Суд ЕС вынес знаменательное постановление о защите данных на территории Евросоюза
Это связано с недавними жалобами на действия немецкой кредитно-скоринговой компании Schufa, но этот шаг может иметь более широкое значение для агентств кредитной информации, которые работают в сферах, где применяется Общий регламент по защите данных (GDPR). После постановления Суда ЕС компании кредитного скоринга, работающие в ЕС, могут столкнуться с более жесткими ограничениями, предусмотренными законами и требованиями блока в отношении конфиденциальности.
Суд считает, что хранение таких данных дольше срока, установленного для данных государственного реестра лиц, признанных неплатежеспособными, противоречит GDPR. Погашение оставшейся задолженности должно быть направлено на то, чтобы дать возможность субъекту данных вернуться в экономическую жизнь, поскольку это важно для этого клиента. Эта информация по-прежнему используется как негативный фактор в ходе оценки платежеспособности субъекта данных. При том что затянутое хранение данных по-прежнему считается незаконным, субъект данных имеет право на то, чтобы информация была удалена, и агентство также обязано удалить ее как можно скорее.
Одна жалоба, на которой Суд счел необходимым сосредоточиться, была связана со случаем «затянувшегося» хранения данных компанией, работающей с досье заемщиков. Информация была связана с процессом погашения оставшихся долгов и должна храниться только в немецком государственном реестре лиц, признанных неплатежеспособными, не более чем шесть месяцев. Однако в этом случае свод правил этики немецких агентств кредитной информации предусматривает трехлетний период хранения их собственных баз данных. Управление по защите данных земли Гессен отклонило жалобу на слишком длительное хранения данных, утверждая, что местный суд не может пересмотреть свое решение, но Суд ЕС с этим не согласился.
Суд ЕС также вынес решение по второй жалобе, которая важна для компаний, занимающихся кредитным скорингом, поскольку вопросы касались того, может или нет Schufa автоматически выпускать кредитные рейтинги, учитывая, что GDPR обеспечивает защиту физических лиц, кредитные решения по которым выносятся автоматически, с учетом юридических или значительных последствий для них. Суд постановил, что кредитный рейтинг, устанавливаемый компанией, следует рассматривать как автоматизированное индивидуальное решение, что в принципе не допускается GDPR, поскольку клиентам Schufa отводится важная роль в предоставлении кредита.
Помимо этого, Суд ЕС также упомянул, что суды государств должны иметь возможность осуществлять полную проверку любого юридически обязательного решения органа по защите данных.
По материалам thepaypers.com; PLUSworld.ru.