Kifid op de agenda van de commissie Financiën van de Tweede Kamer

Op woensdag 21 juni 2023 staat de stichting Klachteninstituut financiële dienstverlening (Kifid) op de agenda van de vaste commissie voor Financiën, zo blijkt uit deze uitnodiging, waarin is vermeld:

Agendapunt:
Stand van zaken over toegang van ondernemers tot het Kifid en andere Kifid-onderwerpen

Zaak:
Brief regering – minister van Financiën, S.A.M. Kaag – 22 december 2022. Stand van zaken over toegang van ondernemers tot het Kifid en andere Kifid-onderwerpen – 35727-10

De brief van 22 december 2022 is hier te vinden.

Lees ook Verslag rondetafel 9 november 2022 over verkenning uitbreiding taak Kifid mbt geschilbeslechting.

Het ziet er niet naar uit dat men Kifid zal opheffen en vervangen door volwaardige rechtsbescherming, terwijl daar alle aanleiding voor is.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Procesrecht, rechtspraak | Tags: , | Een reactie plaatsen

Is iemand die demonstreert een crimineel?

Onlangs maakte Investico bekend [*] dat de politie op grote schaal persoonsgegevens van demonstranten raadpleegt, wat kennelijk betekent dat zij iedere demonstrant als een crimineel beschouwen. Daar blijft het niet bij want er worden ook persoonsgegevens van familieleden opgevraagd, aldus het bericht, met als intro:

De politie verzamelt voortdurend persoonsgegevens van demonstranten, zoals hun adres, burgerservicenummer en geboortedatum. Daarnaast vraagt de politie gegevens op van ouders en kinderen van actievoerders, ook als zij nooit zijn gearresteerd of veroordeeld.

Hoogst merkwaardig en een goede illustratie van het denken van politiemensen, wellicht geïnspireerd door overleg met de burgemeesters.

Een boze Asha ten Broeke schrijft:

 

en:

Sinds ik op 26 november 2022 voor het eerst burgerlijk ongehoorzaam demonstreerde met Extinction Rebellion, heeft de politie meer dan 30 keer m’n gegevens opgevraagd uit het BRP, en daarbij meestal ook die van mijn kinderen.
Maar daarvoor heeft de politie dit ook al tientallen keren gedaan. Op een aantal momenten is dat verklaarbaar: ik had bijvoorbeeld zelf melding/aangifte gedaan. Maar veel andere data kan ik totaal niet plaatsen. Ook hier zijn regelmatig de gegevens van m’n kinderen opgevraagd.
Daarnaast is mijn adres de afgelopen jaren opgevraagd vanuit allerlei instanties waar ik niets mee te maken heb, zoals vanuit een ministerie voor een landbouwregister (ik ben geen boer), het CBR (ik heb geen rijbewijs), deurwaarders (ik heb geen betalingsachterstanden), etc.
Dit laatste lijkt te zijn opgehouden nadat ik bij de gemeente succesvol een verzoek heb ingediend om m’n BRP-gegevens af te schermen.
Ik raad elke journalist, columnist en activist aan om dat ook te doen als je dit nog niet hebt gedaan. Want blijkbaar kan elke natte tosti achter de ‘juiste’ computer met een bullshit-reden je gegevens (waaronder je adres) opvragen, en geen haan die ernaar kraait.
Meer informatie over het afschermen van je BRP vind je hier

Inmiddels hebben leden van de Tweede Kamer vragen gesteld, zo lees ik bij security.nl.

 

[*] Ook Trouw schreef er over, Politie vraagt op grote schaal gegevens op van demonstranten. ‘Het lijkt wel een politiestaat’, 10 maart 2023. Zie voorts security.nl, 10 maart 2023.

