Data Protection Commission (DPC) beslutar att Airbnb Ireland UC:s begäran om id-kort för att behandla en registrerad persons begäran om radering strider mot reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att ärendet gäller två förfrågningar från en Airbnb-kund till Airbnb; en begäran om tillgång enligt artikel 15 GDPR och en begäran om radering enligt artikel 17 GDPR. När det gäller begäran om radering specifikt, när den klagande lämnade in begäran den 17 augusti 2019, ombads den registrerade att verifiera sin identitet genom att tillhandahålla en kopia av sitt id-kort. Efter att den klagande vägrade att lämna en kopia av sitt id-kort, erbjöd Airbnb dem det alternativa sättet att logga in på sitt konto för att verifiera sin identitet. När den klagande loggat in för att bekräfta sin identitet meddelade Airbnb dem att de hade initierat deras begäran och bekräftade den 24 oktober 2019 att de relevanta uppgifterna raderats.
Den klagande tog upp ett antal frågor om Airbnbs hantering av dennes förfrågningar. För det första fanns det ingen rättslig grund för att begära en kopia av den klagandes id-kort för begäran om rätt till radering. För det andra hävdade klaganden att Airbnb inte svarade korrekt på begäran om radering. För det tredje underlät Airbnb att svara på begäran om tillgång.
Klagomålet lämnades ursprungligen in till dataskyddsmyndigheten i Berlin, som hänvisade ärendet till DPC i enlighet med artikel 56 GDPR och i enlighet med det förfarande som anges i artikel 60 GDPR.
Som svar på den första frågan (lagligheten av begäran om id-kort) konstaterade Airbnb inledningsvis att enbart en “begäran” om att tillhandahålla id-kort inte kan betraktas som “behandling” i den mening som avses i artikel 4.2 GDPR, eftersom det krävs “mottagande av eller tillgång till” de relevanta personuppgifterna. Vidare uppgav Airbnb att företagets förfaranden för identitetskontroll finns för att skydda Airbnb-plattformen och dess användare, och att de därmed betonade risken för bedräglig verksamhet, och uppgav att det finns bevis för att dåliga aktörer använder GDPR-förfrågningar för att göra skada, genom att lura plattformen och dess användare. Därför är verifiering genom id-kort en tillförlitlig form av identitetsbevis och en säker autentiseringsmetod för att bekämpa dessa risker. Följaktligen är insamlingen av dessa uppgifter laglig i enlighet med grunden “berättigat intresse” i artikel 6.1 (f) GDPR.
När det gäller hanteringen av själva begäran om radering, den andra frågan, meddelade Airbnb att radering av ett konto är en mycket teknisk process och att man inte kan bekräfta det exakta datumet då processen avslutades. Det bekräftades dock senare att Airbnb skickat ett e-postmeddelande till den klagande den 24 oktober 2019 där man bekräftade raderingen av den klagandes personuppgifter.
När det gäller den tredje frågan (begäran om tillgång) meddelade Airbnb att en granskning av dokumentationen visat att begäran mottagits av Airbnb den 24 oktober 2019, men att detta “tyvärr hanterades/misstolkades” av en av deras agenter. De uppmärksammades på detta när den klagande följde upp begäran den 8 november 2019, men vid denna tidpunkt hade kontot raderats och Airbnb kunde inte tillhandahålla en “åtkomstfil efter radering” förrän den 17 juli 2020.
Efter att ha granskat och bedömt klagomålet beslutade DPC följande.
När det gäller den första frågan (huruvida Airbnb haft en rättslig grund för begäran om id-kort) konstaterade DPC att Airbnb, genom att kräva id-kort för att lämna in en begäran om radering, gjort det till en behandling enligt artikel 4.2 GDPR. Dessutom, även om behandlingen av id-kort kan krävas under vissa omständigheter, har Airbnb inte visat att id-kort är vare sig proportionerligt eller nödvändigt i samband med en begäran om radering. Det kan därför inte anses finnas ett “berättigat intresse” för behandlingen av uppgifter och Airbnb har därför brutit mot artikel 6.1 GDPR, och dessutom brutit mot principen om uppgiftsminimering i artikel 5.1 (c) GDPR.
När det gäller den andra frågan om Airbnbs hantering av begäran om radering konstaterade DPC att den klagande verifierat sin identitet genom att logga in på sitt konto den 2 september 2019, varefter raderingen av kontot påbörjades samma dag och bekräftades vara slutförd den 24 oktober 2019. Följaktligen fanns det enligt DPC inget otillbörligt dröjsmål i hanteringen av begäran om radering varför Airbnb inte brutit inte mot artikel 17.1 GDPR.
Slutligen tog DPC upp Airbnbs skyldigheter enligt artikel 12 GDPR avseende både hanteringen av begäran om radering och begäran om tillgång. DPC konstaterade ingen överträdelse när det gäller begäran om radering. DPC konstaterade dock att det uppstått en onödigt dröjsmål mellan det datum då Airbnb mottog begäran om tillgång den 24 oktober 2019 och tillhandahållandet av filen med tillgång efter radering den 17 juli 2020, vilket strider mot kravet på att uppfylla begäran inom en månad enligt artikel 12.3 GDPR. Airbnb bröt följaktligen mot artikel 12.3 GDPR med avseende på hanteringen av begäran om tillgång.
När det gäller utövandet av korrigerande befogenheter övervägde DPC att ålägga böter i enlighet med de faktorer som anges i artikel 83.2 GDPR. DPC drog dock slutsatsen att böter inte skulle vara nödvändigt, proportionerligt eller avskräckande och att det onödiga dröjsmålet i hanteringen av begäran om tillgång inte berodde på en systematisk uppsättning problem utan var specifik för omständigheterna i ärendet. DPC beslutade därför att inte bötfälla Airbnb, utan utfärdade i stället ett föreläggande om att Airbnb skulle se till att företagets verksamhet överensstämmer med dataskyddsförordningen.