Rätt till tillgång som en bumerang för dataskydd? Kreditupplysningsföretag samlar in uppgifter från personer som begär information
Den 08.02.2021 lämnade noyb in ett GDPR-klagomål mot kreditvärdighetsdatamäklaren KSV 1870. Det österrikiska kreditupplysningsföretaget lagrar uppgifter från tidigare okända personer som utövar sin lagliga rätt att få tillgång till sina uppgifter utan tillstånd.
- Ladda ner: Tyskt klagomål till den österrikiska dataskyddsmyndigheten (PDF)
- Ladda ner: Engelsk maskinöversättning av klagomålet (PDF)
Rätten till tillgång som en bumerang för dataskyddet? Alla har rätt att få information om vilka uppgifter ett företag behandlar om dem. Många människor är dock rädda för att begära information eftersom ett företag kanske har ännu mer uppgifter om dem än tidigare: Ofta måste man legitimera sig eller uppge sitt namn, sin adress och sitt födelsedatum för att få den begärda informationen. I teorin finns det ingen anledning att vara rädd: företag får uppenbarligen bara använda uppgifterna för att tillhandahålla information och måste radera dem efteråt. Detta är inte fallet med KSV, som är branschledande bland Österrikes kreditupplysningsföretag:
KSV: Nyfikenheten dödade katten. Den registrerade hade skickat en begäran om tillgång enligt artikel 15 i GDPR till KSV. KSV svarade att inga personuppgifter om den registrerade behandlas. Åtminstone fram till nu. Men i nästa stycke anges följande: "Efter att ha mottagit din begäran kommer de identifieringsuppgifter du lämnat nu att behandlas i vår kommersiella databas inom ramen för vår verksamhet enligt § 152 i handelsregleringslagen."
"Denna djärvhet är häpnadsväckande. KSV tar emot uppgifterna endast för att besvara begäran om tillgång, men lägger sedan in dem i sin databas utan tillstånd. Därefter används uppgifterna för att beräkna kreditpoäng, som KSV säljer till sina kunder. Vill du veta om KSV har dina uppgifter? Fråga bara, så har de det säkert!" Marco Blocher, dataskyddsjurist på noyb.eu
Systematisk gödning av databasen? KSV:s tillvägagångssätt är systematiskt - noyb känner till flera liknande fall: Om en person var okänd för KSV lagrades namn, adress och födelsedatum från åtkomstbegäran i databasen. Om KSV redan kände till personen uppdaterade de sin databas baserat på denna information. KSV:s agerande strider mot principen om ändamålsbegränsning enligt artikel 5.1 b i dataskyddsförordningen. Enligt denna princip ska uppgifter samlas in för ett angivet, uttryckligt och berättigat ändamål. Ytterligare behandling för ett annat ändamål är endast tillåten om den är förenlig med det ursprungliga ändamålet.
"Människor begär tillgång för att bli medvetna om databehandling - och för att vid behov kunna vidta åtgärder mot den. Det är bara groteskt att just sådana förfrågningar leder till att de hamnar i KSV:s databas." Marco Blocher, dataskyddsjurist på noyb.eu
noyb håller ett vakande öga på datamäklare. Datahandelsföretag måste följa särskilt strikta standarder när det gäller dataskydd. Detta gäller inte bara kreditupplysningsföretag och adressutgivare, utan även stora teknikföretag och företag inom sociala medier. Eftersom dessa företag har tillgång till stora datamängder är det ännu viktigare att hantera dem med stor försiktighet.
"Tyvärr har många så kallade "datadrivna företag" en helt felaktig självbild. När de väl har data gör de i princip vad de vill - oavsett varför eller hur de ursprungligen fick tag på den. GDPR har infört begrepp som ändamålsbegränsning för att förhindra detta. I verkligheten bryr de sig inte så mycket om det." Marco Blocher, dataskyddsjurist på noyb.eu
