Modern technology gives us many things.

Πρόστιμο στο Spotify στη Σουηδία λόγω καταγγελίας για πρόσβαση στα δεδομένα GDPR

Ο γίγαντας ροής μουσικής Spotify αντιμετωπίζει πρόστιμο περίπου 5 εκατομμυρίων ευρώ στη Σουηδία, χρόνια αφότου κατηγορήθηκε για παραβίαση των δικαιωμάτων πρόσβασης στα δεδομένα των χρηστών στην Ευρωπαϊκή Ένωση, επειδή δεν παρέχει πλήρεις πληροφορίες σχετικά με προσωπικά δεδομένα που επεξεργάζεται ως απάντηση σε μεμονωμένα άτομα. αιτήσεων.

Ενώ το μέγεθος του προστίμου είναι απίθανο να προσελκύσει πολλούς τίτλους, το γεγονός ότι τελικά συνέβη είναι αξιοσημείωτο καθώς περαιτέρω στοιχεία για το βουνό που πρέπει να σκαρφαλώσουν οι Ευρωπαίοι χρήστες για να διατηρηθούν τα δικαιώματα προστασίας δεδομένων τους.

Η διαπίστωση παραβίασης του άρθρου 15 του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) έρχεται περισσότερα από τέσσερα χρόνια μετά την υποβολή καταγγελίας κατά του Spotify από την μη κερδοσκοπική οργάνωση δικαιωμάτων απορρήτου, noyb. ο καταγγελίατο οποίο κατατέθηκε στις αρχές του 2019, φέρεται ότι το Spotify απέτυχε να παράσχει επαρκείς λεπτομέρειες ως απάντηση στο αίτημα πρόσβασης για το θέμα (SAR) του καταγγέλλοντα.

Η καταγγελία υποστήριξε ότι η πλατφόρμα ροής μουσικής δεν παρείχε όλα τα προσωπικά δεδομένα που ζητήθηκαν. δεν παρείχε πληροφορίες σχετικά με τους σκοπούς της επεξεργασίας· ούτε στους παραλήπτες? και επίσης δεν παρείχε πληροφορίες για διεθνείς μεταφορές, μεταξύ άλλων ισχυρισμών.

Ενώ αρχικά κατατέθηκε στην Αυστρία, ο μηχανισμός one-stop-shop του GDPR, ο οποίος υποτίθεται ότι εξορθολογίζει τον χειρισμό υποθέσεων όπου η επεξεργασία δεδομένων διασχίζει τα εθνικά σύνορα, σήμαινε ότι η καταγγελία κατευθύνθηκε στη Σουηδία όπου το Spotify έχει την κύρια εγκατάσταση στην ΕΕ. (Μια άλλη καταγγελία για το ίδιο θέμα που υποβλήθηκε στην Ολλανδία συνενώθηκε επίσης με την υπόθεση στη Σουηδία.)

Στη συνέχεια, η καταγγελία παρέμεινε αναποφάσιστη για αρκετά χρόνια καθώς, σύμφωνα με το noybη σουηδική αρχή διεξήγαγε μια παράλληλη αυτεπάγγελτη έρευνα στην οποία οι καταγγέλλοντες δεν συμμετείχαν — παρά το γεγονός ότι ο ΓΚΠΔ αναφέρει ότι οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να ανταποκριθούν στα αιτήματα πρόσβασης εντός ενός μήνα.

Το noyb κατέληξε στο δικαστήριο της σουηδικής αρχής προστασίας δεδομένων (IMY) λόγω έλλειψης απόφασης. Και πέρυσι αμφισβήτησε επιτυχώς τη θέση του ΙΜΥ ότι ο καταγγέλλων δεν είναι διάδικος στις διαδικασίες, με το διοικητικό δικαστήριο της Στοκχόλμης να κρίνει ότι οι καταγγέλλοντες έχουν το δικαίωμα να ζητήσουν απόφαση μετά από έξι μήνες.

Ενώ αυτή η δίκη είναι ακόμη σε εξέλιξη (ενώπιον ανώτερου δικαστηρίου), η απόφαση του διοικητικού δικαστηρίου τον περασμένο Νοέμβριο που διέταξε το ΙΜΥ να επεξεργαστεί και να διερευνήσει την καταγγελία φαίνεται ότι ώθησε την DPA να εκδώσει απόφαση στο μεταξύ.

Η noyb είπε σήμερα ότι η IMY διέταξε το Spotify να παράσχει επιτέλους το πλήρες σύνολο δεδομένων. Αν και επιφυλάσσεται να κρίνει εάν η αρχή έχει κάνει όλα όσα ζήτησε μέχρι να μπορέσει να ελέγξει την απόφαση.