Geplaatst in Grondrechten | Tags: , , | Een reactie plaatsen

Europees onderzoek naar Europees vermogensregister | witwasbestrijding

Vorig jaar werd antwoord gegeven op vragen uit de Tweede Kamer over een onderzoek van Europa naar een wereldwijde registratie van alle activa waarover burgers beschikken. De vraag luidde:

Vraag 11 Bent u bereid te pleiten voor een wereldwijde registratie van activa («global asset registry»)? Sluit u in dat kader zich aan bij de oproep van de Italiaanse premier Draghi om tot een internationaal publiekelijk toegankelijk register te komen voor oligarchen met een vermogen hoger dan 10 miljoen euro? Hoe gaat u zich hier voor inzetten?

De vraag werd als volgt beantwoord:

Antwoord 11 Momenteel wordt op Europees niveau een verkenning uitgevoerd naar de haalbaarheid van een EU-vermogensregister. Het Europees Parlement heeft om een dergelijke verkenning gevraagd. Deze studie heeft als doel de haalbaarheid van het project te beoordelen vanuit alle perspectieven, inclusief operationele en juridische aspecten en in het bijzonder de bescherming van fundamentele rechten en persoonsgegevens. Naar aanleiding van deze haalbaarheidsstudie zal de Europese Commissie bezien of verdere stappen proportioneel en noodzakelijk zijn.

Bedoelde haalbaarheidsstudie zal ook in kaart brengen welke registers reeds bestaan binnen de Europese Unie. In dat licht is het goed om op te merken dat in het kader van het voorkomen van het gebruik van het financiële stelsel voor witwassen en terrorismefinanciering reeds diverse registers bestaan. De Europese anti-witwasrichtlijn verplicht namelijk tot het creëren en koppelen van registers waarin de uiteindelijk belanghebbenden van juridische entiteiten en juridische constructies (o.a. trusts) moeten worden opgenomen. Daarnaast kent Nederland – evenals andere lidstaten van de EU – diverse andere registers waarin vermogensbestanddelen worden geregistreerd. Daarbij kan gedacht worden aan het Kadaster waarin onroerende zaken worden geregistreerd. De Europese Commissie heeft in de zomer van vorig jaar een pakket wetgevende voorstellen uitgebracht op het terrein van het voorkomen van het gebruik van het financieel stelsel voor witwassen en terrorismefinanciering, waarin wordt voorgesteld om bepaalde autoriteiten zoals FIUs en AML/CFT-toezichthouders toegang te verlenen tot onroerendgoedregisters, zodat deze autoriteiten tijdig de eigenaar van een onroerende zaak kunnen identificeren. Ook wordt op Europees niveau gekeken naar mogelijkheden om een database te creëren waarin FIUs informatie m.b.t. virtuele valuta kunnen vinden.

Eerder meldde ik al de Europese aanbesteding (2 augustus 2021) van het Europese onderzoek en schreef ik over vragen in het Europees parlement (12 september 2022).

In februari dit jaar werd een briefing Towards an International Anti-Corruption Court? van professor Ryngaert aangeboden aan het Europese parlement. De opdracht voor de briefing werd gegeven door het mensenrechten subcomité van het parlement, DROI. In de briefing is te zien dat er internationale consensus inzake een internationaal vermogensregister:

Going forward, the EU may now want to push for the adoption of a global financial registry, which logs financial instruments and their UBOs on a worldwide basis. Such a registry may eventually dismantle offshore havens which thrive on registering shell companies that hide their ultimate beneficiary owners (Alvaredo et al., 2018: 265; Zucman, 2014).

Alvaredo, F., Chancel L., Piketty T., et al., World Inequality Report 2018, World Inequality Lab, 2018, pp. 1300.

Zucman, G., ‘Taxing Across Borders: Tracing Personal Wealth and Corporate Profits’, The Journal of Economic Perspectives, Vol 28, No 4, 2014, pp. 121–148.

 

De briefing laat zien dat er bij de beleidsmakers een heilig geloof is in digitale hulpmiddelen (inclusief permanente financiële surveillance) en in ‘transparantie’, ook als dat gaat ten koste van de fundamentele rechten van gewone burgers. Het slechte voorbeeld van het negeren van financiële mensenrechten is de Amerikaanse FATCA wet, waarmee het internationaal afwijkende systeem van Citizenship Based Taxation in de hele wereld wordt doorgedrukt.

