Włoski organ nadzoru nałożył 1 mln euro kary na administratora, w związku z weryfikacją sytuacji finansowej osoby chcącej wynająć samochód.
Kontekst sprawy
Klient chciał wynająć samochód od spółki Leasys Rent SpA (Spółka), jednak odmówiono mu, ponieważ był „wpisany na czarną listę”. W odpowiedzi na wniosek o dostęp do danych złożony przez klienta, spółka poinformowała, że „na etapie rezerwacji (w celach kredytowych) […] przystępuje do weryfikacji danych kontrahenta za pośrednictwem baz danych Grupy FCA Bank SpA (Bank) w celu zapobiegania oszustwom i niewypłacalności lub innym podobnym zdarzeniom [… oraz] że każdy wniosek o wynajem jest poddawany analizie opartej na obiektywnych elementach, które uwzględniają wszystkie elementy obecne w bazach danych Grupy FCA Bank w celu sporządzenia syntetycznej oceny stopnia wiarygodności i wypłacalności wnioskodawcy ”.
Klient wysłał do Spółki i Banku kolejny wniosek mający na celu uzyskanie informacji „jakie dane osobowe i/lub informacje były w ich posiadaniu, które spowodowały odmowę zawarcia umowy, umieszczenie ich na »czarnej liście«, a także oskarżenie o bycie »złym płatnikiem« (chociaż nie znajduje się w bazie dłużników)”. Żaden z podmiotów nie odpowiedział, więc klient złożył skargę do organu nadzorczego.
Dochodzenie organ nadzorczego
W toku postępowania okazało się, że Bank na polecenie spółki, złożył zapytanie do systemu SCIPAFI, bazy służącej do zwalczania oszustów finansowych, prowadzonej przez włoskie ministerstwo finansów. Jednakże okazało się, że dzień złożenia zapytania do tego systemu, Bank i Spółka nie miały jeszcze upoważnienia wydanego przez ministerstwo. Przetwarzanie danych w systemie SCIPAFI przez Bank i Spółkę było więc nielegalne.
Co więcej, dostęp do SCIPAFI nastąpił bez uprzedniego uzyskania zeznania podatkowego klienta, dokumentu niezbędnego do porównania z informacjami zawartymi w Scipafi i weryfikacji zawartych tam informacji.
Ponadto organ nadzorczy wskazał, że Bank, jako niezależny administrator danych, był upoważniony do dostępu do SCIPAFI wyłącznie w kontekście prowadzenia swojej działalności. W tej sprawie, dostęp został przeprowadzony w celu oceny sytuacji zainteresowanej strony dla celów zawarcia umowy najmu (która pozostaje poza działalnością Banku) z inną Spółką (podmiot odrębny od Banku, choć należący do tej samej grupy).
Organ nadzorczy stwierdził, że Bank naruszył art. 28 ust. 3 RODO i art. 5 ust 1 lit. f, ponieważ przetwarzał dane zainteresowanego – czego nie mógł wykonywać jako administrator danych – w imieniu Spółki, ponieważ ta ostatnia nie należała do podmiotów, które w tym okresie mogły uzyskać dostęp do SCIPAFI bezpośrednio lub za pośrednictwem podmiotów przystępujących do Systemu.
W związku z tym organ nadzorczy nałożył karę na Bank w wysokości miliona euro za nielegalne przetwarzanie danych osobowych w tym dotyczących dochodów klientów, którzy wnioskowali o finansowanie długoterminowego wynajmu samochodu.
W odniesieniu do Spółki organ nadzorczy nałożył karę w wysokości 250 tysięcy euro, za niezgodne z prawem przetwarzanie danych osobowych. Urząd stwierdził, że firma nie była upoważniona przez ministerstwo do pozyskiwania i przetwarzania danych klientów w SCIPAFI, nawet za pośrednictwem Banku. Co więcej, informacje przekazywane klientom nie pozwalały, w momencie zaistnienia stanu faktycznego, na identyfikację rodzaju i pochodzenia przetwarzanych danych, które wykorzystywano w celu weryfikacji sytuacji finansowej klientów oraz tego, czy dostęp do baz danych był realizowany bezpośrednio przez Spółkę, czy za pośrednictwem Banku.
Pominięte wątki – prawo dostępu i czarna lista
W powyższej sprawie organ nadzorczy pominął zarzut naruszenia prawa dostępu do danych i koncentrował się bardziej na bezprawności przetwarzania dokonywanego przez Bank i Spółkę. Co ciekawe poza jego zainteresowaniem pozostało również umieszczenie klienta na „czarnej liście”, która to praktyka (o ile nie wynika bezpośrednio z przepisów) wydaje się zasadniczo sprzeczna z RODO.
Źródło:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10042684
