giropay weet wat u afgelopen zomer hebt gekocht
In plaats van alleen de betaling te verwerken, bewaart de Duitse betalingsdienst "giropay" (voorheen "paydirekt") de informatie over elk afzonderlijk artikel dat in online winkels is gekocht. Dit kan leiden tot de verwerking van gevoelige, persoonlijke gegevens. Een klant nam contact op met noyb na het ziennadat zij een gedetailleerde lijst had gezien van de producten die zij in een onlineapotheek en een seksshop had besteld en die op haar giropay-rekening waren vermeld. Dergelijke gegevens zijn speciaal beschermd onder de GDPR en mogen niet zonder toestemming worden verwerkt noyb heeft vandaag een klacht agtegen giropay vandaag een klacht ingediend bij de Hessische staatscommissaris voor gegevensbescherming en vrijheid van informatie.
Transparante boodschappentassen of "privé blijft privé"? De Duitse betaaldienst giropay adverteert op zijn website met pittige slogans als "Privé blijft privé" en "Gegevensbescherming volgens Duitse richtlijnen". Een klant vond plotseling een gedetailleerde van haar aankopen - waaronder een seksshop en een online apotheek in haar giropay-profiel. Anders dan bij normale SEPA- of creditcardbetalingen, verwerkt giropay niet alleen de voor de betaling noodzakelijke persoonsgegevens - maar bewaart het de volledige inhoud van het winkelmandje. Zoals het bedrijf geen tekenen van bereidheid toonde om mee te werken aan de zaak, nam ze contact opgenomen met noyb.
giropay geeft de schuld aan de winkels. giropay bewaart en verwerkt de gegevens, maar wijst elke verantwoordelijkheid van de hand: het doorgeven van dergelijke gegevens zou altijd de verantwoordelijkheid van de winkels zijn. Hun software heeft echter een specifieke functie om dergelijke informatie door te sturen en hun eigen webshop plugin laat de winkeliers eigenlijk geen andere keuze dan deze gegevens door te geven. Aangezien giropay deze onnodige persoonsgegevens duidelijk verwerkt, valt het onder de GDPR en is het aansprakelijk volgens de wet.
"Je kunt geen systeem bouwen, gebruiken en promoten dat illegaal gegevens opzuigt en anderen de schuld geven van het gegevensroven. De GDPR bevat duidelijke beginselen inzake rechtmatigheid, gegevensminimalisering en verantwoordingsplicht." Alan Dahi, advocaat gegevensbescherming bij noyb
Bijzonder gevoelige gegevens. De gegevens die giropay verwerkt hebben ook betrekking op de gezondheid en seksuele voorkeuren van de klant. Volgens de GDPR verdienen dergelijke gevoelige gegevens bijzondere bescherming. Zij mogen niet worden verwerkt zonder de uitdrukkelijke toestemming van de klant, zoals bepaald in artikel 9, lid 2, onder a), van de GDPR
"Alleen omdat ik mijn bankpas in de supermarkt gebruik, krijgt mijn bank geen gedetailleerde informatie over mijn boodschappen. Er is absoluut geen legitieme reden voor giropay om dergelijke gegevens te verzamelen en langdurig op te slaan, zeker niet als ze zo persoonlijk zijn." Klant van giropay
Dit is niet "normale marktpraktijk". giropay verzamelt informatie over de meest intieme zaken van haar klanten en stelt dat dit een "normale marktpraktijk" is. Naar verluidt zou de informatie relevant zijn in geval van geschillen tussen een webwinkel en de klant. In werkelijkheid zou de lijst van artikelen direct beschikbaar moeten zijn op rekeningen of zou de betalingsgeschiedenis beschikbaar moeten zijn in de webwinkel - het is niet nodig dat een derde partij deze gegevens standaard en zonder medeweten of toestemming van de gebruiker bijhoudt. Hoewel "marktpraktijken" niet relevant zijn voor de wetgeving inzake gegevensbescherming gebruiken bedrijven het vaak om schendingen van gegevensbescherming te legitimeren. In plaats daarvan moeten zij gegevensbescherming ernstig beginnen te nemen en de privacy van hun klanten respecteren.