Кината и театрите са затворени, но шоуто трябва да продължи, както се казва. И шоуто продължава. Има телевизия, разбира се, но също и стрийминг услуги като Netflix или Amazon.
Услугите за поточно предаване са гладки и забавни ... и генерират много данни за това кои филми или песни консумирате кога и къде. Те обаче често небрежно обясняват на потребителите какво се случва с техните данни, независимо дали те се финансират от реклама или платени абонаменти.
Австрийската трудова камара ( Kammer für Arbeiter und Angestellte , кратка форма Arbeiterkammer или AK ) и noyb разследват информационните практики на осем стрийминг услуги в съответствие с разпоредбите на Общия регламент за защита на данните (GDPR): Amazon Prime (музика и видео), Apple Music (музика), DAZN (видео), Flimmit (видео), Netflix (видео), SoundCloud (музика), Spotify (музика) и YouTube (видео).
GDPR изисква доставчиците да предоставят информация за използването на лични данни и правата за защита на данните на потребителите „в точна, прозрачна, разбираема, лесно достъпна форма и на ясен език“.
Тестът показва: Това, което се случва с данните на клиентите, често остава на тъмно. AK и noyb оцениха единадесет изисквания на GDPR. Изискванията и това, което очаквахме са изброени по-долу. Всички информационни елементи обикновено са с еднакво значение.
Име и данни за контакт на администратора
Името и данните за контакт на администратора (т.е. компанията, която обработва личните данни), в идеалния случай включват обхващащи различни методи за комуникация, като телефонен номер, имейл, пощенски адрес и др. Разглеждани в светлината на принципа на справедливост на GDPR, но също тълкувани срещу член 5, параграф 1, буква в) от Директивата за електронната търговия (2000/31 / ЕО), очаквахме електронни данни за контакт, тъй като разследваните услуги имат цифров характер. Само предоставянето на пощенски адрес би било недостатъчно, тъй като е несправедливо в контекста на услуга за стрийминг. Ние също така вярваме, че обикновената онлайн форма за контакт е недостатъчна. За един формуляр е метод за контакт, а не подробности за контакт. От друга страна, той изкуствено пречи на потребителя да се свърже с контролера по избран от тях метод.
Данни за контакт с длъжностното лице по защита на данните
Данните за контакт с длъжностното лице по защита на данните (DPO), където е приложимо (не всички администратори са длъжни да назначат DPO). Предоставянето на данните за контакт на DPO трябва да улесни субектите на данни и надзорните органи да стигнат до DPO, например чрез пощенски адрес, специален телефонен номер и / или специален имейл адрес. Погледнато в светлината на принципа на справедливост на GDPR, ние очаквахме електронни данни за контакт, тъй като разследваните услуги имат цифров характер. Само предоставянето на пощенски адрес би било недостатъчно, тъй като е несправедливо в контекста на услуга за стрийминг. Ние също така вярваме, че обикновената онлайн форма за контакт е недостатъчна. За един формуляр е метод за контакт, а не подробности за контакт. От друга страна, той изкуствено пречи на потребителя да се свърже с контролера по избран от тях метод.
Цели и правно основание на обработването, свързване на всяка цел със съответното правно основание и обработваните категории лични данни и посочване на законния интерес, когато се разчита като правно основание
Целите, за които се обработват лични данни, както и съответното правно основание съгласно член 6 от ОРЗД и, когато се обработват специални категории данни, допълнително правно основание съгласно член 9 от ОРЗД. Когато администраторът разчита на законни интереси като правно основание за обработка, той също трябва да информира субекта на данните за интересите и да може да докаже, че обработването е необходимо и пропорционално. Също така оценихме дали администраторът е свързал всяка цел с правно основание и със специфични категории лични данни. Това изискване произтича от задълженията за прозрачност на GDPR и е единственият начин за потребителя действително да контролира дейностите по обработка на контролера.
Получатели на лични данни
Получателите могат да бъдат други администратори, но също така и доставчици на услуги. Очаквахме имената на получателите и категориите лични данни, споделени с всеки. Най-малкото, ако по някаква причина всички получатели не могат да бъдат посочени, очаквахме, че администраторът посочи категориите получатели и посочи дейностите, които извършват, техния отрасъл, сектор и подсектор и тяхното местоположение.
