
Kina a divadla jsou zavřená, ale představení musí pokračovat, jak se říká. A show skutečně pokračuje. Je tu samozřejmě televize, ale také streamovací služby, jako je Netflix nebo Amazon.
Streamovací služby jsou elegantní a zábavné... a generují spoustu dat o tom, které filmy nebo písničky kdy a kde konzumujete. Často však uživatelům nedbale vysvětlují, co se s jejich daty děje, bez ohledu na to, zda jsou financovány z reklamy nebo placeného předplatného.
Rakouská pracovní komora(Kammer für Arbeiter und Angestellte, zkráceně Arbeiterkammer nebo AK) a noyb zkoumaly informační praktiky osmi streamovacích služeb s ohledem na ustanovení obecného nařízení o ochraně osobních údajů (GDPR): Amazon Prime (hudba a video), Apple Music (hudba), DAZN (video), Flimmit (video), Netflix (video), SoundCloud (hudba), Spotify (hudba) a YouTube (video).
GDPR vyžaduje, aby poskytovatelé poskytovali informace o používání osobních údajů a o právech uživatelů na ochranu údajů "v přesné, transparentní, srozumitelné, snadno dostupné formě a v jednoduchém jazyce".
Vyplývá to z testu: Co se děje s údaji zákazníků, zůstává často v nedohlednu. AK a noyb posuzovaly jedenáct požadavků GDPR. Požadavky a to, co jsme očekávali, uvádíme níže. Všechny informační prvky jsou obecně stejně důležité.
Název a kontaktní údaje správce
Název a kontaktní údaje správce (tj. společnosti, která zpracovává osobní údaje), v ideálním případě zahrnují pokrytí různých způsobů komunikace, jako je telefonní číslo, e-mail, poštovní adresa atd. Při pohledu na zásadu korektnosti podle GDPR, ale také při výkladu s ohledem na čl. 5 odst. 1 písm. c) směrnice o elektronickém obchodu (2000/31/ES), jsme očekávali elektronické kontaktní údaje, protože zkoumané služby mají digitální povahu. Pouhé uvedení poštovní adresy by bylo nedostatečné, protože by bylo v kontextu streamovací služby nespravedlivé. Rovněž se domníváme, že pouhý online kontaktní formulář je nedostatečný. Jednak je formulář způsob kontaktu, nikoli kontaktní údaj. Za druhé uměle brání uživateli kontaktovat správce způsobem, který si sám zvolí.
Kontaktní údaje pověřence pro ochranu osobních údajů
Kontaktní údaje pověřence pro ochranu osobních údajů (DPO), je-li to relevantní (ne všichni správci jsou povinni jmenovat DPO). Uvedení kontaktních údajů pověřence pro ochranu osobních údajů by mělo subjektům údajů a dozorovým úřadům usnadnit kontakt s pověřencem pro ochranu osobních údajů, např. prostřednictvím poštovní adresy, vyhrazeného telefonního čísla a/nebo vyhrazené e-mailové adresy. Při pohledu na zásadu korektnosti podle GDPR jsme očekávali elektronické kontaktní údaje, protože zkoumané služby jsou digitální povahy. Pouhé uvedení poštovní adresy by bylo nedostatečné, protože by bylo v kontextu streamovací služby nespravedlivé. Rovněž se domníváme, že pouhý online kontaktní formulář je nedostatečný. Za prvé, formulář je způsob kontaktu, a nikoli kontaktní údaj. Za druhé uměle brání uživateli kontaktovat správce způsobem, který si sám zvolí.
Účely a právní základ zpracování, propojení každého účelu s příslušným právním základem a zpracovávanými kategoriemi osobních údajů a uvedení toho, jaký je oprávněný zájem, pokud se na něj jako na právní základ spoléhá
Účely zpracování osobních údajů, jakož i příslušný právní základ podle článku 6 GDPR a v případě zpracování zvláštních kategorií údajů další právní základ podle článku 9 GDPR. Pokud se správce opírá o oprávněné zájmy jako právní základ pro zpracování, měl by o nich subjekt údajů rovněž informovat a být schopen prokázat, že zpracování je nezbytné a přiměřené. Posuzovali jsme také, zda správce propojil každý účel s právním základem a s konkrétními kategoriemi osobních údajů. Tento požadavek vyplývá z povinnosti transparentnosti podle GDPR a je jediným způsobem, jak může uživatel skutečně kontrolovat činnosti správce v oblasti zpracování.
