Финландският надзорен орган установява, че практиката на Dun & Bradstreet да ограничава безплатния достъп до кредитна информация до веднъж годишно нарушава GDPR
Заместник-омбудсманът по защита на данните е установил, че практиката на компанията за кредитна информация Dun & Bradstreet Finland да позволява на гражданите да проверяват своята кредитна информация безплатно само веднъж годишно не съответства на законодателството за защита на данните.
Установени са и редица други пропуски в практиките на компанията при отговаряне на искания за достъп до лични данни.
Заместник-омбудсманът е оценил практиката на компанията да начислява такса за достъп до лични данни, съхранявани в Positive credit register и други регистри. Клиентите редовно са били таксувани, ако са поискали информацията си повече от веднъж годишно.
Според заместник-омбудсмана това представлява нарушение на законодателството за защита на данните.
„По правило гражданите имат право да получат достъп до своите лични данни, включително кредитната си информация, безплатно. Не е позволено автоматично да се начислява такса за предоставяне на тези данни“, заявява заместник-омбудсманът Хеля-Тулия Пихамаа.
Съгласно закона такса може да бъде събирана само когато искането е явно неоснователно или прекомерно – например ако едни и същи данни се изискват многократно.
„Сферата на дейност на компанията влияе върху това колко често информацията трябва да бъде предоставяна безплатно. Колкото по-често се актуализират личните данни или базата данни, толкова по-често може да бъде поискан достъп, без искането да се счита за неоснователно или прекомерно. Кредитната информация може да се променя много често“, допълва Пихамаа.
Установени са и пропуски в отговорите на исканията
Службата на омбудсмана е разгледала и практиките на Dun & Bradstreet при отговаряне на клиенти, поискали достъп до личните си данни. Клиентите са получавали предварително подготвено съобщение, което единствено ги е инструктирало да влязат в онлайн услуга.
Заместник-омбудсманът е установил, че подобно указание не може да бъде единственото действие на компанията при получаване на искане за достъп. Съобщението трябва ясно да посочва, че данните не могат да бъдат предоставени или че клиентът трябва да уточни искането си.
На компанията е издадено предписание да коригира практиките си при обработване на искания за достъп и предоставяне на данни.
Решението все още не е окончателно и може да бъде обжалвано пред административен съд.