Idag är det noyb lämnat in ett GDPR-klagomål mot Ryanair. För att boka en flygresa på flygbolagets webbplats krävs inte bara ett obligatoriskt konto. Nya kunder måste också gå igenom en verifieringsprocess som för många människor innebär invasiv biometri. Det finns ingen rimlig motivering för ett sådant system. Istället verkar det som att Ryanair frivilligt bryter mot sina kunders rätt till dataskydd för att öka sin marknadsmakt. Detta är redan den andra noyb klagomål mot denna praxis. Trots ett tidigare klagomål har Ryanair beslutat att tvinga ännu fler kunder att gå igenom sitt verifieringssystem.
- Klagomål till den italienska dataskyddsmyndigheten (EN)
- Klagomål till den italienska dataskyddsmyndigheten (IT)
- Föregående noyb klagomål mot Ryanair
Ryanair inför "påtvingade konton". Den som vill boka en flygresa på Ryanairs webbplats eller app tvingas skapa ett permanent konto. Detta innebär ofta att uppgifter kombineras och sparas tills du raderar kontot - vilket vanligtvis aldrig sker. Ett konto är dock uppenbarligen inte nödvändigt för att boka en flygning. Varken Lufthansa, EasyJet, Air France eller Norwegian, bland många andra, kräver att man skapar ett konto för att köpa en flygresa. I själva verket bryter Ryanairs "påtvingade konton" mot principen om uppgiftsminimering i GDPR. Enligt artikel 5.1 c i dataskyddsförordningen får personuppgifter endast behandlas om det är nödvändigt. Ryanair misslyckas med att uppfylla detta krav.
Obligatorisk och förvirrande verifiering. Men påtvingade konton är inte tillräckligt för Ryanair. För att få flyga med dem måste alla nya kontoinnehavare gå igenom en obligatorisk "verifieringsprocess". Vid denna punkt kan människor teoretiskt välja mellan två alternativ. I själva verket knuffar Ryanair dem mot en förvald och mycket invasiv biometrisk ansiktsigenkänningsprocess för att verifiera deras konto - trots att biometriska uppgifter är särskilt skyddade enligt EU-lagstiftningen. Europeiska dataskyddsmyndigheter säger till och med att ansiktsigenkänning kan utgöra "oacceptabelt höga risker" för människor.
Felix Mikolasch, dataskyddsjurist på noyb: "Vi vet alla att Ryanair är en mästare på irriterande och vilseledande webbplatsdesign. Men när det gäller att använda människors personuppgifter måste flygbolaget följa lagen som alla andra."
Ingen ansiktsscanning - ingen snabb flygbokning. Om kunderna inte vill att deras biometriska data ska behandlas kräver Ryanair att de skickar en handskriven signatur och en kopia av sitt statliga ID. Detta skapar en ytterligare börda för att vägra samtycke till användningen av deras biometriska data, vilket leder till att kunderna berövas sitt fria val - och Ryanair inte uppfyller samtyckeskraven i GDPR.
Felix Mikolasch, dataskyddsjurist på noyb: "Ryanair knuffar olagligt sina användare mot behandlingen av deras mycket känsliga biometriska data och bortser helt från sina juridiska skyldigheter. Det verkar inte finnas några uppenbara skäl till varför Ryanair behöver en sådan verifiering, med tanke på att andra flygbolag inte kräver en ansiktsskanning för att köpa en biljett."
Jakt på konkurrens på bekostnad av kunderna. Det verkar som om det verkliga syftet med verifieringsprocessen är att förhindra att onlineresebyråer skapar konton för att köpa och sedan sälja vidare Ryanair-flyg på sina webbplatser. Om kunderna bokar sin flygresa någon annanstans kommer de inte att spendera några extra pengar på hotell, försäkringar, flygplatstransfer eller hyrbilar med Ryanair - utan bokar dessa extratjänster med en resebyrå. I detta avseende är Ryanair och resebyråerna konkurrenter. Genom att kräva biometri och liknande verkar Ryanair söka en konkurrensfördel i en affärsmässig kamp genom att kasta användarnas integritet under bussen.
Klagomål inlämnat i Italien. noyb har nu lämnat in ett klagomål till den italienska Garante. Genom att tvinga användarna att skapa ett konto för att köpa en flygbiljett bryter flygbolaget mot principen om uppgiftsminimering enligt artikel 5.1 c i GDPR. Dessutom strider den obligatoriska verifieringen mot principen om ändamålsbegränsning (artikel 5.1 b i GDPR). Sist men inte minst underlåter Ryanair att uppfylla kraven på samtycke i enlighet med artiklarna 6 och 9 i GDPR. Baserat på Ryanairs omsättning på 10 miljarder euro år 2023kan dataskyddsmyndigheten utfärda böter på upp till 431 miljoner euro.
