Puanlama: ABAD nezdinde Schufa ve Avrupa veri koruması

hadicanim

Aktif Üye


  1. Puanlama: ABAD nezdinde Schufa ve Avrupa veri koruması

Kredi kuruluşlarının klasik iş modeli, Avrupa Genel Veri Koruma Yönetmeliği (GDPR) zamanlarında baskı altındadır. Sektör, Lüksemburg’da Avrupa Adalet Divanı’nda (AAD) Perşembe günü başlayan iki davayı heyecanla izliyor. Bu, Alman Schufa, kötü şöhretli “puanlama” ve kredi bürolarının hassas verileri ne kadar süreyle tutmalarına gerçekten izin verildiği sorusuyla ilgili.


İlk prosedür, Schufa puanına dayalı olarak bir başvurunun reddedilmesinin GDPR’nin 22. Maddesi kapsamında yasaklanan otomatik bir karar teşkil edip etmediği sorusuyla ilgilenir. Başka bir prosedürde, ABAD yargıçları, kredi bürolarının kişisel iflas işlemlerinden sonra bir kişinin kalan borcunun tasfiyesine ilişkin bir girişi ne kadar süreyle saklayabileceğine açıklık getirmelidir. Borçluların resmi sicilleri bu özelliği altı ay sonra silerken, Schufa’da bir kişinin veri kaydında üç yıla kadar kalır.


otomatik puanlama


Bir kişi kredi almadan, belirli vadeli bir sözleşme imzalamadan veya hesaba çevrimiçi sipariş vermeden önce, bankalar veya bayiler ve ayrıca telekomünikasyon hizmetleri veya enerji tedarikçileri, genellikle Schufa gibi kredi kuruluşlarına bu kişinin kredi değerliliği (kredi değerliliği) hakkında sorular sorar. Schufa daha sonra veritabanındaki tüm ilgili girişlere ek olarak “Puan” adlı bir değer gönderir. Bu, müşterinin ödeme yükümlülüklerini yerine getirip getirmeme olasılığını veya temerrüde düşme riskinin olup olmadığını yansıtmalıdır.

Kredi büroları, puan değerlerinin hesaplanmasından bir ticari sır oluşturur. Schufa, skorun veritabanındaki girişlerden hesaplandığını ve skorun en azından borç verenin karar verme sürecine katkıda bulunduğunu söylüyor – ve cep telefonu sözleşmeleri söz konusu olduğunda, skor çok düşükse bir sipariş bazen reddediliyor .

İlk vakada, düşük Schufa puanına istinaden bankası tarafından kredisi reddedilen bir tüketici, başlangıçta Schufa’dan bilgi talep etmiştir. Ayrıca Schufa’dan ilgili girişi silmesini istedi. Ancak Schufa’nın skoru hesaplamak için verdiği genel bilgiler onun için yeterli değildi. Bu nedenle, Hessian Veri Koruma ve Bilgi Özgürlüğü Komiseri’ne (HBDI) şikayette bulundu – Schufa’nın genel merkezi Wiesbaden’de. Schufa’nın çalışma şeklinin Federal Veri Koruma Yasasına uygun olduğunu ve bunu ihlal ettiğine dair hiçbir belirti olmadığını savundu.

Davacı daha sonra Wiesbaden’deki sorumlu İdare Mahkemesinde (VG) dava açtı. Yargılama sırasında, İdare Mahkemesi temel açıklama için ABAD’a başvurma hakkını kullanmıştır. Spesifik olarak, Lüksemburg’daki hakimler, Schufa’nın GDPR’nin 22(1) Maddesi kapsamındaki otomatik karar yasağını ihlal edip etmediğine karar vermelidir.


Schufa: Yalnızca tek bir değer sunuyoruz


Schufa gibi kredi büroları, yalnızca araştırma yapan bir şirkete ilettikleri bir kredi değerliliği değeri belirlediklerini iddia ediyor. Bu daha sonra, ilgili müşterilerinden aldığı ek verilere dayanarak karar verir. VG Wiesbaden, birçok şirketin fiili olarak Schufa’nın otomatik olarak belirlenen puanına göre karar verdiğine veya en azından belirleyici bir rol oynadığına karşı çıktı.

Prosedür aynı zamanda dolaylı olarak GDPR Madde 15 kapsamındaki bilgi edinme hakkı ile ilgilidir: Şu anda, etkilenenler karar vermek için kullandıkları prosedür hakkında yalnızca bankalarından veya bayilerinden bilgi talep edebilirler. Ancak bu noktada, Schufa skor için hesaplama formülünü açıklamadığından, bunların kısmen veya tamamen uyması gerekir. Federal Adalet Divanı bunu 2014 yılında doğruladı.

Ek olarak, Schufa lehine bir karar verilmesi durumunda, VG Wiesbaden çalışmalarının profil oluşturma olup olmadığını bilmek ister – bu durumda Federal Veri Koruma Yasasının (BDSG) değiştirilmesi gerekebilir, çünkü bu durumda Avrupa yasa koyucusu önceliğe sahiptir.

Kalan borçtan muafiyetler için saklama süresi


Federal Adalet Divanı’nın şu anda benzer bir şekilde müzakere ettiği ikinci ABAD prosedürü, kişisel iflaslardan sonra kalan borcun tasfiyesine ilişkin verilerin silinme dönemleri etrafında dönüyor. Her vatandaş, kamu borçlu rehberlerinde bu tür özel iflasları görebilir. Özel iflas davası, örneğin kalan borcun tasfiyesi ile sona ererse, bölge mahkemeleri kaydı altı ay sonra siler. Sorun: GDPR herhangi bir son tarih öngörmüyor. Schufa, bunları Alman kredi kurumları arasındaki gönüllü bir anlaşma temelinde üç yıl daha saklar ve skora dahil eder.

Daha düşük örnekler – özellikle VG Wiesbaden ve OLG Schleswig – 2021’de bağımsız olarak bunun kabul edilemez olduğuna karar verdi. Onların bakış açısından, GDPR’nin 17(1) Maddesi, bu tür girişlerin aynı anda silinmesini gerektirir. Buna göre, bir kurum, işlemenin hukuka uygun olmaması, işlemenin amacına göre artık gerekli olmaması veya veri sahibinin kişisel durumundan dolayı kaldırılmasının zorunlu olması durumunda verileri silmelidir.

Schufa buna, bazıları önemli ölçüde daha uzun silme sürelerine sahip olan (İrlanda’da 12 yıla kadar) diğer Avrupa ülkelerindeki yasal uygulamalarla karşı çıkıyor. Bu nedenle, VG Wiesbaden davayı prensipte açıklığa kavuşturması için ABAD’a başvurmuş ve bunun üzerine bu davada temyize gitmiştir.

VG Wiesbaden’in argümanları doğru olsaydı, Schufa puan hesaplaması için bir temel olmadan idare etmek zorunda kalırdı. Skor oluşturmaya devam edebilirdi ama önemli bir değişkeni kaybedecekti. Sonuç, aslında daha az itibarlı insanlara borç veren puanlar veya kredi almamış, gerçekten itibarlı insanlara kredi olabilir.

Kararların bu yılın sonlarında veya 2024’ün başlarında çıkması bekleniyor.



c't Magazine'den daha fazlası



c't Magazine'den daha fazlası




(pzt)



Haberin Sonu