Grecka sieć supermarketów Alfa Vita (AB) prowadzi program kart lojalnościowych, umożliwiając gromadzenie danych osobowych kupujących. Mimo to firma nie jest nawet w stanie przestrzegać podstawowych praw wynikających z RODO. Kiedy skarżąca zażądała dostępu do swoich danych, AB pominęła większość przetwarzanych przez siebie danych osobowych. noyb złożył teraz skargę do greckiego organu ochrony danych.
Prawo dostępu w dużej mierze ignorowane. Aby zatrzymać jak najwięcej lojalnych klientów, grecka sieć supermarketów Alfa Vita (AB) wprowadziła program kart lojalnościowych o nazwie "AB plus". Podczas gdy AB pragnie gromadzić jak najwięcej danych osobowych o swoich 2,2 milionach klientów, brakuje jej zgodności z prawem UE. Stało się to jasne, gdy konsumentka próbowała skorzystać z prawa dostępu. Jest ona zarejestrowana w systemie AB Plus Personal w programie lojalnościowym AB. Oznacza to, że AB przetwarza "ich nawyki zakupowe, częstotliwość wizyt w sklepie AB, korzystanie z przekazanych im ofert, adres zamieszkania, całkowity koszt zakupów" w celu profilowania. Mimo to AB dostarczyło jej jedynie listę jej transakcji i dane kontaktowe, ale żadnych innych informacji, które z nich uzyskało. Pomimo wyraźnego orzeczenia Trybunału Sprawiedliwości, AB również wyraźnie odmówiła dostarczenia listy odbiorców takich danych. (zob. sprawa C-154/21).
Kleanthi Sardeli, prawnik zajmujący się ochroną danych w noyb: "GDPR wyraźnie stanowi, że odpowiedź firmy na wniosek o dostęp musi zawierać wszystkie informacje, które posiada na temat klienta. Trybunał Sprawiedliwości wyjaśnił, że obejmuje to również wszystkich odbiorców, którzy otrzymali dane osobowe. Fakt, że AB celowo ukrywa ogromne ilości tych danych, jest wyraźnie niezgodny z prawem"
Więcej praw RODO tylko dla klientów "AB Plus Unique"? Klienci AB Plus Personal klienci, w tym skarżący, nie mogą nawet uzyskać dostępu do kwoty pieniędzy, którą zaoszczędzili za pomocą swojej karty lojalnościowej. Na swojej stronie internetowej AB reklamuje dostęp do tych danych jako wyłączną funkcję dla "AB Plus Unique". Jednak "uaktualnienie" do AB Plus Unique wymagałoby zgody na udostępnianie danych innym stronom trzecim. Jest to nie tylko absurdalne, ale w oczywisty sposób niezgodne z prawem. Firmy muszą "ułatwiać" dostęp do danych osobowych, a nie trzymać je jako zakładników. Ogólnie rzecz biorąc, sprawa ta pokazuje, że nawet operacje, które w dużym stopniu opierają się na danych osobowych, takie jak program lojalnościowy, nadal nie są zgodne z podstawami RODO, osiem lat po jego przyjęciu w 2016 roku.
Kleanthi Sardeli, prawnik zajmujący się ochroną danych w noyb: "AB zasadniczo domaga się, abyś zgodził się na "aktualizację" i zezwolił na udostępnianie danych w celu korzystania z podstawowych praw wynikających z prawa UE. Jest to całkowicie absurdalne, ale pokazuje, jak mało firm dba o GDPR"
"Daj nam swoje dane, jeśli chcesz zaoszczędzić pieniądze". Żywność to jeden z największych wydatków w każdym gospodarstwie domowym. Coraz więcej zniżek jest ściśle powiązanych z posiadaniem karty lojalnościowej, która pozwala firmom śledzić, profilować i manipulować konsumentami, czyniąc uczestnictwo de facto obowiązkowym. W czasach gwałtownie rosnących cen żywności, spowolnienia gospodarczego, a zwłaszcza dla klientów w państwach członkowskich o niskich dochodach, może nie być innego wyboru, jak tylko "zgodzić się" na udostępnianie danych osobowych w celu uzyskania dostępu do tańszej żywności. Oczywiście te "rabaty" są wbudowane w modele cenowe supermarketów. Oznacza to, że w rzeczywistości klienci otrzymują jedynie zniżki od wcześniej zawyżonych cen.
Kleanthi Sardeli, prawnik ds. ochrony danych w noyb: "W czasach rosnących cen coraz więcej osób musi polegać na kartach lojalnościowych, aby zaoszczędzić trochę pieniędzy podczas zakupów. Stawia to supermarkety takie jak AB w silnej pozycji do rażącego ignorowania podstawowego prawa ludzi do prywatności".
Skarga GDPR złożona w Grecji. noyb złożył skargę do greckiego organu (DPA), domagając się zbadania operacji przetwarzania danych przez AB i nakazania spełnienia wniosku skarżącego o dostęp. Ponadto, noyb sugeruje DPA nałożenie grzywny w wysokości do 4% rocznego obrotu AB, aby zapobiec podobnym naruszeniom w przyszłości.