giropay wie, co kupowałeś ostatniego lata
Niemiecki serwis płatniczy "giropay" (dawniej "paydirekt") zamiast zajmować się tylko obsługą płatności, przechowuje informacje o każdym pojedynczym towarze zakupionym w sklepach internetowych. Może to prowadzić do przetwarzania wrażliwych danych osobowych. Jeden z klientów skontaktował się z noyb po tym, jak zobaczyłaszczegółową listę produktów, które zamówiła w aptece internetowej i sex shopie, wymienioną na jej koncie giropay. Takie dane są szczególnie chronione na mocy GDPR i nie mogą być przetwarzane bez zgody noyb złożyła dziś skargę against giropay dziś z Hessian State Commissioner for Data Protection and Freedom of Information.
Przezroczyste torby na zakupy lub "prywatne pozostaje prywatne"? Niemiecka usługa płatnicza giropay reklamuje się na swojej stronie internetowej za pomocą trafnych sloganów, takich jak "Prywatne pozostaje prywatne" i "Ochrona danych zgodnie z niemieckimi wytycznymi". Pewna klientka nagle znalazła szczegółowy w swoim profilu giropay szczegółowy opis swoich zakupów - w tym w sex shopie i aptece internetowej. W przeciwieństwie do zwykłych płatności SEPA lub kartą kredytową, giropay nie tylko przetwarza niezbędne dane osobowe w celu zapewnienia płatności - ale przechowuje całą zawartość koszyka zakupów. Jako firma nie wykazała żadnych oznak chęci współpracy w tej sprawie, skontaktowała się z noyb skontaktowała się z noyb.
giropay zrzuca winę na sklepy. giropay przechowuje i przetwarza dane, ale zrzuca z siebie wszelką odpowiedzialność: przekazywanie takich danych byłoby zawsze obowiązkiem sklepów. Jednak ich oprogramowanie posiada specjalną funkcję do przekazywania takich informacji, a ich własny sklep internetowy plugin w rzeczywistości nie pozostawia operatorom sklepów innego wyboru niż przekazywanie tych danych. Biorąc pod uwagę, że giropay wyraźnie przetwarza te niepotrzebne dane osobowe, podlega GDPR i ponosi odpowiedzialność prawną.
"Nie można budować, używać i promować systemu, który nielegalnie wysysa dane i obwiniać innych za ich przejęcie. GDPR zawiera jasne zasady dotyczące zgodności z prawem, minimalizacji danych i odpowiedzialności." Alan Dahi, prawnik ds. ochrony danych w noyb
Dane szczególnie wrażliwe. Dane przetwarzane przez giropay dotyczą również zdrowia i preferencji seksualnych klienta. Zgodnie z GDPR, tak wrażliwe dane zasługują na szczególną ochronę. Nie mogą być one przetwarzane bez wyraźnej zgody klienta, zgodnie z art. 9 ust. 2 lit. a) GDPR
"Tylko dlatego, że używam karty debetowej w supermarkecie, mój bank nie otrzyma żadnych szczegółowych informacji na temat moich zakupów spożywczych. Nie ma absolutnie żadnego uzasadnionego powodu, aby giropay zbierał takie dane i przechowywał je długoterminowo, zwłaszcza gdy są one tak osobiste." Klient giropay
To nie jest "normalna praktyka rynkowa". giropay zbiera informacje o najbardziej intymnych sprawach swoich klientów i twierdzi, że jest to "normalna praktyka rynkowa". Rzekomo informacje te miałyby być istotne w przypadku sporów między sklepem internetowym a klientem. W rzeczywistości lista przedmiotów powinna być łatwo dostępna na rachunkach lub historia płatności dostępna w sklepie internetowym - nie ma potrzeby, aby osoba trzecia przechowywała te dane domyślnie i bez wiedzy lub zgody użytkownika. Chociaż "praktyka rynkowa" jest nieistotna z punktu widzenia prawa ochrony danych, firmy często wykorzystują ją do usprawiedliwiania naruszeń ochrony danych. Zamiast tego powinny one zacząć traktować ochronę danych poważnie i szanować prywatność swoich klientów.