“Ryanair overtreedt Europese privacyregels met gezichtsscans”
Wie een vlucht wil boeken bij Ryanair, moet verplicht een account aanmaken. Dit betreft een permanent account dat ook na de geboekte reis blijft bestaan. Volgens de activistische privacyorganisatie noyb gaat deze praktijk in tegen de Europese privacyregels, vastgelegd in de GDPR. Hoewel bedrijven klanten mogen uitnodigen om een account aan te maken, mogen ze dit niet verplicht stellen, tenzij dit noodzakelijk is voor de verwerking van gegevens.
Noyb stelt dat dit bij Ryanair niet het geval is en dat de Ierse luchtvaartmaatschappij daarmee Europese ‘dataminimalisatie’-regels schendt. Dataminimalisatie vereist dat bedrijven uitsluitend de strikt noodzakelijke gegevens verzamelen en bewaren, in verhouding tot het doel waarvoor de gegevens worden verwerkt.
Biometrische gegevens
Voor het aanmaken van een Ryanair-account moeten klanten zich bovendien op een ongebruikelijke manier verifiëren. Ze krijgen twee opties: een gezichtsscan uitvoeren of het opsturen van een kopie van hun identiteitsbewijs en een handgeschreven handtekening. Volgens noyb probeert Ryanair klanten met deze aanpak subtiel richting de gezichtsscan te sturen, omdat dit de snelste verificatieoptie is. Ook dat is volgens de privacyorganisatie onacceptabel.
Enerzijds benadrukt noyb dat biometrische gegevens onder EU-wetgeving extra bescherming genieten. De luchtvaartmaatschappij mag deze gegevens niet zomaar opvragen of verwerken. Anderzijds is er sprake van een ‘geforceerde keuze’: het opsturen van zowel een kopie van een identiteitsbewijs als een handtekening is aanzienlijk belastender voor klanten die geen gezichtsscan willen uitvoeren. Hierdoor voelen klanten zich alsnog bijna gedwongen om voor de gezichtsscan te kiezen.
Verkoopstrategie van Ryanair
Noyb vermoedt dat deze aanpak niet is bedoeld om de rechten van klanten te beperken, maar dat deze voortkomt uit financiële motieven. De luchtvaartmaatschappij wil namelijk voorkomen dat reisorganisaties tickets opkopen, omdat die minder winst opleveren dan wanneer consumenten rechtstreeks bij Ryanair boeken. Door rechtstreeks te boeken, kan Ryanair namelijk extra’s zoals verzekeringen, hotels en andere diensten aanbieden. Deze ‘bijvangst’ zou anders bij reisbureaus terechtkomen.
Door het gebruik van verplichte accounts worden reisbureaus deze mogelijkheid ontnomen. Tegelijkertijd schendt Ryanair hiermee de Europese privacyregels. Noyb heeft daarom een klacht ingediend bij de Italiaanse privacytoezichthouder Italian Garante. Naast de verplichting om zich aan de GDPR te houden, vindt noyb dat Ryanair een boete moet krijgen. Op basis van Ryanairs omzet van 10 miljard euro in 2023 kan die boete oplopen tot 431 miljoen euro.
