Az Alfa Vita (AB) görög szupermarketlánc hűségkártya-programot működtet, amely lehetővé teszi a vásárlók személyes adatainak gyűjtését. Ennek ellenére a vállalat még az alapvető GDPR-jogoknak sem tud megfelelni. Amikor a panaszos hozzáférést kért az adataihoz, az AB kihagyta az általa kezelt személyes adatok nagy részét. noyb most panaszt nyújtott be a görög adatvédelmi hatósághoz.
A hozzáférési jogot nagyrészt figyelmen kívül hagyták. Az Alfa Vita (AB) görög szupermarketlánc, hogy minél több hűséges vásárlóját megtartsa, bevezetett egy hűségkártya-programot, az ún "AB plus". Miközben az AB igyekszik minél több személyes adatot gyűjteni 2,2 millió vásárlójáról, nem tartja be az uniós jogot. Ez akkor vált világossá, amikor egy fogyasztó megpróbált élni a hozzáférési jogával. A nő regisztrált a AB Plus Personal szintjére regisztrált az AB hűségprogramjában. Ez azt jelenti, hogy az AB feldolgozza "a vásárlási szokásait, az AB üzletben tett látogatásainak gyakoriságát, a számára közölt ajánlatok felhasználását, a lakcímét, a vásárlásainak összköltségét" profilalkotás céljából. Az AB mégis csak a tranzakcióinak listáját és az elérhetőségét adta át neki, de semmilyen más információt nem tudott belőle levezetni. A Bíróság egyértelmű ítélete ellenére az AB kifejezetten elutasította az ilyen adatok címzettjeinek listáját is. (lásd a C-154/21. sz. ügyet).
Kleanthi Sardeli, adatvédelmi jogász, a noyb: "A GDPR egyértelműen kimondja, hogy a vállalatnak a hozzáférési kérelemre adott válaszában szerepelnie kell az ügyfélről birtokában lévő összes információnak. A Bíróság tisztázta, hogy ez az összes olyan címzettre is vonatkozik, akik megkapták a személyes adatokat. Az a tény, hogy az AB szándékosan visszatartja az említett adatok hatalmas mennyiségét, egyértelműen jogellenes."
További GDPR-jogok csak az "AB Plus Unique" ügyfelek számára? AB Plus Personal ügyfelek, köztük a panaszos, még a hűségkártyájuk használatával megtakarított összeghez sem férhetnek hozzá. Az AB a weboldalán úgy hirdeti az adatokhoz való hozzáférést, mint az alábbiak számára exkluzív funkciót "AB Plus Unique" ügyfelek számára" ügyfelek számára. Azonban a "frissítés" a AB Plus Unique az adatok más harmadik felekkel való megosztásához való hozzájárulást igényelne. Ez nemcsak abszurd, hanem egyértelműen jogellenes is. A vállalatoknak "meg kell könnyíteniük" a személyes adatokhoz való hozzáférést, nem pedig túszként tartani azokat. Összességében ez az eset azt mutatja, hogy még a személyes adatokra nagymértékben támaszkodó műveletek, például egy hűségprogram, nyolc évvel a GDPR 2016-os elfogadása után sem felelnek meg a GDPR alapelveinek.
Kleanthi Sardeli, adatvédelmi jogász a noyb: "Az AB alapvetően azt követeli, hogy az uniós jog szerinti alapvető jogainak gyakorlása érdekében járuljon hozzá a "frissítéshez" és engedélyezze az adatok megosztását. Ez teljesen abszurd, de azt mutatja, hogy a vállalatok mennyire nem törődnek a GDPR-ral"
"Adja át az adatait, ha pénzt akar spórolni". Az élelmiszer az egyik legnagyobb kiadás minden háztartás számára. Egyre több kedvezményt kötnek szigorúan hűségkártya birtoklásához, amely lehetővé teszi a vállalatok számára a fogyasztók nyomon követését, profilozását és manipulálását, így a részvétel de facto kötelezővé válik. A gyorsan emelkedő élelmiszerárak, a gazdasági visszaesés idején, és különösen az alacsony jövedelmű tagállamokban élő fogyasztók számára nemigen marad más választás, mint "beleegyezni" a személyes adatok megosztásába annak érdekében, hogy megfizethetőbb élelmiszerekhez juthassanak. Természetesen ezek a "kedvezmények" beépülnek a szupermarketek árképzési modelljeibe. Ez azt jelenti, hogy a valóságban a vásárlók csak a korábban felduzzasztott árakból kapnak kedvezményt.
Kleanthi Sardeli, a noyb adatvédelmi ügyvédje: "Az emelkedő árak idején egyre többen kénytelenek a hűségkártyákra támaszkodni, hogy némi pénzt spóroljanak vásárláskor. Ez az AB-hez hasonló szupermarketek számára erős helyzetet biztosít ahhoz, hogy szemérmetlenül figyelmen kívül hagyják az emberek magánélethez való alapvető jogát".
GDPR-panaszt nyújtottak be Görögországban. noyb most panaszt nyújtott be a görög hatósághoz (DPA), kérve az AB adatfeldolgozási műveleteinek kivizsgálását és a panaszos hozzáférési kérelmének teljesítésére való felszólítást. Ezen túlmenően, noyb azt javasolja, hogy az adatvédelmi hatóság szabjon ki az AB éves forgalmának 4%-áig terjedő bírságot, hogy a jövőben megelőzze a hasonló jogsértéseket.
