Незаконен обмен на данни между издател на адреси и агенция за кредитно класиране
noyb подаде жалба за GDPR срещу агенцията за кредитен рейтинг CRIF GmbH и адресния издател AZ Direct на 18 март 2021 г. Компаниите обменят данни, които нарушават GDPR, както и австрийското законодателство. Издателите на адреси имат право да предават данни само за рекламни цели, но не и на кредитни агенции за кредитен рейтинг.
Изтегляне: Жалба до австрийския орган за защита на данните (PDF)
Изтегляне: Машинен превод на жалбата на английски език (PDF)
CRIF и AZ Direct: Нарушението на GDPR като общ бизнес модел . Жалбоподателят е подал искане за достъп съгласно член 15 от ОРЗД до CRIF. CRIF заяви, че е съхранил името му, датата на раждане и някои (отчасти остарели) адреси на жилище. Единственият споменат източник на данни е издателят на адреси AZ Direct. Издателите на адреси обаче имат право да предават данни само за рекламни цели. В случая с CRIF беше много очевидно, че те са изчислили няколко оценки за кредитоспособност въз основа на данните, получени от AZ Direct, и са ги изпратили на различни компании.
Търговия с тайни данни . Кредитните агенции имат достъп до обществено достъпни данни, като например от различни регистри, за да събират идентификационни данни. Там обаче може да се намери само малка част от населението. Повечето данни очевидно идват от различен източник, а именно на издатели, които по закон имат право да предават данни само за рекламни цели.
"По-голямата част от агенциите за класиране на данните идват от издатели на адреси - без каквото и да е правно основание и без никога да искат субектите на данни за съгласие или да ги информират. Жалбоподателят също не е знаел, че данните му се събират до неговото искане за достъп, въпреки че GDPR ясно заявява, че е трябвало да бъде информиран за тази колекция „ Алън Дахи, адвокат по защита на данните на noyb.eu
Ограничение на целта като извънземно понятие. Принципът на ограничение на целта гласи, че данните могат да се събират само за „ конкретни, изрични и законни цели “ и не могат да бъдат обработвани допълнително за други, несъвместими цели. Според бизнес регистъра обаче AZ Direct е единствено издател на адреси и следователно има право да предава данни само за целите на директния маркетинг. Въпреки това CRIF очевидно е използвал данните за целите на кредитната оценка - сериозно нарушение на принципа на "ограничение на целта" съгласно член 5 DSGVO.
" Директният маркетинг и кредитният рейтинг са две напълно различни и несъвместими цели. CRIF и AZ Direct нарушават принципа за ограничаване на целите. Освен това има възможни нарушения на австрийското търговско законодателство, което също разглеждаме. " Alan Dahi, Data Адвокат по защита на noyb.eu
Не е изолиран случай . CRIF не крие връзката си с издателите на адреси: издателите на адреси са посочени в декларацията за защита на данните като редовни доставчици на данни. Освен това CRIF декларира на уебсайта си, че няма отрицателни данни (т.е. няма данни за неплатени дългове) от повече от 90% от съхраняваните хора. Следователно те неизбежно получават повечето данни от издателите на адреси.
„ Положението на жалбоподателя не е единичен случай. Noyb е запознат с няколко подобни случая. CRIF очевидно е придобил милиони записи от данни от издатели на адреси като AZ Direct за период от години, без да информира нито едно засегнато лице. Ако имате пребиваване в Австрия, има голяма вероятност и вие да бъдете засегнати. "Алън Дахи, адвокат по неприкосновеността на личния живот на noyb.eu
Редът на властта. Ако австрийският орган за защита на данните (DPA) последва нашата жалба, CRIF ще трябва да се въздържа от такова събиране на данни в бъдеще - и да изтрие всички данни, събрани в нарушение на GDPR. Освен това DPA може да наложи глоба до 20 милиона евро или 4% от годишния оборот както на CRIF, така и на AZ Direct.
„ Индустриите за адресна търговия и кредитно класиране все още не са приспособили своите бизнес практики към изискванията на GDPR. Крайно време е тези отрасли също да пристигнат в настоящето и да спазват защитата на данните! “ Алън Дахи, адвокат по защита на данните в noyb.eu
Упражнявайте правата си! Можете също така да разберете дали CRIF е събрал незаконно вашите данни от издател на адреси като AZ Direct. За целта изпратете заявка за достъп съгласно член 15 от ОРЗД до CRIF (auskunft@crif.com) и попитайте по-специално за произхода на обработваните данни. Повече информация можете да намерите тук . CRIF се задължава да ви предостави тази информация в рамките на един месец. След това можете да се свържете с нас за допълнителни стъпки.