Σε μια δήλωση, ο Stefano Rossetti, δικηγόρος απορρήτου στο noyb, προστέθηκε:

Είμαστε στην ευχάριστη θέση να δούμε ότι η σουηδική αρχή ανέλαβε επιτέλους δράση. Είναι βασικό δικαίωμα κάθε χρήστη να λάβει πλήρη ενημέρωση για τα δεδομένα που επεξεργάστηκε σχετικά με αυτόν. Ωστόσο, η υπόθεση κράτησε περισσότερα από 4 χρόνια και έπρεπε να προσφύγουμε στο ΙΜΥ για να λάβουμε απόφαση. Η σουηδική αρχή πρέπει οπωσδήποτε να επισπεύσει τις διαδικασίες της.

Απευθυνθήκαμε στη σουηδική αρχή με ερωτήσεις και έστειλε την παρακάτω δήλωση — επιβεβαιώνοντας ότι εντόπισε μια σειρά παραβιάσεων από το Spotify σχετικά με τρεις καταγγελίες που διερεύνησε. Περιέγραψε επίσης την υπόθεση ως «σύνθετη και περιεκτική», λέγοντας ότι όχι μόνο εξέτασε μεμονωμένες περιπτώσεις του τρόπου με τον οποίο χειριζόταν αιτήματα πρόσβασης σε δεδομένα, αλλά αξιολόγησε επίσης τις γενικές διαδικασίες.

Ακολουθεί ολόκληρη η δήλωση:

Η Σουηδική Αρχή για την Προστασία Απορρήτου (IMY) διερεύνησε τις γενικές διαδικασίες του Spotify για το χειρισμό αιτημάτων πρόσβασης και εντόπισε ορισμένες ελλείψεις που σχετίζονται με τις πληροφορίες που πρέπει να παρέχονται στο άτομο που υποβάλλει το αίτημα σύμφωνα με το άρθρο 15.1 ah και 15.2 του GDPR και σε σχέση στην περιγραφή των δεδομένων στα τεχνικά αρχεία καταγραφής που παρέχονται από το Spotify. Το IMY επέβαλε διοικητικό πρόστιμο 58 εκατομμυρίων SEK κατά του Spotify επειδή δεν παρείχε επαρκώς σαφείς πληροφορίες σε ιδιώτες σχετικά. Η απόφαση περιλαμβάνει παραβάσεις των άρθρων 12.1, 15.1 ad, g και 15.2 του GDPR.

Η έρευνα του IMY περιέλαβε επίσης μια έρευνα για το τι συνέβη σε τρεις διαφορετικές καταγγελίες και εδώ το IMY διαπίστωσε ότι το Spotify είχε αποτύχει στον χειρισμό των αιτημάτων για πρόσβαση που αφορούσαν δύο από τις καταγγελίες που εξετάστηκαν. Η απόφαση σε αυτό το μέρος περιλαμβάνει παραβίαση των άρθρων 12.1, 12.3, 15.1, 15.3 και 15.1 ah και 15.2 του GDPR. Σε σχέση με αυτές τις παραβάσεις το ΙΜΥ εκδίδει επίπληξη.

Η υπόθεση ήταν μια περίπλοκη και περιεκτική υπόθεση όπου, όπως εξηγήθηκε παραπάνω, αξιολογήσαμε τόσο τις γενικές διαδικασίες του Spotify για το χειρισμό μεμονωμένων αιτημάτων πρόσβασης, όσο και τον τρόπο με τον οποίο το Spotify ενήργησε σε ορισμένες μεμονωμένες περιπτώσεις όπου λάβαμε παράπονα στην αρχή. Καθώς το Spotify δραστηριοποιείται και χρήστες σε πολλές χώρες, το έργο περιελάμβανε επίσης συνεργασία με άλλες αρχές προστασίας δεδομένων στην ΕΕ. Αυτή η συνεργασία, και οι απαιτήσεις για παρόμοιο χειρισμό σε ολόκληρη την ΕΕ, σήμαιναν επίσης ότι, κατά τη διάρκεια της εποπτείας, έπρεπε να αλλάξουμε την εστίαση στην εποπτεία, η οποία δυστυχώς καθυστέρησε την επεξεργασία. Η συνεργασία της ΕΕ, η οποία συνοδεύτηκε από τον GDPR, είναι κάτι σχετικά νέο για εμάς και υπάρχει συνεχής εργασία εντός της ΕΕ για τον εξορθολογισμό της συνεργασίας – κάτι που βλέπουμε ότι υπάρχει ανάγκη.

Επικοινώνησε επίσης το Spotify για σχόλια. Ένας εκπρόσωπος της εταιρείας μας έστειλε αυτή τη δήλωση — επιβεβαιώνοντας ότι σκοπεύει να υποβάλει ένσταση:

Το Spotify προσφέρει σε όλους τους χρήστες ολοκληρωμένες πληροφορίες σχετικά με τον τρόπο επεξεργασίας των προσωπικών δεδομένων. Κατά τη διάρκεια της έρευνάς τους, η σουηδική DPA βρήκε μόνο δευτερεύοντες τομείς της διαδικασίας μας που πιστεύουν ότι χρειάζονται βελτίωση. Ωστόσο, δεν συμφωνούμε με την απόφαση και σχεδιάζουμε να υποβάλουμε ένσταση.

