Tänään, noyb teki GDPR-valituksen Ryanairia vastaan. Lennon varaaminen lentoyhtiön verkkosivustolla ei ainoastaan edellytä pakollista tiliä. Uusien asiakkaiden on myös käytävä läpi todentamisprosessi, johon monien kohdalla liittyy invasiivisia biometrisiä tietoja. Tällaiselle järjestelmälle ei ole mitään järkevää perustetta. Sen sijaan näyttää siltä, että Ryanair rikkoo vapaaehtoisesti asiakkaidensa oikeutta tietosuojaan kasvattaakseen markkinavoimaansa. Tämä on jo toinen noyb valitus tästä käytännöstä. Aiemmasta valituksesta huolimatta Ryanair on päättänyt pakottaa entistä useammat asiakkaat käymään läpi todentamisjärjestelmänsä.
- Valitus Italian tietosuojaviranomaiselle (EN)
- Valitus Italian tietosuojaviranomaiselle (IT)
- Edellinen noyb valitus Ryanairia vastaan
Ryanair ottaa käyttöön "pakkotilit". Kuka tahansa, joka haluaa varata lennon Ryanairin verkkosivustolla tai sovelluksessa, joutuu nyt luomaan pysyvän tilin. Tämä tarkoittaa usein sitä, että tiedot yhdistetään ja säilytetään, kunnes tili poistetaan - mikä ei yleensä koskaan tapahdu. Tiliä ei kuitenkaan selvästikään tarvita lennon varaamiseen. Myöskään Lufthansa, EasyJet, Air France tai Norwegian, monien muiden muassa, eivät vaadi tilin luomista lennon ostamista varten. Todellisuudessa Ryanairin "pakkotilit" rikkovat tietosuoja-asetuksen tietojen minimointiperiaatetta. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa edellytetään, että henkilötietoja saa käsitellä vain, jos se on välttämätöntä. Ryanair ei täytä tätä vaatimusta.
Pakollinen ja sekava todentaminen. Pakkotilit eivät kuitenkaan riitä Ryanairille. Lentääkseen Ryanairilla kaikkien uusien tilien omistajien on käytävä läpi pakollinen "todentamisprosessi". Tässä vaiheessa ihmiset voivat teoriassa valita kahden vaihtoehdon välillä. Todellisuudessa Ryanair työntää heidät valitsemaan ennalta valitun ja erittäin invasiivisen biometrisen kasvojentunnistusprosessin, jonka avulla he voivat todentaa tilinsä - huolimatta siitä, että biometriset tiedot ovat EU:n lainsäädännön mukaan erityisen suojattuja. Euroopan tietosuojaviranomaiset sanovat jopa, että kasvojentunnistus voi aiheuttaa ihmisille "kohtuuttoman suuria riskejä".
Felix Mikolasch, tietosuojalakimies noyb: "Me kaikki tiedämme, että Ryanair on ärsyttävän ja harhaanjohtavan verkkosivusuunnittelun mestari. Mutta kun kyse on ihmisten henkilötietojen käytöstä, lentoyhtiön on noudatettava lakia kuten kaikkien muidenkin."
Ei kasvoskannausta - ei nopeaa lentovarausta. Jos asiakkaat eivät halua, että heidän biometrisiä tietojaan käsitellään, Ryanair vaatii heitä lähettämään heille käsinkirjoitetun allekirjoituksen ja kopion valtion henkilötodistuksesta. Tämä aiheuttaa lisärasitteen, jos asiakas kieltäytyy antamasta suostumusta biometristen tietojensa käyttöön, mikä johtaa siihen, että asiakkailta riistetään heidän vapaa valintansa - ja Ryanair ei noudata yleisen tietosuoja-asetuksen suostumusvaatimuksia.
Felix Mikolasch, tietosuojalakimies osoitteessa noyb: "Ryanair yllyttää käyttäjiään laittomasti käsittelemään erittäin arkaluonteisia biometrisiä tietojaan ja jättää täysin huomiotta oikeudelliset velvoitteensa. Ei näytä olevan mitään ilmeistä syytä, miksi Ryanair tarvitsee tällaista todentamista, kun otetaan huomioon, että muut lentoyhtiöt eivät vaadi kasvojen skannausta lipun ostamiseksi."
Kilpailun metsästäminen asiakkaiden kustannuksella. Vaikuttaa siltä, että todentamisprosessin todellinen tarkoitus on estää verkkomatkatoimistoja perustamasta tilejä, joilla ne voivat ostaa Ryanairin lentoja ja myöhemmin myydä niitä edelleen omilla verkkosivuillaan. Jos asiakkaat varaavat lentonsa muualta, he eivät kuluta Ryanairilta ylimääräistä rahaa hotelleihin, vakuutuksiin, lentokenttäkuljetuksiin tai vuokra-autoihin - vaan varaavat nämä lisäpalvelut matkatoimistolta. Tässä suhteessa Ryanair ja matkatoimistot ovat kilpailijoita. Vaatimalla biometriikkaa ja muuta vastaavaa Ryanair näyttää hakevan kilpailuetua yritysten välisessä taistelussa heittämällä käyttäjien yksityisyyden suojan bussin alle.
Italiassa jätetty valitus. noyb on nyt tehnyt valituksen Italian Garante-virastolle. Pakottamalla käyttäjät luomaan tilin lentolipun ostamista varten lentoyhtiö rikkoo yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaista tietojen minimointiperiaatetta. Lisäksi pakollinen todentaminen rikkoo käyttötarkoituksen rajoittamisen periaatetta (yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohta). Viimeisenä mutta ei vähäisimpänä Ryanair ei täytä yleisen tietosuoja-asetuksen 6 ja 9 artiklan mukaisia suostumusvaatimuksia. Perustuen Ryanairin 10 miljardin euron liikevaihto vuonna 2023, tietosuojaviranomainen voi määrätä jopa 431 miljoonan euron sakon.