Трансфери извън ЕС / ЕИП
В случай на прехвърляне на данни към страни извън ЕС / ЕИП, държавите трябва да бъдат посочени и да се посочат предпазните мерки (напр. Решение за адекватност съгласно член 45 от ОРЗД, стандартни договорни клаузи, дерогации и др.). Също така администраторът трябва да осигури средства за достъп или получаване на съответните документи.
Период на задържане
Сроковете за съхранение следва да бъдат специфични за съответната категория лични данни или най-малкото да позволяват на потребителя да оцени продължителността на запазването, както се отнася за тях. Ако администратор заяви, че данните се запазват, за да се спази законово задължение, очаквахме той да посочи законовото задължение.
Информация за правата на GDPR
Информация за правата на потребителя за достъп, коригиране, изтриване, ограничаване на обработването, възражение срещу обработка и преносимост, както и правото да се оттегли съгласието си по всяко време и правото да подаде жалба до надзорен орган. Строго погледнато, не е достатъчно само да информираме за съществуването на тези права, администраторът трябва да обясни какво означават правата и как да ги упражнява. Също така правото на подаване на жалба трябва да обяснява, че жалба може да бъде подадена до надзорния орган в държава-членка на обичайното му местопребиваване, местоработата им или предполагаемо нарушение на GDPR.
Наличие на автоматизирано вземане на решения, включително профилиране
Ясно и ясно обяснение как работи профилирането или автоматизираният процес на вземане на решения. Освен това администраторът трябва да информира за значението и предвидените последици от такава обработка за субекта на данните.
Apple и YouTube бяха „само частично“ или „не задоволителни“. Flimmit и SoundCloud постигнаха най-добри резултати, последвани от Spotify. От 85 индивидуални оценки, 23 са „задоволителни“, 40 са „само частично задоволителни“ и 22 „не са задоволителни“.
По принцип информацията често е неясна или просто не се дава. Например, периодите на съхранение бяха посочени като „толкова дълго, колкото е необходимо“ и че „данните могат да бъдат предадени на трети страни“. Такива празни фрази не предоставят никаква конкретна информация за това какво всъщност се случва с обработваните лични данни.
Що се отнася до прехвърлянето на лични данни към получатели, категория, към която много потребители са любопитни, само Flimmit посочи кои лични данни се прехвърлят към коя категория получатели и с каква цел - макар че и тук конкретните получатели липсват най-вече.
Друга критика е, че често има малко информация за това как се персонализират офертите чрез индивидуални препоръки. Само SoundCloud посочва кои категории данни се използват за този тип персонализация. Едно ярко място обаче беше, че всички услуги, с изключение на Apple, предоставят ясна информация, че потребителите могат да оттеглят всяко предоставено съгласие.
В обобщение: Услугите най-често не успяват да спазят едно от най-основните изисквания на GDPR - а именно, че потребителите са информирани какво се случва с техните данни.
Около 92 процента от австрийците използват стрийминг услуги в мрежата - средно за малко под половин час на ден, младите хора вече за около час и половина на ден (statista.com 2018). Тези цифри вероятно са много сходни в други държави-членки. Netflix и Amazon Prime имат над 150 милиона клиенти по целия свят. Всяко взаимодействие с услугата може да бъде записано и анализирано, за да придобие представа за потребителя. Например, може ли внезапното предпочитание към меланхоличната музика да показва раздяла?
Прочетете пълния доклад на немски тук .
За повече информация от Австрийската трудова камара (АК) кликнете тук
Сдружението с нестопанска цел noyb се ангажира със законовото прилагане на европейските закони за защита на данните. Повече от 3200 подкрепящи членове правят работата на noyb възможна. Към днешна дата неправителствената организация вече е завела над 25 производства за множество умишлени нарушения на законите за защита на данните - срещу компании, които включват Google, Apple, Facebook и Amazon.
За допълнителна информация и медийни запитвания:
По имейл: media@noyb.eu
По телефона: +43 660 2678622