Afbeeldingscredits: Maartens kantoor / Getty-afbeeldingen
Muziekstreaminggigant Spotify riskeert een boete van ongeveer 5 miljoen euro ($ 5,4 miljoen) in Zweden na jarenlang te zijn beschuldigd van het schenden van de toegangsrechten van gebruikers in de Europese Unie door geen volledige informatie te verstrekken over de persoonlijke gegevens die het verwerkt als reactie op individuen . Verzoeken.
Hoewel het onwaarschijnlijk is dat de hoogte van de boete veel krantenkoppen zal halen, is het feit dat het uiteindelijk is gebeurd opmerkelijk als verder bewijs dat Europese berggebruikers naar boven moeten klimmen om hun rechten op het gebied van gegevensbescherming te krijgen.
De ontdekking van de inbreuk op artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) komt meer dan vier jaar nadat er een klacht tegen Spotify was ingediend door de non-profit privacyrechten, noyb. de klachtdie begin 2019 werd ingediend, zou Spotify naar verluidt niet voldoende details hebben verstrekt in reactie op het Subject Matter Access Request (SAR) van de klager.
De klacht voerde aan dat het muziekstreamingplatform niet alle vereiste persoonlijke gegevens had verstrekt; u heeft geen informatie verstrekt over de doeleinden van de verwerking; De ontvangers zijn dat ook niet en hebben ook geen informatie verstrekt over onder meer internationale overmakingen.
Hoewel het oorspronkelijk in Oostenrijk werd geïntroduceerd, betekende het single-window-mechanisme van de AVG, dat de afhandeling van gevallen zou moeten vereenvoudigen waarin gegevensverwerking de landsgrenzen overschrijdt, dat de klacht gericht was tegen Zweden, waar Spotify zijn hoofdorganisatie heeft in de Europese Unie. (Een andere klacht over dezelfde zaak, ingediend in Nederland, is toegevoegd aan de zaak in Zweden.)
Daarna bleef de klacht enkele jaren onopgelost, Volgens Noyebvoerde de Zweedse autoriteit een parallel ambtshalve onderzoek uit waarbij de eisers geen partij waren – ondanks de algemene verordening gegevensbescherming die bepaalt dat gegevensbeheerders binnen een maand moeten reageren op toegangsverzoeken.
Noyb daagde uiteindelijk de Zweedse gegevensbeschermingsautoriteit (IMY) voor de rechter wegens het uitblijven van een beslissing. En vorig jaar betwistte het met succes het standpunt van IMY dat de klager geen partij is in de procedure, waarbij de administratieve rechtbank van Stockholm oordeelde dat de klagers het recht hadden om na zes maanden een beslissing te vragen.
Hoewel dit proces nog steeds aan de gang is (voor een hogere rechtbank), lijkt de beslissing van de Administratieve Rechtbank van afgelopen november waarbij IMY werd gelast de klacht te behandelen en te onderzoeken, het Departement Politieke Zaken ertoe te hebben gebracht in de tussentijd een beslissing te nemen.
noyb zei vandaag dat IMY Spotify heeft opgedragen om eindelijk zijn volledige set gegevens te verstrekken. Hoewel het zich afvraagt of de autoriteit alles heeft gedaan wat het vroeg om het besluit te kunnen onderzoeken.
In een verklaring zegt Stefano Rossetti, privacyadvocaat bij toegevoegd:
We zijn blij te zien dat de Zweedse autoriteiten eindelijk actie hebben ondernomen. Een van de fundamentele rechten van elke gebruiker is om volledige informatie te verkrijgen over de gegevens die hij over hem heeft verwerkt. De zaak duurde echter meer dan 4 jaar en we moesten een rechtszaak aanspannen tegen IMY voor een beslissing. De Zweedse autoriteit zou haar proces zeker moeten versnellen.
We hebben met vragen contact opgenomen met de Zweedse autoriteit en de onderstaande verklaring verzonden – waarin wordt bevestigd dat zij een aantal schendingen door Spotify hebben vastgesteld met betrekking tot drie klachten die zij hebben onderzocht. Ze beschreef de zaak ook als “complex en veelomvattend”, waarbij ze zei dat ze niet alleen individuele gevallen bekeek van hoe ze omgingen met verzoeken om toegang tot gegevens, maar ook de algehele procedures beoordeelde.
Dit is de volledige verklaring:
De Zweedse privacyautoriteit (IMY) heeft de algemene procedures van Spotify voor het afhandelen van toegangsverzoeken onderzocht en vond enkele tekortkomingen met betrekking tot de informatie die moet worden verstrekt aan de persoon die het verzoek indient op grond van en in verband met artikel 15.1 ah en 15.2 AVG. naar een beschrijving van de gegevens in de door Spotify ter beschikking gestelde technische logbestanden. IMY heeft een bestuurlijke boete van SEK 58 miljoen opgelegd aan Spotify voor het onvoldoende duidelijk informeren van individuen hierover. Het besluit bevat schendingen van de artikelen 12.1, 15.1 AD en 15.2 AVG.
