Olagligt datautbyte mellan adressutgivare och kreditupplysningsföretag
noyb lämnade in ett GDPR-klagomål mot kreditvärderingsinstitutet CRIF GmbH och adressutgivaren AZ Direct den 18 mars 2021. Företagen utbyter data som bryter mot GDPR, liksom österrikisk lag. Adressutgivare får endast vidarebefordra uppgifter för reklamändamål, men inte till kreditvärderingsinstitut för kreditvärdering.
Ladda ner: Klagomål till den österrikiska dataskyddsmyndigheten (PDF)
Ladda ner: Engelsk maskinöversättning av klagomålet (PDF)
CRIF och AZ Direct: GDPR-överträdelse som en gemensam affärsmodell. Den klagande hade lämnat in en begäran om tillgång enligt artikel 15 i dataskyddsförordningen till CRIF. CRIF uppgav att man hade lagrat hans namn, födelsedatum och några (delvis föråldrade) bostadsadresser. Den enda uppgiftskälla som nämndes var adressutgivaren AZ Direct. Adressutgivare får emellertid endast vidarebefordra uppgifter för reklamändamål. När det gäller CRIF var det mycket uppenbart att de hade beräknat flera kreditvärdighetspoäng på grundval av de uppgifter som erhållits från AZ Direct och skickat dem till olika företag.
Hemlig handel med uppgifter. Kreditinstituten kan få tillgång till offentligt tillgängliga uppgifter, t.ex. från olika register för att samla in identifieringsuppgifter. Det är dock bara en bråkdel av befolkningen som kan hittas där. De flesta uppgifterna kommer uppenbarligen från en annan källa, nämligen adressutgivare som enligt lag endast får vidarebefordra uppgifter för reklamändamål.
"Majoriteten av de uppgifter som kreditvärderingsinstituten har fått kommer från adressutgivare - utan någon rättslig grund och utan att de registrerade någonsin har tillfrågats om samtycke eller informerats. Den klagande visste inte heller att hans uppgifter samlades in förrän han begärde tillgång till dem, trots att det i GDPR tydligt anges att han borde ha informerats om denna insamling" Alan Dahi, dataskyddsjurist på noyb.eu
Ändamålsbegränsning som ett främmande begrepp. Principen om ändamålsbegränsning innebär att uppgifter endast får samlas in för " särskilda, uttryckligt angivna och berättigade ändamål " och att de inte får behandlas vidare för andra, oförenliga ändamål. Enligt företagsregistret är AZ Direct emellertid endast en adressutgivare och får därför endast vidarebefordra uppgifter för direktmarknadsföringsändamål. Trots detta hade CRIF uppenbarligen använt uppgifterna för kreditbedömningsändamål - ett allvarligt brott mot principen om "ändamålsbegränsning" enligt artikel 5 i DSGVO.
"Direktmarknadsföring och kreditbedömning är två helt olika och oförenliga syften. Både CRIF och AZ Direct bryter mot principen om ändamålsbegränsning. Dessutom finns det möjliga överträdelser av österrikisk handelsrätt, som vi också undersöker. " Alan Dahi, dataskyddsjurist på noyb.eu
Inte ett isolerat fall. CRIF gör ingen hemlighet av sitt förhållande till adressutgivare: adressutgivare nämns i dataskyddsdeklarationen som regelbundna dataleverantörer. Dessutom förklarar CRIF på sin webbplats att man inte har några negativa uppgifter (dvs. inga uppgifter om obetalda skulder) från mer än 90 % av de personer som finns lagrade. De får därför oundvikligen de flesta uppgifterna från adressutgivare.
"Den klagandes situation är inte ett isolerat fall. noyb känner till flera liknande fall. CRIF har uppenbarligen förvärvat miljontals dataposter från adressutgivare som AZ Direct under en period av år utan att informera en enda berörd person. Om du är bosatt i Österrike är det mycket troligt att du också är drabbad." Alan Dahi, integritetsjurist på noyb.eu
Myndighetens tur. Om den österrikiska dataskyddsmyndigheten (DPA) följer vårt klagomål måste CRIF avstå från sådan datainsamling i framtiden - och radera alla uppgifter som samlats in i strid med GDPR. Dessutom kan dataskyddsmyndigheten ålägga både CRIF och AZ Direct böter på upp till 20 miljoner euro eller 4 % av årsomsättningen.
"Adresshandels- och kreditvärderingsbranscherna har fortfarande inte anpassat sina affärsmetoder till kraven i GDPR. Det är hög tid att även dessa branscher kommer in i nutiden och respekterar dataskyddet! " Alan Dahi, dataskyddsjurist på noyb.eu
Utöva dina rättigheter! Du kan också ta reda på om CRIF olagligen har samlat in dina uppgifter från en adressutgivare som AZ Direct. För att göra det, skicka en begäran om tillgång enligt artikel 15 i GDPR till CRIF (auskunft@crif.com) och fråga särskilt om ursprunget till de uppgifter som behandlas. Mer information finns tillgänglig här. CRIF är skyldigt att förse dig med denna information inom en månad. Efter det är du välkommen att kontakta oss för ytterligare åtgärder.
