Airbnb mocht aan een gebruiker die verzocht om zijn gegevens te verwijderen niet om een kopie van een identiteitsbewijs vragen, zo heeft de Ierse privacytoezichthouder DPC geoordeeld. Het verhuurplatform heeft hiermee de Europese privacywetgeving overtreden. De DPC besloot echter geen boete op te leggen, maar Airbnb op te dragen om de werkwijze zo aan te passen dat die aan de GDPR voldoet.

De gebruiker in kwestie had eind 2019 een verwijderverzoek ingediend. Airbnb stelde dat de identiteit van de gebruiker moest worden geverifieerd en vroeg vervolgens om een kopie van het identiteitsbewijs. De gebruiker weigerde dit, waarop Airbnb als alternatieve optie aanbood om op het account in te loggen. Na te zijn ingelogd werd de data van de betreffende gebruiker binnen een week verwijderd.

Volgens de gebruikers was de werkwijze van Airbnb in strijd met de Europese privacywetgeving en diende een klacht bij de DPC in. Airbnb stelde dat het vragen om een kopie-ID niet als het verwerken van persoonsgegevens kan worden gezien, zoals bedoeld in de GDPR, aangezien toegang tot de betreffende persoonlijke data nodig is. De DPC was het daar niet mee eens een stelde dat het hier wel degelijk om verwerking van persoonsgegevens gaat, zoals bedoeld in de GDPR.

Het verwerken van een kopie-ID kan in sommige gevallen gerechtvaardigd zijn, maar in dit geval kon Airbnb niet aantonen dat het verzoek om een kopie-ID in de context van een verwijderverzoek proportioneel of noodzakelijk was. Daarom was er ook geen sprake van een "legitiem belang" voor het verwerken van de data en had Airbnb daarmee de GDPR overtreden. De Ierse privacytoezichthouder besloot het platform geen boete op te leggen, maar droeg het op om de verwerking van persoonsgegevens aan de privacywet te laten voldoen (pdf).