Авіакомпанія Wizz Air: порушниця вимог GDPR чи заручниця обставин
В мережі Інтернет, останнім часом, є можливість прослідкувати інформацію про велику кількість порушень персональних даних, в контексті застосування GDPR, які мають місце на території Європейського Союзу. На цей раз, об’єктом застосування штрафних санкцій може стати авіакомпанія Wizz Air.
Дотримання GDPR, як один із ключових елементів успішності бізнесу
З набранням чинності та вступом в дію General Data Protection Regulation, правила обробки персональних даних змінилися. Про такі зміни можемо говорити не тільки в Європейському Союзі, а і в більшості країн світу, де нове європейське законодавство стало каталізатором для створення нового, більш якіснішого середовища для обробки даних, а також для створення сучасно законодавства, яке б за своєю сутністю нічим не відрізнялося б від GDPR.
Багато компаній відразу зорієнтувалися і адаптували свій бізнес до вимог нового законодавства. Разом з тим, багато хто продовжував ігнорувати нові законодавчі вимоги, що породжувало негативну реакцію з боку контролюючих органів. Наприклад, такою компанією була авіакомпанія Vueling, яка в жовтні 2019 року була притягнута до відповідальності за порушення вимог GDPR щодо отримання згоди на обробку персональних даних. Компанія Vueling не забезпечила належне отримання згоди на обробку cookie файлів, а також не забезпечила наявності так званого cookie preferences, що потягло за собою порушення ще одного документу – E-Privacy Directive.
Не варто забувати і про компанію British Airways, яка знехтувала необхідністю вжиття організаційних та технічних заходів в процесі обробки та зберігання персональних даних. Таке нехтування спричинило ідеальні умови для недобросовісних третіх сторін, які отримали доступ до конфіденційної інформації про сотні тисяч пасажирів цієї авіакомпанії.
Також, об’єктом для застосування штрафних санкцій стала і авіакомпанія EasyJet, яка не змогла захиститися від хакерської атаки, в результаті чого інформація про понад дев’ять мільйонів користувачів була злита в мережу Інтернет
Наразі, можемо констатувати, що і авіакомпанія Wizz Air стала на шлях, який співпадає з вимогами GDPR. Щонайменше, про це свідчить звернення правозахисної компанії NOYB (European Centre for Digital Rights) до контролюючого органу Австрії щодо порушення компанією Wizz Air вимог GDPR в частині забезпечення виконання прав суб’єктів персональних даних по відношенню одного із своїх клієнтів.
Порушення Wizz Air, про яке заявляє NOYB
Наразі, досить складно оцінити законність дій авіакомпанії Wizz Air, однак факт залишається фактом, що причиною подачі звернення стали обставини, описані нижче по тексту.
Клієнт авіакомпанії змінив своє прізвище та електронну адресу та звернувся від Data Protection Officer компанії Wizz Air, шляхом надсилання електронного листа на офіційну електронну адресу про те, що він хоче аби компанія виправила цю інформацію в його особистому кабінеті, а також передала цю інформацію всім іншим контролерам, яким його персональні дані можуть передаватися Wizz Air в процесі надання послуг авіаперевезень та супутніх послуг.
Як наслідок, відповіді від Data Protection Officer компанії Wizz Air клієнт так і не дочекався і через три місяці вирішив зателефонувати до авіакомпанії самостійно, так як зміна прізвища була для нього пріоритетною ціллю, в контексті здійснення майбутніх авіаподорожей. Замість вибачення та оперативного виправлення ситуації, представник авіакомпанії пояснив про неможливість зміни прізвища у зв’язку із встановленою політикою компанії, яка передбачає, що прізвище клієнта в його акаунті може змінюватися тільки за певних умов.
____________________________________________________________________
На нашу думку, таке твердження представника авіакомпанії є некоректним, адже не зважаючи на внутрішню політику компанії, реалізація права суб’єкта персональних даних на виправлення його даних є обов’язковою та не повинна ігноруватися або ж опротестовуватися компанією, яка виконує роль контролера даних в будь-якому разі, окрім випадків, які можуть передбачатися законом. Реалізація ж такого права не повинна перевищувати 1 (одного) місяця, якщо не виникло інших непередбачуваних обставин, про які компанія повинна повідомляти суб’єкта даних.
____________________________________________________________________
Після телефонної розмови, яка тривала понад 30 хвилин, представник компанії все ж змінив прізвище в акаунті клієнта. Як виявилося пізніше, всі дзвінки на лінію авіакомпанії з подібних питань є платними, а тому вартість телефонної розмови для клієнта становила 35,67 євро.
____________________________________________________________________
У відповідності до вимог GDPR, реалізація будь – яких прав суб’єктів персональних даних повинна здійснюватися на безоплатній основі. В цьому ж випадку, авіакомпанія, не реалізувавши право суб’єкта персональних даних у відведені законом строки, фактично стягує з нього плату за вирішення питання, пов’язаного із забезпеченням його прав.
____________________________________________________________________
Представники NOYB, в своєму зверненні заявляють, що плату за телефонну розмову, в розмірі 35,67 євро, потрібно вважати платою за можливість реалізації права на виправлення та права на передачу персональних даних. Також, представники NOYB просять визнати, що реалізація прав авіакомпанією не відповідала строкам, які передбачені в GDPR.
Всі ці факти можуть свідчити лиш про те, що авіакомпанія Wizz Air все ж не дотримується вимог законодавства щодо захисту персональних даних, а тому, не реалізувавши право суб’єкта даних в строк та стягнувши за це плату, її можуть визнати такою, що порушила вимога GDPR. Як наслідок, компанія може бути притягнута до відповідальності за порушення вимог GDPR, санкції за порушення яких передбачають накладення штрафу до 10 (десяти) мільйонів євро.
____________________________________________________________________
Залишимо право на вирішення долі авіакомпанії Wizz Air контролюючому органу Австрії. В свою ж чергу, будемо уважно слідкувати за розвитком подій в цій справі та й в туристичній сфері в цілому, адже ця галузь наразі переживає не найкращі свої часи.
____________________________________________________________________
Будьте обережні та дотримуйтеся GDPR !
