Experian ukarany grzywną 2,7 mln € za masowe gromadzenie danych osobowych — co oznacza decyzja holenderskiego regulatora (AP) dla firm i konsumentów

Wprowadzenie do problemu / definicja luki

Holenderski organ ochrony danych (Autoriteit Persoonsgegevens, AP) nałożył na Experian Nederland karę 2,7 mln euro za niezgodne z RODO (GDPR) pozyskiwanie i wykorzystywanie danych osobowych oraz niewystarczające informowanie osób, których dane dotyczyły. Sprawa dotyczy kredytowych ocen ryzyka dostarczanych klientom Experian do 1 stycznia 2025 r.

W skrócie

• Kwota kary: 2,7 mln € (ok. 3,2 mln USD).
• Naruszenia: brak odpowiedniej podstawy prawnej i transparentności przy przetwarzaniu danych; masowe łączenie danych z wielu źródeł.
• Skutki biznesowe: Experian zatrzymał działalność w NL i zobowiązał się usunąć całą lokalną bazę danych do końca 2025 r.
• Źródła danych: m.in. rejestry publiczne (np. izba handlowa) oraz informacje kupowane od operatorów telekomunikacyjnych i firm energetycznych.

Kontekst / historia / powiązania

Według AP, dochodzenie wszczęto po skargach osób, które doświadczały negatywnych skutków ocen kredytowych (np. wyższych depozytów przy zmianie dostawcy energii). Decyzję i jej uzasadnienie opublikowano 17 października 2025 r.
Niezależne media w NL (NOS, Tweakers) potwierdziły wysokość kary i fakt, iż firma nie będzie składać dalszych odwołań.

Analiza techniczna / szczegóły sprawy

AP ustalił, iż Experian budował duże zbiory informacji o „ogromnej liczbie osób w Holandii”, łącząc dane z różnych źródeł — publicznych (np. Krajowy Rejestr Handlowy/izba handlowa) i niepublicznych (sprzedaż danych przez telekomy i spółki energetyczne). Dane te zasilały modele scoringowe sprzedawane klientom biznesowym. najważniejsze naruszenia dotyczyły:

• Braku transparentności – osoby nie były odpowiednio informowane o przetwarzaniu ich danych (naruszenie obowiązków informacyjnych).
• Braku adekwatnej podstawy prawnej do tak szerokiego łączenia i wtórnego wykorzystania danych na potrzeby profilowania kredytowego.

AP wskazał, iż konsekwencją tych praktyk były realne decyzje gospodarcze wobec ludzi (np. odmowy, wyższe zaliczki), przy czym osoby te nie miały świadomości istnienia ocen ani możliwości sprawdzenia poprawności danych źródłowych.

Praktyczne konsekwencje / ryzyko

Dla konsumentów w NL: w krótkim terminie spadnie ryzyko, iż zewnętrzne, niezweryfikowane profile będą wpływać na ceny/decyzje dostawców energii czy telekomów. W dłuższej perspektywie rynek scoringu będzie musiał zwiększyć przejrzystość i mechanizmy korekty danych, by ograniczyć błędy i stronniczość.

Dla firm przetwarzających dane: decyzja AP podnosi poprzeczkę dla praktyk typu data-brokering i data enrichment. Łączenie danych z wielu źródeł w celach oceny ryzyka wymaga rygorystycznego doboru podstawy prawnej, audytowalnych DPIA oraz spełnienia obowiązków informacyjnych wobec osób.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji:

1. Zweryfikuj podstawę prawną profilowania i wzbogacania danych (test równowagi dla „uzasadnionego interesu” często nie wystarczy przy szerokim łączeniu zbiorów).
2. Aktualizuj klauzule informacyjne (Art. 13/14 RODO) pod kątem źródeł danych, logiki profilowania, skutków i praw sprzeciwu.
3. Wykonaj DPIA dla scoringu/ocen ryzyka — opisz łańcuchy dostaw danych, dostawców i mechanizmy korekty błędów.
4. Zarządzaj dostawcami danych: umowy, due diligence, logi pochodzenia (data lineage) i testy jakości danych.
5. Udostępnij kanały korekty: łatwy wniosek o dostęp/sprostowanie, szybka re-walidacja modelu po korekcie danych.
6. Retencja i minimalizacja: ogranicz cechy, okresy przechowywania i częstotliwość odświeżania; dokumentuj decyzje.

Te kroki odpowiadają na ustalenia AP i komunikaty prasowe nt. decyzji Experian w NL.

Dla konsumentów:

• Skorzystaj z prawa dostępu i sprostowania; sprawdzaj, kto przetwarza Twoje dane i w jakim celu.
• Jeśli doświadczyłeś negatywnych skutków decyzji opartych na profilu, złóż sprzeciw i żądanie weryfikacji przez człowieka. Kontekst: decyzje oparte na automatycznym profilowaniu w obszarze kredytowym są pod szczególnym nadzorem RODO. (Hunton Andrews Kurth)

Różnice / porównania z innymi przypadkami

Na poziomie UE przełomowy był wyrok TSUE w sprawie SCHUFA (C-634/21, 7.12.2023): sąd uznał, iż scoring kredytowy może stanowić „zautomatyzowane podejmowanie decyzji” w rozumieniu art. 22 RODO, jeżeli podmioty trzecie „silnie opierają się” na tych wynikach przy zawieraniu/odmowie umów. To zwiększa obowiązki informacyjne i wymogi ochronne (human-in-the-loop, możliwość zakwestionowania decyzji). Decyzja AP wobec Experian wpisuje się w tę linię orzeczniczą, akcentując potrzebę jawności i legalności przetwarzania przy kredytowym profilowaniu.

Podsumowanie / najważniejsze wnioski

• AP ukarał Experian Nederland 2,7 mln € za nielegalne, nietransparentne masowe łączenie danych do scoringu.
• Firma kończy działalność w NL i usunie lokalną bazę danych do końca roku, co podkreśla wagę zgodności procesów ocen ryzyka z RODO.
• Dla rynku to sygnał, iż data enrichment + scoring bez pełnej podstawy prawnej, przejrzystości i silnych praw jednostki będzie konsekwentnie sankcjonowany — w duchu orzecznictwa TSUE nt. zautomatyzowanych decyzji.

Źródła / bibliografia

• Autoriteit Persoonsgegevens — komunikat: „Experian krijgt boete van 2,7 miljoen euro…” (17.10.2025). (Autoriteit Persoonsgegevens)
• BleepingComputer — „Experian fined $3.2 million for mass-collecting personal data” (19.10.2025). (BleepingComputer)
• NOS — „Firma przestaje tworzyć kredytowe scores po milionowej karze” (17.10.2025). (NOS)
• Tweakers — „AVG-boete dla Experian to 2,7 mln €, firma nie odwołuje się” (17.10.2025). (Tweakers)
• Hunton Privacy & Information Security Law — omówienie wyroku TSUE w sprawie SCHUFA (14.12.2023). (Hunton Andrews Kurth)