Kreikkalaisella supermarketketjulla Alfa Vitalla (AB) on kanta-asiakaskorttiohjelma, joka mahdollistaa ostajien henkilötietojen keräämisen. Silti yritys ei pysty noudattamaan edes GDPR:n perusoikeuksia. Kun kantelija pyysi pääsyä tietoihinsa, AB jätti suurimman osan käsittelemistään henkilötiedoista pois. noyb on nyt tehnyt valituksen Kreikan tietosuojaviranomaiselle.
Oikeus tutustua asiakirjoihin jätetty suurelta osin huomiotta. Kreikkalainen supermarketketju Alfa Vita (AB) on ottanut käyttöön kanta-asiakasohjelman, jonka tarkoituksena on säilyttää mahdollisimman monta kanta-asiakasta "AB plus". Vaikka AB haluaa kerätä mahdollisimman paljon henkilötietoja 2,2 miljoonasta asiakkaastaan, se ei noudata EU:n lainsäädäntöä. Tämä kävi ilmi, kun eräs kuluttaja yritti käyttää tiedonsaantioikeuttaan. Hän on rekisteröitynyt AB Plus Personal tasolle AB:n kanta-asiakasohjelmaan. Tämä tarkoittaa, että AB käsittelee "hänen ostotottumuksiaan, käyntitiheyttä AB-myymälässä, hänelle välitettyjen tarjousten käyttöä, hänen kotiosoitettaan, ostostensa kokonaiskustannuksia" profilointia varten. Silti AB toimitti hänelle vain luettelon hänen ostotapahtumistaan ja yhteystietonsa, mutta ei mitään muita tietoja, joita se olisi saanut niistä. Euroopan yhteisöjen tuomioistuimen selkeästä tuomiosta huolimatta AB on myös nimenomaisesti kieltäytynyt toimittamasta luetteloa tällaisten tietojen vastaanottajista. (ks. asia C-154/21).
Kleanthi Sardeli, tietosuojalakimies osoitteessa noyb: "Yleisessä tietosuoja-asetuksessa todetaan selvästi, että yrityksen vastauksessa tietopyyntöön on mainittava kaikki sen hallussa olevat asiakasta koskevat tiedot. Tuomioistuin selvensi, että tämä koskee myös kaikkia vastaanottajia, jotka ovat saaneet henkilötietojasi. Se, että AB salaa tietoisesti suuria määriä kyseisiä tietoja, on selvästi laitonta."
Lisää GDPR-oikeuksia vain "AB Plus Unique" -asiakkaille? AB Plus Personal asiakkaat, mukaan lukien kantelija, eivät pääse edes käsiksi rahamäärään, jonka he ovat säästäneet käyttämällä kanta-asiakaskorttiaan. Verkkosivuillaan AB mainostaa pääsyä näihin tietoihin yksinoikeutena seuraaville henkilöille "AB Plus Unique" -asiakkaille" -asiakkaille. Kuitenkin "päivitys" AB Plus Unique edellyttää suostumusta tietojen jakamiseen muiden kolmansien osapuolten kanssa. Tämä ei ole ainoastaan järjetöntä, vaan myös selvästi lainvastaista. Yritysten on "helpotettava" pääsyä henkilötietoihin, ei pidä pitää niitä panttivankina. Kaiken kaikkiaan tämä tapaus osoittaa, että jopa toiminnot, jotka nojautuvat voimakkaasti henkilötietoihin, kuten kanta-asiakasohjelma, eivät vieläkään noudata yleisen tietosuoja-asetuksen perusperiaatteita, vaikka sen hyväksymisestä vuonna 2016 on kulunut kahdeksan vuotta.
Kleanthi Sardeli, tietosuojalakimies osoitteessa noyb: "AB vaatii periaatteessa, että suostut 'päivittämään' ja sallimaan tietojen jakamisen, jotta voit käyttää EU:n lainsäädännön mukaisia perusoikeuksiasi. Tämä on täysin järjetöntä, mutta se osoittaa, miten vähän yritykset välittävät GDPR:stä."
"Anna meille tietosi, jos haluat säästää rahaa". Ruoka on yksi jokaisen kotitalouden suurimmista menoista. Yhä useammat alennukset on tiukasti sidottu kanta-asiakaskortin hallussapitoon, jonka avulla yritykset voivat seurata, profiloida ja manipuloida kuluttajia, mikä tekee osallistumisesta tosiasiallisesti pakollista. Elintarvikkeiden hintojen noustessa nopeasti, taloudellisen taantuman aikana ja erityisesti pienituloisissa jäsenvaltioissa asuvilla asiakkailla ei välttämättä ole muuta vaihtoehtoa kuin "suostua" jakamaan henkilötietoja, jotta he saisivat edullisempaa ruokaa. Nämä "alennukset" on tietenkin sisällytetty supermarkettien hinnoittelumalleihin. Tämä tarkoittaa, että todellisuudessa asiakkaat saavat alennuksia vain aiemmin paisuneista hinnoista.
Kleanthi Sardeli, noybin tietosuojalakimies: "Hintojen noustessa yhä useammat ihmiset joutuvat turvautumaan kanta-asiakaskortteihin säästääkseen rahaa ostoksilla. Tämä asettaa AB:n kaltaiset supermarketit vahvaan asemaan, jossa ne voivat räikeästi sivuuttaa ihmisten perusoikeuden yksityisyyteen".
GDPR-valitus jätetty Kreikassa. noyb on nyt tehnyt Kreikan viranomaiselle (DPA) kantelun, jossa se pyytää AB:n käsittelytoimien tutkimista ja määräystä noudattaa kantelijan pyyntöä saada pääsy tietoihin. Lisäksi, noyb ehdottaa, että tietosuojaviranomainen määrää sakon, jonka suuruus on enintään 4 prosenttia AB:n vuotuisesta liikevaihdosta, jotta vastaavat rikkomukset estettäisiin tulevaisuudessa.