Przedsiębiorca adresowy pozywa niemiecki organ ochrony danych, aby uniemożliwić Noyb dostęp do plików
Dwa lata temu Noyb złożył skargę przeciwko przedsiębiorcy adresowemu Acxiom i agencji informacji kredytowej CRIF w Niemczech. Chociaż istnieją mocne dowody na to, że prowadzony przez firmy na dużą skalę handel danymi osobowymi ludzi narusza PKBR, sprawa jest nadal w toku z bawarskim i heskim organem ochrony danych. Tak więc wiosną 2023 r. noyb zwrócił się do władz Hesji o dostęp do akt sprawy dotyczącej skargi Acxiom. Przedsiębiorca adresowy zareagował szybko - z wnioskiem o wydanie tymczasowego nakazu przeciwko organowi, aby uniemożliwić jakikolwiek dostęp do akt.
Tło: tajny i nielegalny handel danymi osobowymi. Biuro informacji kredytowej CRIF stale kupuje nazwiska, daty urodzenia i adresy milionów Niemców od firmy Acxiom. Chociaż dane te zostały pierwotnie zebrane w celach marketingowych, CRIF wykorzystuje je do oceny zdolności kredytowej. Zwykle odbywa się to bez informowania ludzi i bez ich zgody - co może naruszać europejskie prawo o ochronie danych z kilku powodów.
Brak powiadomienia lub zgody. Zgodnie z zasadami ograniczenia celu i zgodności z prawem RODO, dane gromadzone w celach marketingowych nie mogą być wykorzystywane bez zgody do scoringu kredytowego (tj. do prognozowania prawdopodobieństwa braku płatności). Nie powinno to być nowością dla Acxiom i CRIF: Konferencja Ochrony Danych, rada wszystkich niemieckich organów nadzorujących ochronę danych, kilkakrotnie podkreślała, że dane inne niż negatywne doświadczenia płatnicze lub inne zachowania pozaumowne mogą być wykorzystywane do scoringu kredytowego wyłącznie za zgodą. CRIF i Acxiom nie tylko kategorycznie nie pytają osób, których dane dotyczą, o taką zgodę, ale nawet nie informują ich, że ich dane zostaną sprzedane CRIF. Na przykład osoba, której dane dotyczą, reprezentowana przez noyb, dowiedziała się o niezgodnym z prawem przetwarzaniu swoich danych dopiero poprzez wniosek o dostęp.
Marco Blocher, prawnik ds. ochrony danych w noyb: "Potajemne wykorzystywanie danych od sprzedawcy adresów do obliczania ocen kredytowych ludzi jest jak podręcznikowy przypadek niezgodnego z prawem przetwarzania danych w ramach GDPR. Praktyka ta odbywa się w tajemnicy, pociąga za sobą niezgodną z prawem zmianę celu przetwarzania - i po prostu nie ma podstawy prawnej"
Dwa lata zastoju. Trudno zaprzeczyć naruszeniom europejskiego prawa ochrony danych. Niemniej jednak sprawa nadal toczy się przed heskimi (odpowiedzialnymi za Acxiom) i bawarskimi (odpowiedzialnymi za CRIF) organami ochrony danych (DPA) prawie dwa lata po jej złożeniu. Aby zorientować się w aktualnym stanie tych spraw, noyb zwrócił się do władz Hesji o dostęp do akt sprawy (Bawaria nie przyznaje takiego prawa, ale to jest problem sam w sobie). Heski organ ochrony danych wydawał się skłonny udzielić żądanego dostępu i wysłuchał Acxiom w tej sprawie - ale natychmiast został pozwany. Sprzedawca adresów stara się teraz uzyskać tymczasowy nakaz sądowy, aby uniemożliwić skarżącemu jakikolwiek dostęp do plików, podczas gdy sama firma poprosiła o dostęp do plików i uzyskała go.
Opóźnienie proceduralne. Istnieje kilka wyjątków od prawa dostępu do akt, np. w przypadku tajemnic handlowych. Nie ma jednak podstawy prawnej do zamknięcia całej dokumentacji administracyjnej. Acxiom prawdopodobnie zdaje sobie z tego sprawę. W rzeczywistości wydaje się, że firma próbuje opóźnić decyzję heskiego organu ochrony danych, tworząc proceduralny pokaz uboczny. Pozwala to Acxiom na kontynuowanie bezprawnej sprzedaży danych osobowych.
Środek podobny do SLAPP. Wniosek Acxiom o zakaz wydaje się być zgodny z koncepcją tak zwanych "SLAPP" ("Strategic Lawsuits Against Public Participation"), które UE chce uznać za przestępstwo. Składanie wniosków stanowiących nadużycie, w połączeniu z odstraszającymi kosztami i złożonością postępowania sądowego, a także częstym zatłoczeniem sądów, ma na celu zniechęcenie osób fizycznych i organizacji pozarządowych, takich jak Noyb , do pociągania firm do odpowiedzialności.
Jonas Breyer, niemiecki prawnik reprezentujący skarżącego i noyb przed Sądem Administracyjnym w Wiesbaden: "Firmy wciąż próbują przeciągać egzekwowanie praw do ochrony danych, aby sztucznie utrzymać przy życiu podejrzane, ale lukratywne modele biznesowe. To mówi samo za siebie, gdy Axciom wszczyna postępowanie sądowe, na przykład nazywając swoje warunki z 2008 r. i inne przestarzałe dokumenty tajemnicami handlowymi"
Nadużywanie systemu prawnego. Sprawa Acxiom po raz kolejny pokazuje, że nawet po pięciu latach obowiązywania RODO niektóre firmy uważają, że system prawny może być nadużywany w celu utrzymania niezgodnych z prawem modeli biznesowych. Jest to niedopuszczalne, zwłaszcza w przypadku firmy, która obsługuje dane milionów ludzi i współpracuje z międzynarodowymi klientami, takimi jak Meta, Adobe, Google, IBM i PayPal. noyb nie wycofa się i jest gotowy do składania dalszych skarg lub pozywania firm takich jak Acxiom o nakaz sądowy i odszkodowanie w oparciu o nową dyrektywę w sprawie działań przedstawicielskich.