De Griekse supermarktketen Alfa Vita (AB) heeft een klantenkaartprogramma waarbij persoonlijke gegevens van klanten worden verzameld. Toch kan het bedrijf niet eens voldoen aan de basis GDPR-rechten. Toen de klaagster toegang vroeg tot haar gegevens, liet AB de meeste persoonlijke gegevens die het verwerkte weg. noyb heeft nu een klacht ingediend bij de Griekse gegevensbeschermingsautoriteit.
Recht op toegang grotendeels genegeerd. Om zoveel mogelijk trouwe klanten te behouden heeft de Griekse supermarktketen Alfa Vita (AB) een klantenkaartprogramma geïntroduceerd met de naam "AB plus". Hoewel AB graag zoveel mogelijk persoonlijke informatie over zijn 2,2 miljoen klanten verzamelt, leeft het de EU-wetgeving onvoldoende na. Dit werd duidelijk toen een consument probeerde haar recht op inzage uit te oefenen. Ze is geregistreerd bij de AB Plus Persoonlijk niveau van AB's loyaliteitsprogramma. Dit betekent dat AB "hun koopgewoonten, de frequentie van hun bezoeken aan een AB-winkel, het gebruik van aanbiedingen die aan hen werden meegedeeld, hun thuisadres, de totale kosten van hun aankopen" voor profilering. Toch heeft AB haar alleen een lijst met haar transacties en haar contactgegevens verstrekt, maar geen andere informatie die zij daaruit heeft afgeleid. Ondanks een duidelijke uitspraak van het Hof van Justitie heeft AB ook expliciet geweigerd een lijst van ontvangers van dergelijke gegevens te verstrekken. (zie zaak C-154/21).
Kleanthi Sardeli, advocaat gegevensbescherming bij noyb: "De GDPR stelt duidelijk dat het antwoord van een bedrijf op een verzoek om toegang alle informatie moet bevatten die het over een klant heeft. Het Hof van Justitie heeft verduidelijkt dat dit ook alle ontvangers omvat die jouw persoonlijke gegevens hebben gekregen. Het feit dat AB opzettelijk grote hoeveelheden van die gegevens achterhoudt, is duidelijk illegaal."
Meer GDPR-rechten alleen voor "AB Plus Unique" klanten? AB Plus Personal klanten, waaronder de klager, kunnen niet eens zien hoeveel geld ze hebben gespaard door hun klantenkaart te gebruiken. Op haar website adverteert AB met toegang tot deze gegevens als een exclusieve functie voor "AB Plus Unique"klanten. Een "upgrade" naar AB Plus Uniek zou toestemming vereisen voor het delen van gegevens met andere derde partijen. Dit is niet alleen absurd, maar ook duidelijk onwettig. Bedrijven moeten de toegang tot persoonlijke gegevens "vergemakkelijken", niet gijzelen. Al met al laat deze zaak zien dat zelfs bedrijven die sterk afhankelijk zijn van persoonlijke gegevens, zoals een loyaliteitsprogramma, nog steeds niet voldoen aan de basisprincipes van de GDPR, acht jaar nadat deze in 2016 werd aangenomen.
Kleanthi Sardeli, advocaat gegevensbescherming bij noyb: "AB eist in feite dat je instemt met een 'upgrade' en het delen van gegevens toestaat om je fundamentele rechten onder de EU-wetgeving te kunnen uitoefenen. Dit is volkomen absurd, maar het laat zien hoe weinig bedrijven geven om de GDPR."
"Geef ons je gegevens, als je geld wilt besparen". Eten is een van de grootste uitgaven voor elk huishouden. Steeds meer kortingen zijn strikt gekoppeld aan het bezit van een klantenkaart waarmee bedrijven consumenten kunnen volgen, profileren en manipuleren, waardoor deelname de facto verplicht wordt. In tijden van snel stijgende voedselprijzen, een economische neergang en vooral voor klanten in lidstaten met lage inkomens, kan er weinig andere keuze zijn dan 'in te stemmen' met het delen van persoonlijke gegevens om toegang te krijgen tot betaalbaarder voedsel. Natuurlijk zijn deze 'kortingen' ingebouwd in de prijsmodellen van supermarkten. Dit betekent dat klanten in werkelijkheid alleen korting krijgen op eerder opgeblazen prijzen.
Kleanthi Sardeli, advocaat gegevensbescherming bij noyb: "In tijden van stijgende prijzen moeten steeds meer mensen vertrouwen op klantenkaarten om wat geld te besparen bij het winkelen. Dit plaatst supermarkten zoals AB in een machtige positie om het fundamentele recht van mensen op privacy schaamteloos te negeren".
GDPR klacht ingediend in Griekenland. noyb heeft nu een klacht ingediend bij de Griekse autoriteit (DPA), waarin wordt gevraagd om een onderzoek naar de verwerkingsactiviteiten van AB en een bevel om te voldoen aan het toegangsverzoek van de klager. Bovendien, noyb de DPA om een boete op te leggen van maximaal 4% van de jaaromzet van AB om soortgelijke overtredingen in de toekomst te voorkomen.