Geplaatst in Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Ubo-register, Verwijzingsportaal Bankgegevens | Tags: , , , , , | Een reactie plaatsen

FATF publishes guidance on beneficial ownership | AML, FATF

The Financial Action Task Force (FATF), the unofficial world crime-fighting government, accountable to no one, has published its newest guidance on beneficial ownership of legal persons.

FATFs laws, called ‘recommendations’, aim to fight organised crime but have the conscious side effect of violating the fundamental rights of all world citizens. The FATF says it has had ‘intense consultations’ with external stakeholders and the private sector regarding the newest guidance; unfortunately, citizens and beneficial owners are not considered relevant stakeholders by the FATF.

The FATF still believes in public access to personal data:

109. Finally, countries may consider facilitating public access to basic and beneficial ownership information. Public access to this information can enable civil society, other organisations and individuals to cross check the information, which may in turn help to; ensure that information is accurate, adequate, and up-to-date and to identify potential misuse of legal persons (e.g., in tax evasion, fraud, or corruption schemes). However, public access alone is not a sufficient mechanism to ensure accuracy of information. In contemplating the extent and arrangement of public access, countries should take into account data protection rules and other privacy, security, and confidentiality concerns, and consider limiting what basic and beneficial ownership information is made publicly available or applying a tiered approach to information disclosure (basic to detailed information), e.g., based on legitimate interest.

The FATF ignores that people on the registers can also be harmed by criminals, trolls and other unsavoury types getting their personal data into their hands. The organisation also ignores that the beneficial ownership system creates a huge bureaucracy that is very expensive and does not contribute to the fight against crime. Should the shore turn the ship?

 

More information:

Geplaatst in English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, Ubo-register | Tags: , , , | Een reactie plaatsen

The Netherlands as a testing ground for financial surveillance | plan van aanpak witwassen | Aurora project on AML | BIS Innovation Summit 2023

The Dutch plans for financial surveillance of every citizen by banks, the ‘banking dragnet’ (‘bancair sleepnet‘), form part of an international trend in anti-money laundering (AML) policies.

Project Aurora by BIS

This is shown by project ‘Aurora’ of the Bank for International Settlements (BIS). The project will be explained during the BIS-conference of today (15:20 – 15:30) by Beju Shah, the head of the BIS Innovation Hub Nordic Centre.

The project is started because of failure of the current AML-systems:

Consequently, banks tend to overreport (defensive reporting), leading to a high number of false positives (when legitimate customers are flagged as potentially suspicious), which can be costly and time-consuming, while leading to an unnecessary exposure of sensitive customer information.
Furthermore, financial institutions decided not to work with certain clients if the volume of business doesn’t justify the increased compliance costs and perceived risks (a trend also known as “de-risking”).

The project is exactly doing what currently is proposed by the Dutch government in its proposal (markup by me):

Project Aurora will investigate the use of advanced technologies, such as privacy-enhancing technologies, machine learning methods, network analysis, and the use of additional data sources and machine-readable typologies (to represent money laundering patterns in a machine-readable format) in a proof of concept that aims to show how information could be shared in a private, secure and compliant way to detect suspicious transactions across financial institutions and borders.

NL as testing ground

It is amazing that the Dutch government wants to make the Netherlands a testing ground for financial surveillance by means of the legislative plan to tackle money laundering (wetsvoorstel plan van aanpak witwassen) and that a mature fundamental law discussion is lacking.