Πέντε χρόνια+ μετά την έναρξη εφαρμογής του GDPR, τον Μάιο του 2018, η επιβολή εξακολουθεί να είναι ένα συνονθύλευμα εξαιρετικά μεταβλητών αποτελεσμάτων λόγω των διαφορών προσέγγισης και διαδικασίας (και μερικές φορές και πόρων) μεταξύ των εθνικών αρχών που είναι επιφορτισμένες με την προάσπιση των δικαιωμάτων απορρήτου των Ευρωπαίων.

Η καταγγελία κατά του Spotify ήταν στην πραγματικότητα μια από μια σειρά στρατηγικών καταγγελιών από τη noyb κατά πλατφορμών μουσικής και βίντεο που προσπάθησαν να δοκιμάσουν την εφαρμογή του νόμου.

Η noyb υποστήριξε ότι οι δομικές παραβιάσεις των δικαιωμάτων πρόσβασης δεδομένων GDPR των χρηστών ήταν ο δυσλειτουργικός κανόνας στις οκτώ πλατφόρμες που δοκίμασε — συγκεκριμένα: Amazon, AppleMusic, DAZN, Flimmit, Netflix, Spotify, SoundCloud και YouTube — πολλές από τις οποίες βρήκε ότι είχαν δημιουργήσει αυτοματοποιημένα συστήματα να απαντήσει στα SAR των χρηστών που δεν παρείχαν όλες τις πληροφορίες που έχουν το νόμιμο δικαίωμα να λαμβάνουν οι Ευρωπαίοι.

Πάνω από τέσσερα χρόνια μετά, δεν είναι ξεκάθαρο εάν το προηγούμενο στιγμιότυπο της noyb για τη συστημική παραβίαση των δικαιωμάτων πρόσβασης στα δεδομένα των χρηστών έχει αλλάξει ουσιαστικά ή όχι.

Στην περίπτωση του Spotify, η επιβολή που συμβαίνει στην πραγματικότητα – αν και οδυνηρά αργά – φαίνεται να έχει μετακινήσει τη βελόνα.

Ο ιδρυτής και πρόεδρος της noyb, Max Schrems, επιβεβαίωσε ότι η απόφαση του IMY περιέχει εντολή προς το Spotify να συμμορφωθεί με τα αιτήματα πρόσβασης. Πρότεινε επίσης ότι η πλατφόρμα έχει βελτιώσει το σύστημά της κατά τη διάρκεια της έρευνας. «Αναμένουμε πλήρη απάντηση τώρα», είπε, προσθέτοντας: «Πρέπει λοιπόν να δούμε τι θα στείλουν και αν είναι αρκετό».

Ερωτηθείσα εάν το Spotify τροποποιεί το πρωτόκολλο απόκρισής του στο αίτημα πρόσβασης σε δεδομένα χρήστη υπό το πρίσμα της κύρωσης του IMY, μια εκπρόσωπος του Spotify μας είπε ότι η εταιρεία «δεν έχει τίποτα να επιβεβαιώσει αυτήν τη στιγμή», αλλά πρόσθεσε: «Πάντα εξετάζουμε και κάνουμε βελτιώσεις στη διαδικασία για τη βελτίωση της διαφάνειας».

Ο Schrems μας είπε επίσης ότι ο noyb έχει δει κίνηση σε τρία από τα άλλα παράπονα. συμπεριλαμβανομένης της υπόθεσης που έκλεισε αφού η εν λόγω πλατφόρμα (Flimmit) καθόρισε τις διαδικασίες της κατά τη διάρκεια της διαδικασίας· σχέδιο απόφασης που εκδίδεται από την ολλανδική DPA στο Netflix· και DAZN φέρεται να είναι κοντά στο κλείσιμο στην Αυστρία (ενώπιον δικαστηρίου).

Από εκεί και πέρα ​​η εικόνα σκοτεινιάζει.

Σύμφωνα με τον Schrems, οι μισές από τις οκτώ καταγγελίες που στοχεύουν καταγγελίες σχετικά με την πρόσβαση σε δεδομένα δεν έχουν οδηγήσει μέχρι στιγμής σε σιωπή ραδιοφώνου από τις σχετικές ΑΠΔ. (Το ιρλανδικό DPA θα ήταν ο επικεφαλής για καταγγελίες στο YouTube που ανήκει στην Apple και την Google, το Λουξεμβούργο ηγείται στην επίβλεψη της Amazon, ενώ το SoundCloud εδρεύει στο Βερολίνο — επομένως πιθανότατα θα υπάγεται στον επίτροπο προστασίας δεδομένων της πόλης.)

«Τα υπόλοιπα είναι ακόμα σιωπή – μετά από 4,5 χρόνια», πρόσθεσε ο Schrems.



techcrunch.com

Follow TechWar.gr on Google News

Απάντηση