giropay ví, co jste si koupili loni v létě
Německá platební služba "giropay" (dříve "paydirekt") místo pouhého zpracování platby uchovává informace o každém jednotlivém zboží zakoupeném v internetových obchodech. To může vést ke zpracování citlivých osobních údajů. Zákazník se obrátil na noyb poté, co si prohlédlpodrobný seznam produktů, které si objednala v online lékárně a sexshopu, uvedených na jejím účtu giropay. Takové údaje jsou podle GDPR zvláště chráněny a nesmí být zpracovávány bez souhlasu. noyb podala stížnost agproti společnosti giropay u hesenského státního komisaře pro ochranu osobních údajů a svobodu informací.
Průhledné nákupní tašky, nebo "soukromé zůstane soukromým"? Německá platební služba giropay se na svých internetových stránkách ohání jadrnými slogany jako "Soukromé zůstává soukromým" a "Ochrana údajů podle německých směrnic". Jeden zákazník náhle našel podrobnou ve svém profilu u giropay popis svých nákupů - včetně sexshopu a online lékárny. Kromě běžných plateb SEPA nebo kreditní kartou giropay nezpracovává pouze osobní údaje nezbytné k zajištění platby - ale uchovává celý obsah nákupního košíku. Jako společnost neprojevila žádné známky ochoty v této věci spolupracovat, paní kontaktovala společnost noyb.
společnost giropay to dává za vinu obchodům. společnost giropay údaje uchovává a zpracovává, ale jakoukoli odpovědnost odklání: za přenos takových údajů by vždy odpovídaly obchody. Jejich software má však specifickou funkci pro předávání takových informací a jejich vlastní webový obchod plugin vlastně nedává provozovatelům obchodů jinou možnost než tyto údaje předávat. Vzhledem k tomu, že společnost giropay tyto nepotřebné osobní údaje jednoznačně zpracovává, podléhá nařízení GDPR a nese za ně zákonnou odpovědnost.
"Nelze vytvořit, používat a propagovat systém, který nezákonně vysává data, a obviňovat ostatní z jejich přebírání. GDPR má jasné zásady týkající se zákonnosti, minimalizace údajů a odpovědnosti." Alan Dahi, právník zabývající se ochranou osobních údajů ve společnosti noyb
Zvláště citlivé údaje. Údaje zpracovávané společností giropay se týkají také zdravotního stavu a sexuálních preferencí zákazníků. Podle GDPR si tyto citlivé údaje zaslouží zvláštní ochranu. Nesmí být zpracovávána bez výslovného souhlasu zákazníka, jak je uvedeno v čl. 9 odst. 2 písm. a) GDPR.
"Jen proto, že v supermarketu používám debetní kartu, nezíská moje banka žádné podrobné informace o mém nákupu potravin. Neexistuje naprosto žádný legitimní důvod, proč by společnost giropay měla takové údaje shromažďovat a dlouhodobě uchovávat, zejména pokud jsou takto osobní." Zákazník společnosti giropay
Toto není "běžná tržní praxe". giropay shromažďuje informace o nejintimnějších záležitostech svých zákazníků a tvrdí, že jde o "běžnou tržní praxi". Údajně by tyto informace byly relevantní v případě sporů mezi internetovým obchodem a zákazníkem. Ve skutečnosti by měl být seznam položek snadno dostupný na účtech nebo historie plateb dostupná v internetovém obchodě - není nutné, aby tyto záznamy standardně a bez vědomí či souhlasu uživatele uchovávala třetí strana. I když "tržní praxe" je z hlediska zákona o ochraně osobních údajů irelevantní, společnosti ji často využívají k legitimizaci porušování ochrany údajů. Místo toho by měly začít brát ochranu údajů vážně a respektovat soukromí svých zákazníků.