 

More information:

BIS’ project Aurora
The complete description of project Aurora on the site of BIS:

Project Aurora: using data to combat money laundering across firms and borders
The BIS Innovation Hub’s Nordic Centre is launching Project Aurora to explore how the latest data technologies can be used to combat money laundering across financial institutions and borders.
Fighting money laundering, terrorism financing, fraud and tax evasion helps to bolster trust in payments systems and financial stability, a matter of common interest to the public and private sectors. Today’s payments systems are complex ecosystems that involve several different categories of private and public actors (including commercial banks, payment services providers, fintech companies, central banks and regulators). As a result, complexity and fragmentation are increasing, as is the granularity, velocity and availability of data.
As one of the hardest activities to detect in the world of financial crime, money laundering represents a very complex data challenge. The estimated amount of money laundered globally is between 2 and 5% of global GDP. Criminals operate in networks and across borders. The professional money laundering networks adjust quickly and flexibly to shifting factors such as regulation. Meanwhile, most financial institutions rely on siloed data and isolated systems to monitor transactions and are often prohibited by regulation from sharing information with other financial institutions.
Yet the current approach to fighting money laundering puts most of the burden on financial institutions, which are liable if they let through transactions that turn out to be illegal. Consequently, banks tend to overreport (defensive reporting), leading to a high number of false positives (when legitimate customers are flagged as potentially suspicious), which can be costly and time-consuming, while leading to an unnecessary exposure of sensitive customer information.
Furthermore, financial institutions decided not to work with certain clients if the volume of business doesn’t justify the increased compliance costs and perceived risks (a trend also known as “de-risking”). This has led to several countries losing access to the global financial system, in practice acting as a financial exclusion force. The unintended consequence, if entire national systems become marginalised in this way, is that money laundering, tax evasion and terrorist financing may actually become more pervasive.
According to the Financial Action Task Force, almost all large money laundering schemes are cross-border in nature, spanning various business sectors. Spotting different money laundering patterns is complex, requiring different data points and data sources as well as the ability to connect them across different systems in order to better identify suspicious flows and patterns. As this requires a data-driven approach, current data technologies are capable of playing a pivotal role in better fighting money laundering.
Project Aurora will investigate the use of advanced technologies, such as privacy-enhancing technologies, machine learning methods, network analysis, and the use of additional data sources and machine-readable typologies (to represent money laundering patterns in a machine-readable format) in a proof of concept that aims to show how information could be shared in a private, secure and compliant way to detect suspicious transactions across financial institutions and borders.

About BIS, on the legal information page:

The Bank for International Settlements opened for business on 17 May 1930 in Basel, Switzerland, where it still has its headquarters today. Since its founding, the BIS has established two representative offices: in the Hong Kong Special Administrative Region (1998) and in Mexico City (2002).
The BIS was created at the Hague Conference that dealt with the issue of German war reparation payments arising from the 1919 Treaty of Versailles.

and their mission is:

to support central banks’ pursuit of monetary and financial stability through international cooperation, and to act as a bank for central banks.

To pursue our mission, we provide central banks with:
a forum for dialogue and broad international cooperation (…)
a platform for responsible innovation and knowledge-sharing (…)
in-depth analysis and insights on core policy issues (…)
sound and competitive financial services (…)

FATF on financial surveillance and data sharing: page on this  blog.

Geplaatst in Bankrekening krijgen en behouden, English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , , , | Een reactie plaatsen

Demonstratierecht wordt door Nederlandse overheid ondergraven

In november 2022 maakte Amnesty International bekend dat de Nederlandse overheid het demonstratierecht niet serieus neemt en riep de organisatie op tot verbetering. Het blijft merkwaardig dat de overheid niet reageert op dit soort oproepen.

Ronduit schokkend is de berichtgeving in De Groene, vandaag op hun site, over de ondergraving van het demonstratierecht door de Nederlandse overheid, met als introductie:

De sfeer tussen demonstrant en autoriteiten verhardt. De politie arresteert en slaat vaker, burgemeesters leggen striktere regels op en demonstranten worden nauwlettend gevolgd. ‘Ze hebben me radicaal gemept.’

Onder het mom van misdaadbestrijding lijkt de overheid het anti-overheidssentiment zelf te veroorzaken.

Lees in dit verband ook mijn blog over de kritiek van Algemene Rekenkamer en Nationale Ombudsman: De Haagse beleidsmakers zijn het contact met de burger kwijt.

