None of your business (noyb) meddelar att man lämnat in ett klagomål mot den tyska betaltjänsten giropay, som drivs av paydirekt GmbH, till dataskyddsmyndigheten i Hessen, Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI). Enligt noyb behadlar giropay känsliga kunduppgifter utan ett samtycke. Kunden kontaktade noyb efter att ha sett en detaljerad lista över produkter som hon beställt på ett nätapotek och från en sexbutik listade på hennes giropay-konto.
Enligt noyb går behandlingen av sådana uppgifter, som rör kundens hälsa och sexuella preferenser, utöver vad som är nödvändiga personuppgifter för att säkerställa behandlingen av betalningar, och att det i enlighet med artikel 9.2 i dataskyddsförordningen (GDPR) kräver kundens uttryckliga samtycke.
Förutom vanliga SEPA- eller kreditkortbetalningar behandlar giropay därför inte bara de nödvändiga personuppgifterna för att säkerställa betalningen utan behåller enligt noyb hela innehållet i kundvagnen. Eftersom giropay inte visat några tecken på samarbetsvilja kontaktade kunden noyb.
Som svar på giropays förklaring att överföringen av uppgifterna i giropay-systemet är de berörda butikernas ansvar, betonade noyb att giropays programvara har en särskild funktion för att vidarebefordra sådan information och att deras egna webbutiksplugin inte ger butiksoperatörerna något annat val än att överföra dessa uppgifter. Enligt noyb behandlar giropay dessa personuppgifter, varför företaget omfattas av dataskyddsförordningen och är ansvarig enligt densamma.