Η Experian Netherlands επιβλήθηκε πρόστιμο 2,7 εκατομμυρίων ευρώ (3,2 εκατομμύρια δολάρια) για πολλαπλές παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR)
Η Ολλανδική Αρχή Προστασίας Δεδομένων (AP) λέει ότι η εταιρεία παροχής υπηρεσιών πίστωσης και ανάλυσης χρησιμοποίησε ακατάλληλα προσωπικά δεδομένα που συλλέχθηκαν από πολλαπλές πηγές, τόσο δημόσιες όσο και ιδιωτικές, και δεν ενημέρωσε τους πελάτες.
Η Experian είναι μια από τις μεγαλύτερες εταιρείες παροχής πιστωτικών αναφορών και ανάλυσης δεδομένων στον κόσμο, που δραστηριοποιείται σε περισσότερες από 40 χώρες, βοηθώντας τράπεζες και δανειστές να αξιολογήσουν τον κίνδυνο συναλλαγών με συγκεκριμένα άτομα και οργανισμούς.
Η εταιρεία πουλάει επίσης υπηρεσίες προστασίας δεδομένων και πιστοληπτικής παρακολούθησης και συχνά συνεργάζεται με εταιρείες που υφίστανται παραβίαση δεδομένων για να βοηθήσουν στην προστασία των πελατών τους και στον μετριασμό των πιθανών οικονομικών κινδύνων που θα μπορούσαν να προκύψουν από την έκθεση.
Στην Ολλανδία, το AP ξεκίνησε έρευνα για τον τρόπο με τον οποίο η Experian χρησιμοποίησε τα προσωπικά δεδομένα που είχε συλλέξει, αφού έλαβε παράπονα από άτομα που δεν μπορούσαν πλέον να πληρώσουν τις δόσεις τους ή έπρεπε να πληρώσουν υψηλές καταθέσεις όταν άλλαζαν παρόχους ενέργειας.
Ο οργανισμός προστασίας δεδομένων ανακάλυψε ότι τα προβλήματα προήλθαν από τα πιστωτικά σκορ που παρέδωσε η Experian σε παρόχους υπηρεσιών και πωλητές, τα οποία επηρέασαν τα επιτόκια και τις προκαταβολικές καταθέσεις.
“Επειδή οι άνθρωποι δεν γνώριζαν τον πιστωτικό έλεγχο, δεν μπορούσαν να ελέγξουν εγκαίρως εάν οι πληροφορίες που χρησιμοποίησαν ήταν ακριβείς” – Aleid Wolfsenπρόεδρος του ΑΠ
Το AP διαπίστωσε ότι η Experian συνέλεξε δεδομένα από πολλές δημόσιες και ιδιωτικές πηγές, συμπεριλαμβανομένου του εμπορικού μητρώου του Εμπορικού Επιμελητηρίου και εταιρειών τηλεπικοινωνιών και ενέργειας που πωλούσαν πληροφορίες πελατών. Χρησιμοποίησε αυτά τα δεδομένα για να δημιουργήσει μια μεγάλη βάση δεδομένων που περιέχει βασικές πληροφορίες για «ένα τεράστιο αριθμό ανθρώπων στην Ολλανδία».
Η υπηρεσία καταλήγει στο συμπέρασμα ότι η Experian απέτυχε να ενημερώσει τους ανθρώπους σχετικά με τη συλλογή των προσωπικών τους πληροφοριών, να λάβει τη συγκατάθεσή τους και να αιτιολογήσει γιατί χρειαζόταν να συγκεντρώσει τα δεδομένα.
«Μέχρι την 1η Ιανουαρίου 2025, η Experian παρείχε πιστοληπτικές αξιολογήσεις για άτομα στους πελάτες της», λέει η Ολλανδική Αρχή Προστασίας Δεδομένων.
“Για να το κάνει αυτό, η εταιρεία συνέλεξε δεδομένα όπως αρνητική συμπεριφορά πληρωμών, ανεξόφλητα χρέη ή χρεοκοπίες. Το AP διαπίστωσε ότι η Experian παραβίασε το νόμο χρησιμοποιώντας παράνομα προσωπικά δεδομένα.”
Ως αποτέλεσμα, το AP επέβαλε πρόστιμο 2,7 εκατομμυρίων ευρώ στον οργανισμό, ο οποίος αναγνώρισε τον παράνομο χαρακτήρα των δραστηριοτήτων του και δήλωσε ότι δεν θα ασκήσει έφεση κατά της απόφασης του AP.
Η Experian Netherlands σταμάτησε όλες τις δραστηριότητές της στη χώρα της κεντρικής Ευρώπης και υποσχέθηκε να διαγράψει ολόκληρη τη βάση δεδομένων προσωπικών δεδομένων πριν από το τέλος του έτους.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