Wanneer dringen de boodschappen van Amnesty International, Algemene Rekenkamer en Nationale Ombudsman door tot de overheidsburelen?

 

Meer informatie:

  • Amnesty: bericht, rapport (pdf), november 2022. In het NJCM bulletin nr. 1 van 2023 stond een samenvatting, die eindigt met: “Hoewel er door zowel het publiek als de overheid waarde wordt gehecht aan het demonstratierecht, concludeert Amnesty dat het demonstratierecht onder druk staat en onvoldoende wordt gewaarborgd. In het rapport staan verschillende uitgangspunten die leidend moeten zijn. Hieronder valt onder andere het uitgangspunt dat de overheid zich tot het uiterste moet inspannen om een demonstratie te faciliteren en te beschermen“.
  • De Groene, Klein tegen de grote politie, David van Benthem, Freyan Bosma, Simon Dequeker, Daphne ten Klooster en Sophie Polm, maart 2023.
Geplaatst in Grondrechten | Tags: , , | Een reactie plaatsen

Europa bereidt ingrijpende wijzigingen insolventierecht voor | toegang curator tot ubo-registers, vermogensregisters en bankregisters

De privatisering van de criminaliteitsbestrijding met onder meer het verwijzingsportaal bankgegevens en het ubo-register komen ook in beeld bij Europese plannen om het insolventierecht te wijzigen, zo kan worden afgeleid uit de fiche over de Richtlijn materieel insolventierecht. Uit de fiche blijkt dat faillissementscuratoren toegang moeten krijgen tot vermogensregisters, ubo-registers en het bankregister (in Nederland verwijzingsportaal bankgegevens geheten) (blauwe markering door mij):

Het richtlijnvoorstel beoogt er allereerst voor te zorgen dat de uitkering aan schuldeisers van een insolvente onderneming zo groot mogelijk is. Daartoe bevat het voorstel maatregelen om de opbrengst die gerealiseerd kan worden bij het te gelde maken van het vermogen van een insolvente schuldenaar die een onderneming drijft (de boedel), te maximaliseren. Deze maatregelen zien er in de eerste plaats op dat de lidstaten ervoor moeten zorgen dat insolventiefunctionarissen (in Nederland is dat in faillissement de curator) bepaalde handelingen van de schuldenaar die nadelig zijn geweest voor de schuldeisers, ongedaan kunnen maken (de zogenaamde faillissementspauliana). Daarnaast moeten gerechten en curatoren bankrekeningenregisters, het Ultimate Beneficial Owners-register hierna: het UBO-register) en nationale vermogensregisters (bijvoorbeeld het openbaar register betreffende registergoederen bij het Kadaster) kunnen doorzoeken om te achterhalen waar bepaalde vermogensbestanddelen, zoals onroerend goed en bankrekeningen zich bevinden.

Het ubo-register zal geen informatie opleveren over vermogensbestanddelen van een insolvente entiteit, zodat de vermelding van dat register raadselachtig is. Het Nederlandse standpunt:

Het kabinet kan titel III over het opsporen van vermogensbestanddelen die tot de boedel behoren in het algemeen steunen. Bredere toegang tot bankrekeningenregisters (het Verwijzingsportaal Bankgegevens), het UBO-register en nationale vermogensregisters kan daarbij wenselijk zijn, omdat dit de curator helpt om de omvang van de boedel te maximaliseren. Op een aantal punten behoeft de gekozen uitwerking bijstelling. Zo is het kabinet kritisch over de keuze die in de regeling is gemaakt om aangewezen gerechten op verzoek van de curator het Verwijzingsportaal Bankgegevens te laten doorzoeken om vermogensbestanddelen op te sporen. Dit is een taak die niet goed aansluit bij de bestaande taken van de (civiele) rechter en zou bovendien leiden tot een aanzienlijke toename van de werklast van de rechtspraak. Het lijkt logischer om deze taak bij de curator of een buitenlandse insolventiefunctionaris te beleggen, onder toezicht van de rechter-commissaris. Ten aanzien van het UBO-register zal het kabinet de Commissie vragen hoe zij de verhouding ziet met de uitspraak van het HvJEU waaruit volgt dat het UBO-register niet meer openbaar voor een ieder en niet meer breed toegankelijk is. Hoewel het kabinet de inhoud van deze titel kan steunen, lijkt dit richtlijnvoorstel niet de meest geschikte plek om dit onderwerp te regelen. Het kabinet zal nadere toelichting vragen over waarom deze titel niet wordt opgenomen in de nieuwe anti-witwasrichtlijn. Zowel het UBO-register als het Verwijzingsportaal Bankgegevens worden in die richtlijn vernieuwd. Onafhankelijk van waar dit onderwerp uiteindelijk wordt geregeld, is het wenselijk om op te nemen op welke wijze lidstaten invulling moeten geven aan de door de Algemene verordening gegevensbescherming (AVG) vereiste waarborgen en grondslagen.

