giropay vet vad du köpte förra sommaren
Istället för att bara behandla betalningen sparar den tyska betaltjänsten "giropay" (tidigare "paydirekt") information om varje enskild vara som köpts i onlinebutiker. Detta kan leda till behandling av känsliga personuppgifter. En kund kontaktade noyb efter att ha setten detaljerad lista över produkter som hon beställt på ett nätapotek och en sexshop som fanns på hennes giropay-konto. Sådana uppgifter är särskilt skyddade enligt GDPR och får inte behandlas utan samtycke. noyb lämnade in ett klagomål agmot giropay idag till den hessiska statens kommissionär för dataskydd och informationsfrihet.
Transparenta shoppingkassar eller "privat förblir privat"? Den tyska betaltjänsten giropay annonserar på sin webbplats med fyndiga slogans som "Privat förblir privat" och "Dataskydd enligt tyska riktlinjer". En kund hittade plötsligt en detaljerad detaljerade redogörelse för sina inköp - bland annat i en sexshop och ett onlineapotek - i sin giropay-profil. Till skillnad från normala SEPA- eller kreditkortsbetalningar behandlar giropay inte bara de personuppgifter som krävs för att säkerställa betalningen - utan behåller hela innehållet i kundkorgen. Eftersom företaget inte visade några tecken på vilja att samarbeta i frågan kontaktade hon kontaktade hon noyb.
giropay skyller på butikerna. giropay behåller och behandlar uppgifterna, men frånsäger sig allt ansvar: att överföra sådana uppgifter skulle alltid vara butikernas ansvar. Deras programvara har dock en specifik funktion för att vidarebefordra sådan information och deras egen webbshop plugin lämnar faktiskt inte butiksoperatörerna något annat val än att överföra dessa uppgifter. Med tanke på att giropay tydligt behandlar dessa onödiga personuppgifter omfattas de av GDPR och är ansvariga enligt lag.
"Du kan inte bygga, använda och marknadsföra ett system som olagligt suger upp data och skylla på andra för dataintrånget. GDPR har tydliga principer om laglighet, dataminimering och ansvarsskyldighet." Alan Dahi, dataskyddsjurist på noyb
Särskilt känsliga uppgifter. De uppgifter som behandlas av giropay rör även kundens hälsa och sexuella preferenser. Enligt GDPR förtjänar sådana känsliga uppgifter ett särskilt skydd. De får inte behandlas utan kundens uttryckliga samtycke, vilket framgår av artikel 9.2 a i dataskyddsförordningen.
"Bara för att jag använder mitt betalkort i snabbköpet får min bank inte någon detaljerad information om mina matinköp. Det finns absolut ingen laglig anledning för giropay att samla in sådana uppgifter och lagra dem under lång tid, särskilt inte när de är så personliga." Kund hos giropay
Detta är inte "normal marknadspraxis". giropay samlar in information om sina kunders mest intima angelägenheter och hävdar att detta är "normal marknadspraxis". Informationen påstås vara relevant vid tvister mellan en webbshop och kunden. I själva verket borde varulistan finnas lätt tillgänglig på fakturor eller betalningshistoriken i webbshoppen - det finns inget behov av att en tredje part sparar dessa uppgifter som standard och utan användarens vetskap eller samtycke. Även om "marknadspraxis" är irrelevant när det gäller dataskyddslagstiftning, använder företag det ofta för att legitimera överträdelser av dataskyddet. Istället bör de börja ta dataskyddet på allvar och respektera sina kunders integritet.
