. "Det är nog mer rättvist att blunda och välja ett slumpmässigt nummer mellan 1 och 700." - Alan Dahi, integritetsjurist för noyb.eu
Databehandling måste följa vissa principer enligt GDPR. En av dessa är principen om uppgifternas korrekthet, eller noggrannhet - personuppgifter måste vara korrekta till sitt innehåll. Godtyckliga "voodoo "-poäng som stigmatiserar kunder och utesluter dem från elförsörjningen är helt klart olagliga.
"Om en person faktiskt inte finns lagrad i CRIF-databasen skulle resultatet behöva vara "Person okänd", inte 446. Ett resultat utan grund är till sin natur felaktigt och därmed ett brott mot GDPR".- Alan Dahi, integritetsjurist för noyb.eu
Företagshemlighet? Elkunden svävar i ovisshet.
CRIF vägrade att förklara hur kreditvärdigheten hade beräknats, trots upprepade förfrågningar - trots att varje berörd person enligt GDPR har rätt att få veta logiken bakom sådana beräkningar. Detta motiverades med att CRIF:s beslutsprocess var "en affärshemlighet", men en sådan "hemlighet" kan leda till att berörda elkunder bokstavligen sitter i mörkret.
"Först kan konsumenterna inte längre ingå avtal eftersom helt ologiska bedömningar uppfinns. Sedan kan man inte ens veta hur dessa utvärderingar görs. Konsumenten blir en bricka i en algoritm." - Alan Dahi, integritetsjurist för noyb.eu
Ingen el - och ingen ansvarig person
Elleverantören angav den alltför låga kreditvärdigheten enligt CRIF som enda skäl till att det inte gick att leverera el och lämnade in den kreditupplysning som erhållits från CRIF som bevis. Kunden gavs inte möjlighet att bevisa att hans kreditvärdighet i själva verket var oklanderlig och ändå få ett elavtal. På fråga uppgav CRIF emellertid att någon kreditprövning inte hade gjorts av CRIF. Beslutet om huruvida avtalet skulle ingås skulle enbart fattas av elleverantören.
Klagomål inlämnat, med ett potentiellt bötesbelopp på upp till 20 miljoner euro
På grund av bristen på information och de uppenbart felaktiga uppgifterna har noyb lämnat in ett första klagomål till den behöriga österrikiska dataskyddsmyndigheten.
"Vi har begärt att dataskyddsmyndigheten noggrant granskar CRIF:s behandling av personuppgifter. Myndigheten kan förbjuda den här typen av godtyckliga kreditvärderingsbeslut och även utdöma straff för dem. Detta bör göra falska utvärderingar mindre sannolika." - Alan Dahi.
noyb sätter kreditvärderingsinstituten i fokus
Kreditvärderingsinstituten har ibland stor makt över konsumenterna och har hittills inte visat något större ansvar när de utövat denna makt. Ofta följer de nationella traditioner i stället för GDPR, som gäller i hela Europa sedan 2018. Inte nog med att kvaliteten på beräkningarna ofta kan ifrågasättas, det är till och med oklart på vilken grund privata företag som CRIF eller Schufa i Tyskland ger sig själva rätten att skapa stora databaser om miljontals européers ekonomi.
"Vi ser ärligt talat inte någon grund för dessa företag att skapa en datainsamling om varje medborgares ekonomi. Klagomålet mot CRIF är därför bara ett första steg. Under de närmaste månaderna och åren kommer vi att granska hela branschen bit för bit och i hela Europa och genomföra lämpliga GDPR-förfaranden".- Alan Dahi, integritetsjurist på noyb.eu
