giropay tietää, mitä ostit viime kesänä

Feb 25, 2022

giropay tietää, mitä ostit viime kesänä

Saksalainen maksupalvelu "giropay" (entinen "paydirekt") ei ainoastaan käsittele maksua, vaan säilyttää tiedot jokaisesta yksittäisestä verkkokaupasta ostetusta tuotteesta. Tämä voi johtaa arkaluonteisten henkilötietojen käsittelyyn. Eräs asiakas otti yhteyttä osoitteeseen noyb nähtyäänyksityiskohtaisen luettelon tuotteista, joita hän oli tilannut verkkoapteekista ja seksikaupasta, jotka oli lueteltu hänen giropay-tilillään. Tällaiset tiedot ovat erityisen suojattuja GDPR:n nojalla, eikä niitä saa käsitellä ilman suostumusta noyb teki valituksen aggiropayta vastaan tänään Hessin tietosuojavaltuutetulle ja tiedonvälityksen vapaudesta vastaavalle viranomaiselle.

Läpinäkyvät ostoskassit vai "yksityinen pysyy yksityisenä"? Saksalainen maksupalvelu giropay mainostaa verkkosivuillaan osuvilla iskulauseilla, kuten "Yksityinen pysyy yksityisenä" ja "Tietosuoja saksalaisten ohjeiden mukaan". Eräs asiakas löysi yhtäkkiä yksityiskohtaisen giropay-profiilistaan selvityksen ostoksistaan - muun muassa seksikaupasta ja verkkoapteekista. Tavallisista SEPA- tai luottokorttimaksuista poiketen giropay ei käsittele ainoastaan maksun varmistamiseksi tarvittavia henkilötietoja - vaan säilyttää koko ostoskorin sisällön. Kuten yritys ei osoittanut merkkejä yhteistyöhalukkuudesta asiassa, hän sai otti yhteyttä noybiin.

giropay syyttää kauppoja. giropay säilyttää ja käsittelee tiedot, mutta torjuu kaiken vastuun: tällaisten tietojen siirtäminen olisi aina kauppojen vastuulla. Heidän ohjelmistossaan on kuitenkin erityinen toiminto tällaisten tietojen välittämiseksi ja heidän oma verkkokauppansa plugin ei itse asiassa jätä kauppiaille muuta vaihtoehtoa kuin siirtää nämä tiedot. Koska giropay käsittelee selvästi näitä tarpeettomia henkilötietoja, se on GDPR:n alainen ja lain mukaan vastuussa.

"Ei voi rakentaa, käyttää ja edistää järjestelmää, joka imee laittomasti tietoja, ja syyttää muita tietojen kaappauksesta. Yleisessä tietosuoja-asetuksessa on selkeät periaatteet laillisuudesta, tietojen minimoinnista ja vastuuvelvollisuudesta." Alan Dahi, noybintietosuojalakimies

Erityisen arkaluonteiset tiedot. Giropayn käsittelemät tiedot koskevat myös asiakkaan terveyttä ja seksuaalisia mieltymyksiä. GDPR:n mukaan tällaiset arkaluonteiset tiedot ansaitsevat erityistä suojaa. Niitä ei saa käsitellä ilman asiakkaan nimenomaista suostumusta, kuten yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdassa todetaan

"Vain siksi, että käytän pankkikorttiani supermarketissa, pankkini ei saa yksityiskohtaisia tietoja ruokaostoksistani. Ei ole mitään laillista syytä sille, että giropay kerää tällaisia tietoja ja säilyttää niitä pitkään, varsinkaan kun ne ovat näin henkilökohtaisia." Giropayn asiakas

Tämä ei ole "normaali markkinakäytäntö". giropay kerää tietoja asiakkaidensa intiimeimmistä asioista ja väittää, että tämä on "normaali markkinakäytäntö". Väitetään, että tiedot olisivat merkityksellisiä verkkokaupan ja asiakkaan välisissä riitatilanteissa. Todellisuudessa eräluettelon pitäisi olla helposti saatavilla laskuissa tai maksuhistorian pitäisi olla saatavilla verkkokaupassa - ei ole mitään tarvetta, että kolmas osapuoli säilyttää näitä tietoja oletusarvoisesti ja ilman käyttäjän tietoa tai suostumusta. Tosin "markkinakäytännöllä" ei ole merkitystä tietosuojalainsäädännön kannalta, yritykset käyttävät sitä usein oikeuttamaan tietosuojarikkomukset. Sen sijaan niiden olisi alettava suhtautua tietosuojaan vakavasti ja kunnioitettava asiakkaidensa yksityisyyttä.