Az általános adatvédelmi rendelettel (GDPR) ellentétes az üzleti információkat nyújtó vállalatok két adatkezelési gyakorlata


Míg a „scoring” csak bizonyos feltételek mellett megengedett, a fennálló tartozás elengedésére vonatkozó információk huzamos ideig történő tárolása ellentétes az általános adatvédelmi rendelettel – olvasható az Európai Unió Bírósága honlapján.

A wiesbadeni közigazgatási bíróságon (Németország) számos polgár megtámadta az illetékes adatvédelmi biztos azon döntését, amellyel megtagadta a SCHUFA nevű üzleti információkat nyújtó magánvállalat – amelynek ügyfelei többek között bankok – egyes tevékenységeivel szembeni fellépést. Az említett személyek konkrétan a „scoringot”, valamint a közhiteles nyilvántartásokból származó, a fennálló tartozások elengedésével kapcsolatos információk tárolását kifogásolják.

A „scoring” matematikai statisztikai módszer, amelynek segítségével valamely jövőbeli viselkedésnek – például egy hitel visszafizetésének – a valószínűségére vonatkozóan lehet előrejelzést készíteni. A fennálló tartozások elengedésére vonatkozó információkat a német közhiteles fizetésképtelenségi nyilvántartás hat hónapig tárolja, míg az üzleti információkat nyújtó német vállalatok magatartási kódexe e vállalatok saját adatbázisa esetében hároméves tárolási időt ír elő. A közigazgatási bíróság azt kéri, hogy a Bíróság tisztázza a személyes adatok
védelmének az általános adatvédelmi rendelet (GDPR)1 szerinti terjedelmét.

A „scoringot” illetően a Bíróság kimondja, hogy azt „automatizált egyedi döntéshozatalnak” kell tekinteni, amelyet az általános adatvédelmi rendelet főszabály szerint megtilt, amennyiben annak a SCHUFA ügyfelei, így például a bankok, meghatározó szerepet tulajdonítanak a hitelek odaítélése során. A wiesbadeni közigazgatási bíróság szerint ez a feltétel fennállt. E bíróság feladata annak értékelése, hogy az adatvédelemről szóló német szövetségi törvény tartalmaz-e az általános adatvédelmi rendelettel összhangban álló érvényes kivételt. Ha igen, meg kell még vizsgálnia, hogy teljesülnek-e az általános adatvédelmi rendelet által az adatkezelésre vonatkozóan megállapított általános feltételek.

Ami a fennálló tartozások elengedésével kapcsolatos információkat illeti, a Bíróság úgy véli, hogy az általános adatvédelmi rendelettel ellentétes, ha a magánügynökségek ezeket az adatokat hosszabb ideig tárolják, mint a közhiteles fizetésképtelenségi nyilvántartás. A fennálló tartozások elengedésének ugyanis az a célja, hogy az érintett személy ismét részt vehessen a gazdasági életben, ezért az létfontosságú számára. Ezeket az információkat azonban mindig negatív tényezőként használják fel az érintett személy fizetőképességének értékelése során. A jelen esetben a német jogalkotó hat hónapos tárolási időről rendelkezett. A német jogalkotó álláspontja szerint tehát a hat hónapos időszak lejártát követően az érintett személy jogai és érdekei elsőbbséget élveznek a nyilvánosságnak az ezen információkhoz való hozzáféréshez fűződő jogaival és érdekeivel szemben.

Amennyiben az adattárolás jogellenes – így például a hat hónapnál hosszabb ideig tartó adattárolás esetén – az érintett személy jogosult arra, hogy ezeket az adatokat töröljék, az ügynökség pedig köteles azokat indokolatlan késedelem nélkül törölni.

Ami az ilyen információknak a SCHUFA általi, hat hónapos párhuzamos tárolását illeti, a közigazgatási bíróság feladata, hogy mérlegelje a szóban forgó érdekeket a tárolás jogszerűségének megítélése érdekében.

Amennyiben ez a bíróság arra a következtetésre jut, hogy a hat hónapig tartó párhuzamos tárolás jogszerű, az érintett személy még mindig jogosult arra, hogy tiltakozzon az adatai kezelése ellen, és kérje azok törlését, kivéve, ha a SCHUFA bizonyítani tudja, hogy az adatkezelésnek kényszerítő erejű jogos okai vannak.

Végül a Bíróság hangsúlyozza, hogy a nemzeti bíróságok számára lehetővé kell tenni, hogy teljes körű felülvizsgálatot gyakoroljanak a felügyeleti hatóság valamennyi jogilag kötelező határozata felett.

(https://curia.europa.eu/)


Kapcsolódó cikkek

2022. március 18.

17 millió euró GDPR bírságot kapott a Meta

Az ír adatvédelmi hatóság (DPC) kedden 17 millió eurós pénzbírságot szabott ki a Meta Platforms Ireland Limited-re, mert 2018-ban a közösségimédia-cég több mint 30 millió Facebook-felhasználóját érintett egy adatvédelmi incidens.