2025年11月26日,欧洲个人信息保护监管机构(EDPB)发布了一案例通报,德国汉堡监管机构(SA)对信用催收服务进行全行业调查,违反删除义务被罚90万欧元。
作为有针对性的审计活动的一部分,汉堡监管机构对在信用催收服务领域具有强大市场影响力的公司进行了审计。汉堡是欧洲该领域的领先地区。关于违约债务人的数据处理往往特别敏感,并且通常会与其他方(如信用调查机构和地址调查服务)共享。因此,数据主体必须能够相信其数据将得到负责任的处理。本次审计不针对个别投诉,而是审查各服务提供商存储和处理债务人数据的方式。为此,监管机构向公司发送了详细的问卷,问卷的答复提供了关于数据存储的全面见解。此外,公司还被要求提供有意义的文件,如处理活动目录、安全措施清单以及使用的样本信函等。此外,在书面初步审查后,汉堡数据保护局(DPA)还走访了部分公司的营业场所。
主要发现
在大多数情况下,汉堡监管机构能够确认这些公司表现出高度的专业性和敏感性。在对话过程中,数据存储和数据主体透明度方面取得了改进。特别是,根据《通用数据保护条例》(GDPR)第15条制定的数据访问的有意义措辞以及及时提供访问的流程成为了关注的焦点。
然而,在对一家公司进行现场检查时,汉堡DPA的团队发现,尽管删除期限早已过期,但数据记录仍在没有法律依据的情况下被继续存储。截至2023年11月中旬,该公司存储了包含个人数据的六位数量的数据记录,且没有法律依据,从而违反了GDPR第5.1(a)条和第6(1)条。尽管在此期间,原本处理的数据记录并未传递给第三方,但其中部分数据在法定保留期限到期后五年仍未从公司数据库中删除。
决定
汉堡监管机构现已对该违法行为处以90万欧元的罚款。该决定具有法律约束力。该公司承认了违法行为并接受了罚款。它在后续工作中与监管机构进行了专业的合作,因此罚款金额相对较低。
