Den grekiska snabbköpskedjan Alfa Vita (AB) driver ett lojalitetskortsprogram som gör det möjligt att samla in personuppgifter om kunderna. Ändå kan företaget inte ens uppfylla de grundläggande GDPR-rättigheterna. När den klagande begärde tillgång till sina uppgifter utelämnade AB de flesta av de personuppgifter som företaget behandlade. noyb har nu lämnat in ett klagomål till den grekiska dataskyddsmyndigheten.
Rätten till tillgång till stor del ignorerad. För att behålla så många lojala kunder som möjligt har den grekiska snabbköpskedjan Alfa Vita (AB) infört ett lojalitetskortsprogram som kallas "AB plus". AB är angeläget om att samla in så mycket personlig information som möjligt om sina 2,2 miljoner kunder, men efterlevnaden av EU-lagstiftningen är bristfällig. Detta blev tydligt när en konsument försökte utöva sin rätt till tillgång. Hon är registrerad i AB Plus Personlig i AB:s lojalitetsprogram. Detta innebär att AB behandlar "deras köpvanor, frekvensen av deras besök i en AB-butik, användningen av erbjudanden som kommuniceras till dem, deras hemadress, den totala kostnaden för deras inköp" för profilering. AB gav henne dock endast en lista över hennes transaktioner och hennes kontaktuppgifter, men ingen annan information som företaget hade härlett från dessa. Trots en tydlig dom från EG-domstolen har AB också uttryckligen vägrat att tillhandahålla en förteckning över mottagare av sådana uppgifter. (se mål C-154/21).
Kleanthi Sardeli, dataskyddsjurist på noyb: "GDPR anger tydligt att ett företags svar på en begäran om tillgång måste innehålla all information som det har om en kund. EU-domstolen klargjorde att detta även inkluderar alla mottagare som fått dina personuppgifter. Det faktum att AB avsiktligt undanhåller stora mängder av dessa uppgifter är helt klart olagligt."
Fler GDPR-rättigheter endast för "AB Plus Unique"-kunder? AB Plus Personliga kunder, inklusive klaganden, kan inte ens få tillgång till den summa pengar de har sparat genom att använda sitt lojalitetskort. På sin webbplats marknadsför AB tillgången till dessa uppgifter som en exklusiv funktion för "AB Plus Unique" kunder. Men en "uppgradering" till AB Plus Unique skulle kräva samtycke till att dela data med andra tredje parter. Detta är inte bara absurt, utan helt klart olagligt. Företag måste "underlätta" tillgången till personuppgifter, inte hålla dem som gisslan. Sammantaget visar det här fallet att även verksamheter som är starkt beroende av personuppgifter, t.ex. lojalitetsprogram, fortfarande inte följer grunderna i GDPR, åtta år efter att den antogs 2016.
Kleanthi Sardeli, dataskyddsjurist på noyb: "AB kräver i princip att du ska gå med på att "uppgradera" och tillåta datadelning för att du ska kunna utöva dina grundläggande rättigheter enligt EU-lagstiftningen. Detta är helt absurt, men det visar hur lite företagen bryr sig om GDPR."
"Ge oss dina uppgifter om du vill spara pengar". Mat är en av de största utgifterna för alla hushåll. Allt fler rabatter är strikt kopplade till innehav av ett lojalitetskort som gör det möjligt för företagen att spåra, profilera och manipulera konsumenterna, vilket i praktiken gör det obligatoriskt att delta. I tider av snabbt stigande livsmedelspriser, ekonomisk nedgång och särskilt för kunder i låginkomstländer kan det finnas få andra val än att "gå med på" att dela med sig av personuppgifter för att få tillgång till billigare mat. Naturligtvis är dessa "rabatter" inbyggda i stormarknadernas prismodeller. Det innebär att kunderna i själva verket bara får rabatt på tidigare uppblåsta priser.
Kleanthi Sardeli, dataskyddsjurist på noyb: "I tider av stigande priser måste allt fler förlita sig på lojalitetskort för att spara lite pengar när de handlar. Detta ger stormarknader som AB en stark ställning när det gäller att flagrant ignorera människors grundläggande rätt till integritet".
GDPR-klagomål inlämnat i Grekland. noyb har nu lämnat in ett klagomål till den grekiska myndigheten (DPA) och begärt en utredning av AB:s behandling av personuppgifter och ett föreläggande om att uppfylla klagandens begäran om tillgång till uppgifter. I tillägg till detta, noyb dPA att utdöma böter på upp till 4% av AB:s årliga omsättning för att förhindra liknande överträdelser i framtiden.
