Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 6 ust. 1, art. 12 ust. 1, art. 14 ust. 1, art. 26 ust. 2 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

Przyczyna naruszenia

Experian Nederland B.V. świadczył do 1 stycznia 2025 r. usługę Credit Check, w ramach której gromadził bardzo obszerne zestawy danych o osobach fizycznych – m.in. informacje o zadłużeniach, negatywnych wpisach i upadłościach – z wielu źródeł. Dane te wykorzystywano do sporządzania raportów kredytowych dla klientów takich jak banki, operatorzy telekomunikacyjni czy sklepy internetowe. Holenderski organ nadzorczy stwierdził, że sposób prowadzenia tej usługi naruszał podstawowe zasady RODO, w szczególności ze względu na brak rzetelności i transparentności oraz nieprawidłową podstawę prawną przetwarzania.

Opis wydarzeń

1. Skargi i wszczęcie postępowania: Do holenderskiego organu nadzorczego napływały skargi od osób, które nie zostały poinformowane o ocenie kredytowej i nie mogły zweryfikować używanych informacji. Holenderski organ nadzorczy wszczął postępowanie administracyjne wobec Experian, badając zasady informowania oraz podstawę prawną przetwarzania.

2. Ustalenie statusu administratora: Holenderski organ nadzorczy uznała, że Experian sam ustalał cele i sposoby przetwarzania w ramach usługi Credit Check, zatem był administratorem danych.

3. Analiza obowiązku informacyjnego: Holenderski organ nadzorczy stwierdził, że spółka nie przekazywała osobom pełnej informacji o przetwarzaniu: brakowało jasnych informacji o celu, podstawie prawnej i przysługujących prawach, a część osób w ogóle nie była świadoma istnienia oceny kredytowej. Po wydaniu pierwotnej decyzji Experian wprowadził zmiany w swojej polityce informacyjnej, jednak holenderski organ nadzorczy uznał je za niewystarczające.

4. Ocena „uzasadnionego interesu”: Holenderski organ nadzorczy omówił trzy kryteria uzasadnionego interesu (istnienie interesu, konieczność i równowaga interesów). W decyzji podkreślono, że gromadzone przez Experian dane nie były wszystkie niezbędne do oceny wiarygodności. Wiele z nich miało charakter „przyda się”, a nie „konieczny”. Ponadto między Experian a osobami, których dane przetwarzano, nie istniała relacja, dlatego osoby nie mogły przewidywać, że ich dane zostaną wykorzystane do oceny kredytowej. Przetwarzanie negatywnych wpisów z baz niepublicznych stanowiło poważną ingerencję w prawa i wolności osób. Holenderski organ nadzorczy uznał, że interesy osób przeważają nad interesem gospodarczym Experian.

5. Zakończenie usługi i usunięcie danych: Experian zaprzestał świadczenia usługi Credit Check z dniem 1 stycznia 2025 r. i zobowiązał się do całkowitego usunięcia bazy danych w kolejnych miesiącach. Spółka przyznała naruszenia i nie wniosła środka odwoławczego.

6. Ponowne rozpatrzenie i nałożenie kary: 16 października 2025 r. holenderski organ nadzorczy ponownie rozpatrzył sprawę, stwierdzając naruszenie RODO. Organ uchylił pierwotną decyzję z 6 grudnia 2023 r. i nałożył na Experian karę w wysokości 2,7 mln EUR.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Transparentność i dostępność informacji: Administrator powinien w sposób jasny i łatwo dostępny informować każdą osobę o przetwarzaniu jej danych, podać cel, podstawę prawną, planowaną retencję i wskazać przysługujące prawa. Informacja musi być przekazana przy pozyskaniu danych lub, jeżeli dane pochodzą z innych źródeł, najpóźniej w ciągu miesiąca, jak wymaga art. 14 RODO.

2. Realna analiza uzasadnionego interesu: Jeżeli administrator chce oprzeć przetwarzanie na uzasadnionym interesie, powinien przygotować formalną analizę, która obejmuje:

   • identyfikację prawnie uzasadnionego interesu,

   • ocenę konieczności – wykazanie, że cel nie może zostać osiągnięty w mniej inwazyjny sposób,

   • wyważenie interesów z prawami i wolnościami osób, w szczególności przy przetwarzaniu danych finansowych.

3. Minimalizacja i adekwatność danych: Gromadź tylko te dane, które są niezbędne do osiągnięcia celu. W przypadku usług oceny kredytowej ogranicz zakres informacji do minimum i unikaj przetwarzania danych z niepublicznych rejestrów bez wyraźnej podstawy prawnej.

4. Ograniczone okresy przechowywania: Stosuj krótkie, jasno określone okresy retencji i regularnie weryfikuj konieczność dalszego przechowywania. W uzasadnionych przypadkach usuwaj dane lub dokonuj ich anonimizacji, aby ograniczyć ryzyko nadużyć.

5. Relacja z osobą, której dane dotyczą: Przetwarzanie oparte na uzasadnionym interesie jest łatwiejsze do uzasadnienia, gdy między administratorem a osobą istnieje relacja (np. klient–usługodawca). W przypadku braku takiej relacji konieczne są dodatkowe zabezpieczenia i transparentne informowanie.

6. Ocena wpływu na prywatność (DPIA): Przed rozpoczęciem złożonych operacji, zwłaszcza z użyciem danych finansowych, przeprowadź ocenę skutków dla ochrony danych (DPIA), aby zidentyfikować ryzyka i wdrożyć odpowiednie środki ochrony.

7. Współpraca z organem nadzorczym: W przypadku dochodzenia lub skarg współpracuj w pełni z organem nadzorczym i reaguj na jego uwagi. Wdrażanie zaleceń organu nadzorczego i dokumentowanie działań może pomóc zmniejszyć wysokość ewentualnej kary.

8. Zapewnienie zgodności po zaprzestaniu usługi: Jeżeli usługa zostaje zakończona, zadbaj o trwałe usunięcie zebranych danych i przegląd procesów pod kątem dalszych celów przetwarzania.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu