Vandaag, noyb een GDPR-klacht ingediend tegen Ryanair. Het boeken van een vlucht op de website van de luchtvaartmaatschappij vereist niet alleen een verplichte account. Nieuwe klanten moeten ook een verificatieproces doorlopen dat voor veel mensen gepaard gaat met invasieve biometrische gegevens. Er is geen redelijke rechtvaardiging voor een dergelijk systeem. In plaats daarvan lijkt het erop dat Ryanair willens en wetens het recht op gegevensbescherming van zijn klanten schendt om zijn marktmacht te vergroten. Dit is al de tweede noyb klacht tegen deze praktijk. Ondanks een eerdere klacht heeft Ryanair besloten om nog meer klanten te dwingen om zijn verificatiesysteem te doorlopen.
- Klacht bij de Italiaanse Autoriteit voor Gegevensbescherming (EN)
- Klacht bij de Italiaanse Autoriteit voor Gegevensbescherming (IT)
- Vorige noyb klacht tegen Ryanair
Ryanair introduceert 'gedwongen accounts'. Wie een vlucht wil boeken op de website of app van Ryanair wordt nu gedwongen om een permanent account aan te maken. Dit betekent vaak dat gegevens worden gecombineerd en bewaard totdat je het account verwijdert - wat meestal nooit is. Een account is echter duidelijk niet nodig om een vlucht te boeken. Noch bij Lufthansa, EasyJet, Air France of Norwegian, en vele anderen, is het nodig om een account aan te maken om een vlucht te kopen. In werkelijkheid zijn de 'gedwongen accounts' van Ryanair in strijd met het gegevensminimalisatiebeginsel van de GDPR. Artikel 5(1)(c) GDPR vereist dat persoonsgegevens alleen worden verwerkt als dit noodzakelijk is. Ryanair voldoet niet aan deze eis.
Verplichte en verwarrende verificatie. Maar gedwongen accounts zijn niet genoeg voor Ryanair. Om met hen te kunnen vliegen, moeten alle nieuwe accounteigenaren een verplicht 'verificatieproces' doorlopen. Op dit punt kunnen mensen theoretisch kiezen tussen twee opties. In werkelijkheid duwt Ryanair hen naar een vooraf geselecteerd en zeer invasief biometrisch gezichtsherkenningsproces om hun account te verifiëren - ondanks het feit dat biometrische gegevens speciaal beschermd zijn door de EU-wetgeving. Europese gegevensbeschermingsautoriteiten zeggen zelfs dat gezichtsherkenning "onaanvaardbaar hoge risico's" kan opleveren voor mensen.
Felix Mikolasch, advocaat gegevensbescherming bij noyb: "We weten allemaal dat Ryanair een meester is in het vervelende en misleidende ontwerp van websites. Maar als het aankomt op het gebruik van persoonlijke gegevens van mensen, moet de luchtvaartmaatschappij zich net als iedereen aan de wet houden."
Geen gezichtsscan - geen snelle boeking. Als klanten niet willen dat hun biometrische gegevens worden verwerkt, eist Ryanair dat ze een handgeschreven handtekening en een kopie van hun overheidsidentiteitskaart opsturen. Dit creëert een extra last voor het weigeren van toestemming voor het gebruik van hun biometrische gegevens, wat ertoe leidt dat klanten beroofd worden van hun vrije keuze - en Ryanair niet voldoet aan de toestemmingsvereisten van de GDPR.
Felix Mikolasch, advocaat gegevensbescherming bij noyb: "Ryanair zet haar gebruikers op een onwettige manier aan tot het verwerken van hun zeer gevoelige biometrische gegevens en negeert daarbij volledig haar wettelijke verplichtingen. Er lijken geen duidelijke redenen te zijn waarom Ryanair een dergelijke verificatie nodig heeft, aangezien andere luchtvaartmaatschappijen geen gezichtsscan vereisen om een ticket te kopen."
Concurrentie opjagen ten koste van klanten. Het lijkt erop dat het echte doel van het verificatieproces is om te voorkomen dat online reisbureaus accounts aanmaken om Ryanair vluchten te kopen en vervolgens door te verkopen op hun websites. Als klanten hun vlucht elders boeken, zullen ze geen extra geld uitgeven aan hotels, verzekeringen, luchthaventransfers of huurauto's bij Ryanair - maar boeken ze deze extra diensten bij een reisbureau. In dit opzicht zijn Ryanair en reisbureaus concurrenten. Door onder andere biometrische gegevens te eisen, lijkt Ryanair een concurrentievoordeel te willen behalen in een strijd tussen bedrijven door de privacy van gebruikers onder de bus te gooien.
Klacht ingediend in Italië. noyb heeft nu een klacht ingediend bij de Italiaanse Garante. Door gebruikers te dwingen een account aan te maken om een vliegticket te kopen, schendt de luchtvaartmaatschappij het dataminimalisatieprincipe volgens artikel 5(1)(c) GDPR. Daarnaast is de verplichte verificatie in strijd met het doelbindingsprincipe (Artikel 5(1)(b) GDPR). Last but not least voldoet Ryanair niet aan de toestemmingsvereisten volgens artikel 6 en 9 GDPR. Op basis van Ryanair's omzet van 10 miljard euro in 2023kan de gegevensbeschermingsautoriteit een boete opleggen van maximaal € 431 miljoen.