Het IMY-onderzoek omvatte ook een onderzoek naar wat er gebeurde in drie verschillende klachten en hier ontdekte IMY dat Spotify geen toegangsverzoeken had behandeld met betrekking tot twee van de onderzochte klachten. Het besluit in dit onderdeel bevat een overtreding van de artikelen 12.1, 12.3, 15.1, 15.3, 15.1AH en 15.2 van de AVG. In verband met deze overtredingen geeft IMY een berisping.
De zaak was complex en veelomvattend omdat we, zoals hierboven beschreven, de algemene procedures van Spotify voor het afhandelen van individuele toegangsverzoeken beoordeelden, evenals hoe Spotify handelde in een aantal individuele situaties waarin we klachten bij de autoriteit ontvingen. Aangezien Spotify in veel landen actief is en gebruikers heeft, omvatte het werk ook samenwerking met andere gegevensbeschermingsautoriteiten in de Europese Unie. Deze samenwerking en de vereisten voor een vergelijkbare behandeling in de hele EU, betekenden ook dat we tijdens het toezicht de focus op het toezicht moesten veranderen, wat helaas de verwerking vertraagde. EU-samenwerking, die met de AVG kwam, is relatief nieuw voor ons en er wordt binnen de EU voortdurend gewerkt aan het stroomlijnen van de samenwerking – iets waarvan we zien dat het nodig is.
Spotify is ook gecontacteerd voor commentaar. Een woordvoerder van het bedrijf heeft ons deze verklaring gestuurd — waarin wordt bevestigd dat het van plan is in beroep te gaan:
Spotify biedt alle gebruikers uitgebreide informatie over hoe persoonlijke gegevens worden verwerkt. Tijdens het onderzoek vond het Zweedse ministerie van Politieke Zaken slechts kleine gebieden in onze operatie die volgens hen verbetering behoeven. Wij zijn het echter niet eens met de beslissing en zijn van plan in beroep te gaan.
Vijf jaar+ na de introductie van de Algemene Verordening Gegevensbescherming (AVG), in mei 2018, blijft de handhaving een lappendeken van zeer uiteenlopende resultaten als gevolg van verschillen in aanpak en proces (en soms ook middelen) tussen nationale autoriteiten die belast zijn met het handhaven van de privacyrechten van Europeanen.
De klacht tegen Spotify was eigenlijk een van een reeks strategische klachten van noyb tegen muziek- en videoplatforms die de wetshandhaving probeerden te testen.
noyb voerde aan dat structurele schendingen van de AVG-gegevenstoegangsrechten van gebruikers de disfunctionele norm waren op de acht platforms die het testte – namelijk: Amazon, AppleMusic, DAZN, Flimmit, Netflix, Spotify, SoundCloud en YouTube – en ontdekte dat velen geautomatiseerde systemen hadden gebouwd reageren op gebruikersrapporten die niet alle informatie bevatten waar Europeanen recht op hebben.
Meer dan vier jaar later is het niet duidelijk of Noyb’s eerdere momentopname van systematische schending van de gegevenstoegangsrechten van gebruikers aanzienlijk is veranderd.
In het geval van Spotify vindt er al handhaving plaats – zij het tergend langzaam – die de naald lijkt te hebben bewogen.
Noyb-oprichter en voorzitter Max Schrems bevestigde dat het besluit van IMY een bevel bevat voor Spotify om te voldoen aan toegangsverzoeken. Hij gaf ook aan dat het platform tijdens het onderzoek zijn systeem heeft verbeterd. “We verwachten nu een volledig antwoord,” zei hij, eraan toevoegend: “Dus we moeten zien wat ze sturen en of dat voldoende is.”
Op de vraag of Spotify zijn protocol aan het aanpassen was om te reageren op een verzoek om toegang tot gebruikersgegevens in het licht van de IMY-boete, vertelde een woordvoerster van Spotify ons dat het bedrijf “op dit moment niets te bevestigen heeft”, maar voegde eraan toe: “We zijn altijd het overwegen van procesverbeteringen “om de transparantie te verbeteren”.
Shrems vertelde ons ook dat Noyeb actie zag op drie van de andere klachten; Waaronder een zaak die werd gesloten nadat het platform in kwestie (Flimmit) tijdens de procedure zijn operaties had herzien; een conceptresolutie van het CBP over Netflix; En DAZN loopt bijna af in Oostenrijk (voor de rechtbank).
Verder is het beeld donker.
Volgens Schrems heeft de helft van de acht klachten over klachten over gegevenstoegang tot nu toe geleid tot niets anders dan radiostilte van de relevante gegevensbeschermingsinstanties. (De Ierse gegevensbeschermingsautoriteit zal de leiding hebben bij het indienen van klachten op YouTube dat eigendom is van Apple en Google; Luxemburg heeft de leiding over Amazon; terwijl SoundCloud in Berlijn is gevestigd – waarschijnlijk onder de commissaris voor gegevensbescherming van de stad vallen.)
“De rest zwijgt nog steeds – 4,5 jaar later”, voegde Schrems eraan toe.
“Denker. Liefhebber van eten. Woedend bescheiden musicaholic. Levenslange ontdekkingsreiziger. Twitter-liefhebber. Professionele student.”