Το giropay ξέρει τι αγοράσατε το περασμένο καλοκαίρι
Αντί να επεξεργάζεται μόνο την πληρωμή, η γερμανική υπηρεσία πληρωμών "giropay" (πρώην "paydirekt") διατηρεί τις πληροφορίες για κάθε μεμονωμένο αντικείμενο που αγοράζεται σε ηλεκτρονικά καταστήματα. Αυτό μπορεί να οδηγήσει σε επεξεργασία ευαίσθητων, προσωπικών δεδομένων. Ένας πελάτης επικοινώνησε με τη noyb αφού είδε μια λεπτομερή λίστα προϊόντων που είχε παραγγείλει σε ένα διαδικτυακό φαρμακείο και σε ένα κατάστημα σεξ που ήταν καταχωρισμένο στον λογαριασμό giropay της. Τέτοια δεδομένα προστατεύονται ειδικά βάσει του GDPR και δεν επιτρέπεται η επεξεργασία τους χωρίς συγκατάθεση. noyb υπέβαλε σήμερα καταγγελία κατά του giropay στον Επίτροπο της Πολιτείας της Έσσης για την Προστασία Δεδομένων και την Ελευθερία της Πληροφορίας.
Διαφανείς τσάντες για ψώνια ή «το ιδιωτικό παραμένει ιδιωτικό»; Η γερμανική υπηρεσία πληρωμών giropay διαφημίζεται στον ιστότοπό της με εύστοχα συνθήματα όπως "Το ιδιωτικό παραμένει ιδιωτικό" και "Προστασία δεδομένων σύμφωνα με τις γερμανικές οδηγίες". Μια πελάτισσα βρήκε ξαφνικά έναν λεπτομερή λογαριασμό των αγορών της - συμπεριλαμβανομένου ενός sex shop και ενός διαδικτυακού φαρμακείου στο προφίλ της giropay. Εκτός από τις κανονικές πληρωμές SEPA ή με πιστωτική κάρτα, το giropay δεν επεξεργάζεται μόνο τα απαραίτητα προσωπικά δεδομένα για να εξασφαλίσει την πληρωμή - αλλά διατηρεί ολόκληρο το περιεχόμενο του καλαθιού αγορών. Καθώς η εταιρεία δεν έδειξε σημάδια προθυμίας να συνεργαστεί για το θέμα, επικοινώνησε με τη noyb .
Ο giropay το κατηγορεί στα μαγαζιά . Το giropay διατηρεί και επεξεργάζεται τα δεδομένα, αλλά εκτρέπει κάθε ευθύνη: η μεταφορά τέτοιων δεδομένων θα είναι πάντα ευθύνη των καταστημάτων. Ωστόσο, το λογισμικό τους έχει μια συγκεκριμένη λειτουργία για την προώθηση τέτοιων πληροφοριών και η δική τους σύνδεση στο webshop στην πραγματικότητα δεν αφήνει άλλη επιλογή στους χειριστές του καταστήματος από τη μεταφορά αυτών των δεδομένων. Δεδομένου ότι η giropay επεξεργάζεται σαφώς αυτά τα περιττά προσωπικά δεδομένα, υπόκειται στον GDPR και ευθύνεται βάσει του νόμου.
" Δεν μπορείτε να δημιουργήσετε, να χρησιμοποιήσετε και να προωθήσετε ένα σύστημα που απορροφά παράνομα δεδομένα και κατηγορεί άλλους για την αρπαγή δεδομένων. Ο GDPR έχει σαφείς αρχές σχετικά με τη νομιμότητα, την ελαχιστοποίηση δεδομένων και τη λογοδοσία. " Alan Dahi, δικηγόρος προστασίας δεδομένων στο noyb
Ιδιαίτερα ευαίσθητα δεδομένα. Τα δεδομένα που επεξεργάζεται η giropay αφορούν επίσης την υγεία και τις σεξουαλικές προτιμήσεις του πελάτη. Σύμφωνα με τον GDPR, τέτοια ευαίσθητα δεδομένα αξίζουν ιδιαίτερης προστασίας. Δεν πρέπει να υποβληθεί σε επεξεργασία χωρίς τη ρητή συγκατάθεση του πελάτη, όπως αναφέρεται στο άρθρο 9 παράγραφος 2 στοιχείο α) του GDPR.
"Ακριβώς επειδή χρησιμοποιώ τη χρεωστική μου κάρτα στο σούπερ μάρκετ, η τράπεζά μου δεν θα λάβει λεπτομερείς πληροφορίες για τα ψώνια μου. Δεν υπάρχει απολύτως κανένας νόμιμος λόγος για το giropay να συλλέγει τέτοια δεδομένα και να τα αποθηκεύει μακροπρόθεσμα, ειδικά όταν είναι τόσο προσωπικά ." Πελάτης του giropay
Αυτό δεν είναι "συνήθης πρακτική της αγοράς" . Η giropay συλλέγει πληροφορίες σχετικά με τις πιο προσωπικές υποθέσεις των πελατών της και υποστηρίζει ότι αυτή είναι «κανονική πρακτική της αγοράς». Υποτίθεται ότι οι πληροφορίες θα ήταν σχετικές σε περίπτωση διαφωνιών μεταξύ ενός διαδικτυακού καταστήματος και του πελάτη. Στην πραγματικότητα, ο κατάλογος των ειδών θα πρέπει να είναι άμεσα διαθέσιμος στους λογαριασμούς ή το ιστορικό πληρωμών που είναι διαθέσιμο στο διαδικτυακό κατάστημα - δεν χρειάζεται κάποιος τρίτος να διατηρεί αυτά τα αρχεία από προεπιλογή και χωρίς τη γνώση ή τη συγκατάθεση του χρήστη. Αν και η «πρακτική της αγοράς» είναι άσχετη από την άποψη της νομοθεσίας περί προστασίας δεδομένων, οι εταιρείες τη χρησιμοποιούν συχνά για να νομιμοποιήσουν τις παραβιάσεις της προστασίας δεδομένων. Αντίθετα, θα πρέπει να αρχίσουν να παίρνουν στα σοβαρά την προστασία των δεδομένων και να σέβονται το απόρρητο των πελατών τους.