Andere wijzigingen betreffen onder meer het vergemakkelijken van de positie van curator en/of overheid door niet te eisen dat betrokkenen wetenschap van benadeling hadden. Dan komen we uit bij het instrumentarium van de luie wetgever (kleurloos opzet, bewijslastomkering, Wet Damocles):

Het kabinet steunt de doelstelling achter titel II van het richtlijnvoorstel waarin een regeling is opgenomen op basis waarvan de curator de bevoegdheid krijgt om bepaalde handelingen van de gefailleerde schuldenaar die nadelig zijn geweest voor de schuldeisers ongedaan te maken (de faillissementspauliana). Duidelijkheid over wanneer een rechtshandeling in aanloop naar faillissement al dan niet geldig is kan zekerheid opleveren voor investeerders en schuldeisers. Deze titel sluit grotendeels aan bij de Nederlandse faillissementspauliana. De voorgestelde regeling kan een verbetering betekenen voor de Nederlandse praktijk, omdat bij bepaalde rechtshandelingen het wetenschapscriterium niet geldt.

Er worden veel regelgevende consequenties verwacht:

Implementatie van het voorstel kan plaatsvinden door een aanpassing van de Faillissementswet en Boek 2 van het Burgerlijk Wetboek. Ook moet de wetgeving ten aanzien van het UBO-register en het Verwijzingsportaal Bankgegevens worden aangepast. Vanwege de gedetailleerdheid van het richtlijnvoorstel zal het gaan om een behoorlijk grote wetgevingsoperatie. Voor een deel past het richtlijnvoorstel al binnen de kaders van de Faillissementswet. Het voorstel gaat gedeeltelijk uit van minimumharmonisatie en laat daar de ruimte om verdergaande regels te stellen of te handhaven. Door de gedetailleerdheid van het richtlijnvoorstel is die ruimte wel beperkt.

Geplaatst in Bestuurdersaansprakelijkheid, Contractenrecht, privaatrecht algemeen, Europa, Fraude, witwasbestrijding, Wwft, Rechtspersonenrecht, Ubo-register, Verwijzingsportaal Bankgegevens | Tags: , , | Een reactie plaatsen

Wijzigingen Wtt 2018

Twee wetten die wijzigingen van de Wtt 2018 bevatten zijn op 21 februari jl. in het Staatsblad verschenen:

De eerste wet omvat onder meer het doorstroomvennootschappenverbod en de nieuwe hoog-risico-landen regels. De tweede wet bevat de volgende wijziging:

Aan artikel 54 van de Wet toezicht trustkantoren 2018 wordt een lid toegevoegd, luidende:

7. De curator is niet aansprakelijk voor schade veroorzaakt door een handelen of nalaten in de uitoefening van de taak op grond van dit artikel, tenzij deze schade in belangrijke mate het gevolg is van een opzettelijk onbehoorlijke taakuitoefening of een opzettelijk onbehoorlijke uitoefening van bevoegdheden of in belangrijke mate te wijten is aan grove schuld.

