Irska: Opomin za AirBnb zaradi kršitev načel GDPR
Irski nadzorni organ opomnil AirBnb Ireland, ker je kršil načela obdelave podatkov o minimizaciji in omejitvi shranjevanja ter se neveljavno skliceval na člen kot podlago za obdelavo, glede hrambe osebnih dokumentov posameznika
Odločitev je bila objavljena 15.11.2023
Irski nadzorni organ (DPC) je preiskavo začel 7. septembra 2022 na podlagi pritožbe, da je Airbnb nezakonito zahteval kopijo osebnega dokumenta pritožnika (OI), da bi preveril njihovo identiteto in dokončal rezervacijo na platformi. Pritožnik je izjavil, da ima pomisleke v zvezi s krajo identitete glede na količino osebnih podatkov, ki jih je moral predložiti za dokončanje rezervacije nastanitve. V tem primeru je pritožnik navedel, da Airbnb ne bo sprejel njegove rezervacije, dokler ne potrdi svoje identitete tako, da predloži kopijo svoje OI poleg na novo posnete fotografije, da zagotovi, da se OI nanaša na osebo, ki je opravila rezervacijo. OI, ki jo je predložil pritožnik, je bil zavrnjen, ker so bili nekateri podatki zakriti. Upravljavec je dovolil rezervacijo le, ko je posameznik predložil kopijo svoje osebne izkaznice v visoki ločljivosti, kjer je zakrita zgolj spletna dostopna koda.
Pritožnik je tudi navedel, da ga Airbnb sprva ni razumel in je mislil, da želi izbrisati svoj račun Airbnb. Navedel je, da je Airbnb zahteval drugo kopijo osebne izkaznice. Poleg pritožbe glede preverjanja osebne izkaznice je pritožnik želel tudi, da Airbnb izbriše njegovo osebno izkaznico, tako zakrito kot nezakrito različico.
Obseg preiskave je zajemal pregled in oceno naslednjega:
V odločbi, ki je bila sprejeta v četrtek, 28. septembra 2023, so zapisane ugotovitve kršitev členov 5(1)(c), 5(1)(e) in 6(1)(f) GDPR.
DPC je ugotovil, da se Airbnb ni veljavno skliceval na člen 6(1)(f) GDPR kot pravno podlago za obdelavo pritožnikove osebne izkaznice s fotografijo in dodatnih fotografij; da je zahteva Airbnbja, da pritožnik preveri svojo identiteto s predložitvijo popolne in nezakrite kopije osebnega dokumenta s fotografijo, pomenila kršitev načela minimizacije podatkov v skladu s členom 5(1)(c); da je Airbnb s tem, ko je po uspešno zaključenem postopku preverjanja identitete in do 2. februarja 2021 obdržal kopijo nezakritih osebnih dokumentov pritožnika, kršil načelo minimizacije podatkov v členu 5(1)(c) in načelo omejitve shranjevanja v členu 5(1)(e); Airbnb je s tem, ko je po uspešno zaključenem postopku preverjanja identitete in v času trajanja uporabniškega računa obdržal kopijo pritožnikovih dodatnih slik, kršil načelo minimizacije podatkov in načelo omejitve shranjevanja; in da je Airbnbjeva obdelava in hramba osebnih dokumentov do 2. februarja 2021, za katere je menil, da so neustrezni ali nezadostni za preverjanje identitete pritožnika, kršila načelo minimizacije podatkov in načelo omejitve shranjevanja.
Glede na kršitve je DPC Airbnbju izdal opomin v skladu s členom 58(2)(b) GDPR. Poleg tega je DPC proti Airbnb izdal tudi odredbo v skladu s členom 58(2)(d), da odpravi kršitve, ugotovljene v tem primeru, in preprečil podobne kršitve varstva osebnih podatkov v zvezi s posamezniki v prihodnje v podobnih okoliščinah
Odločitev je v angleškem jeziku dostopna tukaj
Vir: GDPRHub
Naslovna fotografija: RawPixel
