De Oostenrijkse privacystichting Noyb heeft bij de Spaanse privacytoezichthouder AEPD een klacht ingediend tegen Ryanair. Vakantiegangers die niet rechtstreeks bij de Ierse luchtvaartmaatschappij hun vakantie boeken, moeten een verificatieproces doorlopen waarbij ‘invasieve gezichtsherkenning’ wordt gebruikt. Op deze manier schendt het bedrijf willens en weten het recht van klanten op gegevensbescherming om een oneerlijk concurrentievoordeel te behalen ten opzichte van online reisbureaus en andere boekingskanalen.
Dat vertelt Noyb, een acroniem voor None of your business, in een persverklaring.
Noyb: ‘Je e-mailadres staat niet op je gezicht’
Een ontevreden klant klopte aan bij de privacystichting en deed daar zijn verhaal. Via het online reisbureau eDreams ontving zij een e-mail van Ryanair met het verzoek om het verificatieproces te voltooien. Ze kreeg de keuze tussen verificatie via gezichtsherkenning, of meer dan twee uur voor vertrek naar de incheckbalie op de luchthaven te gaan. Als ze dit weigerde, mocht ze niet aan boord van haar vlucht. Bovendien werd er een klein bedrag in rekening gebracht voor het verificatieproces.
Noyb spreekt van een ‘twijfelachtige rechtvaardiging’. Ryanair zegt dat verificatie via gezichtsherkenning noodzakelijk is om de contactgegevens van een klant te controleren. Romain Robert, programmadirecteur bij Noyb, zegt dat verificatie van contactgegevens via biometrie geen zin heeft. “Je e-mailadres staat niet op je gezicht of in je paspoort”, zo stelt hij.
Biometrische gegevens valt onder de noemer bijzondere persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) verbiedt bedrijven en organisaties om bijzondere persoonsgegevens te verwerken, uitzonderingen daargelaten (zoals het behalen van gezondheidsdoeleinden). Volgens Noyb en Europese privacytoezichthouders kan gezichtsherkenning ‘onaanvaardbare hoge risico’s’ voor mensen opleveren.
‘Winst als verborgen agenda’
Ryanair zegt dat ze gezichtsherkenning mag gebruiken, omdat klanten hier toestemming voor geven. Toestemming is volgens artikel 6 van de AVG één van de grondslagen om (bijzondere) persoonsgegevens rechtmatig te verwerken. Noyb zegt dat de Ierse luchtvaartmaatschappij vakantiegangers op een onbegrijpelijke manier hierover informeert, wat in strijd is met de Europese privacywetgeving.
“De informatie van Ryanair is zo verwarrend dat reizigers zelfs kunnen denken dat hun boeking ongeldig is. Door klanten aan te sporen om het opdringerige gezichtsherkenningsproces te doorlopen, slaagt de luchtvaartmaatschappij erin om zowel de privacy van hun klanten te schenden als ervoor te zorgen dat ze niet nog een keer via externe aanbieders boeken”, aldus privacyadvocaat Felix Mikolasch.
Het echte doel van het verificatieproces is volgens Noyb om vakantiegangers ervan te weerhouden hun reis via online reisbureaus te boeken. Als een klant zijn vlucht via een andere partij regelt, betekent dit minder omzet en lagere winst voor Ryanair. Door vakantiegangers op te zadelen met gezichtsherkenning als ze via een andere partij boeken, probeert de luchtvaartmaatschappij extra klandizie in de wacht te slepen. Noyb noemt dit ‘winst als verborgen agenda’.
Ryanair riskeert boete van 192 miljoen euro
De Oostenrijkse privacystichting stelt dat Ryanair probeert om zijn marktpositie veilig te stellen, ten koste van de privacy van zijn klanten. “Het lijkt duidelijk dat het proces vooral bestaat om mensen ‘over te halen’ om rechtstreeks bij Ryanair te boeken”, zo zegt Noyb. Daarom heeft de organisatie een klacht ingediend bij de Spaanse gegevensbeschermingsautoriteit AEPD. Als de toezichthouder Noyb in het gelijk stelt, kan ze een boete opleggen die kan oplopen tot 192 miljoen euro.