De besluiten inzake de inwerkingtreding zag ik nog niet, maar kunnen binnenkort worden verwacht.

 

Dit bericht verscheen eerder op de site van Compliance Platform Trustkantoren.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Trustkantoren | Tags: , , | Een reactie plaatsen

Profiling in the financial sector: “the automated establishment of a probability concerning the ability of a person to service a loan constitutes profiling under the GDPR”

In cases against SCHUFA, a German credit information provider, the advocate general at the Court of Justice of the EU (CJE), Mr Pikamäe, has presented his opinion on the case. He advised that the automated establishment of a probability concerning the ability of a person to service a loan constitutes profiling under the GDPR. Further he was of the opinion that the storage of data by a private credit information agency cannot be lawful once the personal data concerning insolvency have been erased from public registers.

From the press release, the case:

Case C-634/21 concerns proceedings between a citizen and Land Hessen, represented by the Data Protection and Freedom of Information Commissioner for Hesse (the ‘HBDI’), regarding the protection of personal data. As part of

its economic activity, which consists in providing its clients with information on the creditworthiness of third parties, SCHUFA Holding AG (‘SCHUFA’), a company governed by private law, provided a credit institution with a score for the

citizen in question, which served as the basis for the refusal to grant the credit for which the latter had applied. The citizen subsequently requested SCHUFA to erase the entry concerning her and to grant her access to the corresponding data. The latter, however, merely informed her of the relevant score and, in broad outline, of the principles underlying the calculation method for the score, without informing her of the specific data included in that calculation or of the relevance accorded to them in that context, arguing that the calculation method is a trade secret.

On the opinion:

In his Opinion, Advocate General Priit Pikamäe states, first of all, that the GDPR establishes a ‘right’ for the person concerned not to be subject to a decision based solely on automated processing, including profiling.

The Advocate General then finds that the conditions for that right are satisfied because:

1. the procedure at issue constitutes ‘profiling’,
2. the decision produces legal effects concerning the person concerned or similarly significantly affects him or her, and
3. the decision is based solely on automated processing.

The provision of the GDPR laying down that right is therefore applicable in circumstances like those in the main proceedings.

The Advocate General points out that, under another provision of the GDPR, the person concerned has the right to obtain from the controller not only confirmation as to whether or not personal data concerning him or her are being processed, but also other information, such as on the existence of automated decision-making, including profiling, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the person concerned. He considers that that the obligation to provide ‘meaningful information about the logic involved’ must be understood to include sufficiently detailed explanations of the method used to calculate the score and the reasons for a certain result. In general, the controller should provide the person concerned with general information, notably on the factors taken into account for the decision-making process and on their respective weight on an aggregate level, which is also useful for him or her to challenge any ‘decision’ within the meaning of the GDPR, recognising the ‘right’ not to be subject to a decision based solely on automated processing, including profiling.

The Advocate General takes the view that that provision is to be interpreted as meaning that the automated establishment of a probability value concerning the ability of the person concerned to service a loan in the future already constitutes a decision based solely on automated processing, including profiling, which produces legal effects concerning that person or similarly significantly affects him or her, where that value, determined by means of personal data relating to that person, is transmitted by the controller to a third-party controller and the latter, in accordance with consistent practice, draws strongly on that value for its decision on the establishment, implementation or termination of a contractual relationship with that same person.

Other cases concerned the requests made to ensure the deletion of an entry relating to discharge from remaining debts from the records of SCHUFA. The agency has entered published information relating to early discharges from remaining debts in its own databases, but SCHUFA does not delete it until three years after entry. The questions referred by the national court concern, among other things, the question of the lawfulness of the storage of personal data from public registers by credit information agencies.

In the second place, the Advocate General states that, under the GDPR, the processing of personal data may be lawful, inter alia, when the three following cumulative conditions are satisfied:

– first, the pursuit of a legitimate interest by the data controller or by the third party or third parties to which the data are communicated,
– second, the need to process personal data for the purposes of the legitimate interest pursued, and
– third, the fundamental rights and freedoms of the person concerned by the data protection do not take precedence.

