De Oostenrijkse privacystichting Noyb heeft een klacht ingediend tegen Ryanair bij de Spaanse privacywaakhond AEPD. De reden van deze klacht is het feit dat Ryanair bij mensen die niet rechtstreeks bij hun geboekt hebben een verificatieproces uitvoeren waarbij ze een scan maken van het gezicht van deze mensen om hun contactgegevens te verifiëren.
De feiten
Een Spaanse vrouw had haar vlucht bij Ryanair geboekt via het online reisbureau eDreams. Ryanair gaf haar de keuze om het proces online te doorlopen of minstens twee uur voor vertrek. Voor het online proces zou zij ook 0,35 euro moeten betalen aan Ryanair en zich verifiëren via gezichtsherkenning. Zonder een van de twee opties uit te voeren, zou zij niet aanboort mogen van het vliegtuig. Klanten die direct via Ryanair boeken krijgen hier niet mee te maken.
De gegevens die van de klanten verwerkt worden zijn Biometrische gegevens en vallen onder de noemer van bijzondere persoonsgegevens.
De GDPR verbiedt bedrijven en organisaties om zulke bijzondere persoonsgegevens te verwerken, buiten in de uitzonderlijke gevallen voor gezondheidsdoeleinden.
Ryanair zegt dat ze gerechtigd zijn om gezichtsherkenning te gebruiken, daar klanten hier toestemming voor hebben geven. Om (bijzondere) persoonsgegevens te mogen verwerken moet aan één van de grondslagen beschreven in artikel 6 van de GPDR worden voldaan.
De grondslagen zijn de volgende:
- toestemming;
- noodzaak (een verwerking vormt een uitzondering op de bescherming van persoonsgegevens en de beperkingen ervan moeten binnen de grens van het strikt noodzakelijke blijven, wat niet meer is dan de toepassing van principe van de minimale gegevensverwerking vermeld in artikel 5.c) GDPR):
- de uitvoering van een overeenkomst;
- wettelijke verplichting;
- bescherming van de vitale belangen van een persoon;
- algemeen belang of de uitoefening van het openbaar gezag;
- behartiging van een gerechtvaardigd belang.
Noyb beschuldigt gezichtsscans als misleidende verificatiemethode
Noyb is van mening dat de reizigers amper oprecht toestemming geven, daar de informatie die Ryanair voorziet zodanig verwarrend is, dat zij vaak geloven dat hun boeking niet geldig is als zij niet toestaan dat de gezichtsscan wordt uitgevoerd. Daarnaast maakt nyob zich de terechte bedenking over de noodzakelijkheid van de gezichtscan daar gegevens zoals je mailadres staat niet op je gezicht of paspoort staan.
Noyb is van mening dat Ryanair dit verificatieproces heeft geïntroduceerd om reizigers te weerhouden om niet rechtstreeks via hun te boeken. Als een klant namelijk zijn vlucht via een andere partij regelt, betekent dit minder omzet en lagere winst voor Ryanair. Door potentiële klanten te ontmoedigen niet via andere platformen een vlucht te boeken, stellen zij hun marktpositie veilig.
Om deze reden heeft Noyb een klacht ingediend bij AEPD, de Spaanse gegevensbeschermingsautoriteit. Als de toezichthouder de denkwijze van Noyb volgt, kan de autoriteit Ryanair een boet opleggen die kan oplopen tot 192 miljoen euro.