Mr Pikamäe observes that the considerable negative consequences that the storage of data will have on the person concerned after the period of six months in question seem to override the commercial interest of the private agency and its clients in storing the data after that period. In this context, he points out that the discharge from remaining debts granted is intended to allow the beneficiary to re-enter economic life. That objective would be frustrated if private credit information agencies were authorised to store personal data in their databases after the data have been erased from the public register

The Advocate General takes the view that the storage of data by a private credit information agency cannot be lawful, under the provision of the GDPR laying down the conditions set out above, once the personal data concerning insolvency have been erased from public registers. As regards the period of six months during which the personal data are also available in public registers, it is for the referring court to balance the abovementioned interests and impacts on the person concerned in order to determine whether the parallel storage of those data by private credit information agencies is lawful on that basis.

In the third place, the Advocate General points out that the GDPR provides a right for the person concerned to obtain the erasure of his or her personal data where he or she objects to the processing or where those data have been unlawfully processed. In the Advocate General’s view, in such situation, the person concerned therefore has the right to obtain from the controller the erasure of personal data concerning him or her without undue delay. It is for the referring court to examine if, exceptionally, there are overriding legitimate grounds for the processing.

 

More information:

  • Press release on Advocate General’s Opinion in Case C-634/21 | SCHUFA Holding and Others (Scoring) and in Joint Cases C-26/22 and C-64/22 SCHUFA Holding and Others (Discharge from remaining debts).
  • The opinions: case C-634/21 ECLI:EU:C:2023:220 (scoring), NL version; cases C-26/22 and C-64/22 ECLI:EU:C:2023:222 (discharge from remaining debts), NL version.
Geplaatst in English - posts in English on this blog, Europa, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , | Een reactie plaatsen

Financial institution breaches GDPR in direct marketing | Nordax Bank decision IMY

The Swedish Authority for Privacy Protection (Integritetsskyddsmyndigheten, ‘IMY’) has dealt with a GDPR-complaint regarding the Nordax Bank.

Facts
This bank has instructed another company, Iper Direkt, to provide direct marketing services, including an address register, to the bank. Someone has complained with Nordax and asked for erasure of his/her personal data. Nordax is of the opinion that the complainant should go to Iper for that. Nordax was willing to institute a block on addressed direct marketing regarding complainant and has provided general information to the complainant that Nordax may process the complainant’s personal data in order to maintain a block on addressed direct marketing. The complainant did not provide the requested personal data (pre- and surname and full address) to Nordax. According to the decision at a later date complainant was  blocked against further direct marketing mailing regarding Nordax products.

Decision
In the decision IMY points out that Nordax is the controller, as Nordax determines the purposes and means of the processing of personal data. It can not refer to Iper for complying with GDPR-requests of data subjects.

IMY is of the opinion that Nordax unnecessarily asked the complainant to submit additional information in order to comply with the blocking request, even though the existing information in the request according to Nordax was sufficient to actually satisfy the request directly. For this reason Nordax has requested additional information that has not been necessary to confirm the identity of the data subject in violation of Article 12(6) GDPR. Further Nordax has breached GDPR by failing to inform complainant that it had blocked complainant against further addressed direct marketing.

The violations of the GDPR are grounds for IMY to issue a reprimand to Nordax and to issue some orders to the bank to correct its practices:

  • to comply with complainant’s request to exercise its right of access, “This is done by providing the complainant access to all personal data that Nordax process regarding the complainant by arranging a copy to the complainant of the personal data referred to in Article 15(3) and provide information pursuant to points (a) to (h) of Article 15(1) and 15.2.“;
  • to comply with complainant’s request for erasure;
  • to provide the complainant with information on the measures which been taken in response to the complainant’s request to exercise his right of objection to processing for direct marketing purposes.

 

More information:

Geplaatst in English - posts in English on this blog, Financieel recht, onder meer Wft, Wtt, ICT, privacy, e-commerce | Tags: , , , , | Een reactie plaatsen