Příjemci osobních údajů
Příjemci mohou být další správci, ale také poskytovatelé služeb. Očekávali jsme jména příjemců a kategorie osobních údajů, které s každým z nich sdílíme. Pokud z nějakého důvodu nebylo možné jmenovat všechny příjemce, očekávali jsme alespoň, že správce uvede kategorie příjemců a uvede činnosti, které vykonávají, jejich odvětví, sektor a pododvětví a jejich umístění.
Předávání mimo EU/EHP
V případě předávání údajů do zemí mimo EU/EHP by měly být tyto země jmenovitě uvedeny a měly by být specifikovány záruky, na které se spoléhá (např. rozhodnutí o odpovídající ochraně podle článku 45 GDPR, standardní smluvní doložky, výjimky atd. Správce by měl rovněž stanovit prostředky pro přístup k příslušným dokumentům nebo jejich získání.

Doba uchovávání
Doba uchovávání by měla být specifická pro danou kategorii osobních údajů nebo by měla přinejmenším umožnit uživateli posoudit, jak dlouho se na něj uchovávání vztahuje. Pokud správce uvedl, že údaje jsou uchovávány za účelem splnění právní povinnosti, očekávali jsme, že uvede, o jakou právní povinnost se jedná.
Informace o právech vyplývajících z GDPR
Informace o právech uživatele na přístup, opravu, výmaz, omezení zpracování, námitku proti zpracování a přenositelnost, jakož i o právu kdykoli odvolat souhlas a právu podat stížnost u dozorového úřadu. Přísně vzato nestačí pouze informovat o existenci těchto práv, správce by měl vysvětlit, co tato práva znamenají a jak je uplatnit. Rovněž právo podat stížnost by mělo vysvětlovat, že stížnost lze podat u dozorového úřadu v členském státě svého obvyklého bydliště, svého pracoviště nebo údajného porušení GDPR.
Existence automatizovaného rozhodování včetně profilování
Jasné a srozumitelné vysvětlení, jak profilování nebo automatizované rozhodování funguje. Kromě toho by měl správce informovat o významu a předpokládaných důsledcích takového zpracování pro subjekt údajů.
U společností Apple a YouTube byly všechny odpovědi "pouze částečně" nebo "nevyhovující". Nejlépe dopadly Flimmit a SoundCloud, následované Spotify. Z 85 jednotlivých hodnocení bylo 23 "uspokojivých", 40 "pouze částečně uspokojivých" a 22 "neuspokojivých".
Obecně byly informace často nejasné nebo prostě nebyly uvedeny. Například u doby uchovávání bylo uvedeno, že je "tak dlouhá, jak je nutné" a že "údaje mohou být předány třetím stranám". Takové prázdné fráze neposkytují žádné konkrétní informace o tom, co se se zpracovávanými osobními údaji skutečně děje.
Pokud jde o předávání osobních údajů příjemcům, což je kategorie, na kterou je mnoho uživatelů zvědavých, pouze společnost Flimmit uvedla, které osobní údaje jsou předávány které kategorii příjemců a za jakým účelem - i když i zde konkrétní příjemci většinou chyběli.
Další výtkou je, že často chybí informace o tom, jak jsou nabídky personalizovány prostřednictvím individuálních doporučení. Pouze SoundCloud uvedl, které kategorie údajů se pro tento typ personalizace používají. Světlým bodem však bylo, že všechny služby s výjimkou společnosti Apple poskytly jasné informace o tom, že spotřebitelé mohou jakýkoli udělený souhlas odvolat.
Shrnuto: Služby většinou selhávají v dodržování jednoho z nejzákladnějších požadavků GDPR, a sice aby byli uživatelé informováni o tom, co se s jejich údaji děje.
Přibližně 92 procent Rakušanů využívá streamovací služby na síti - v průměru necelou půlhodinu denně, mladí lidé již asi hodinu a půl denně (statista.com 2018). Tato čísla jsou pravděpodobně velmi podobná i v jiných členských státech. Společnosti Netflix a Amazon Prime mají po celém světě hodně přes 150 milionů zákazníků. Každou interakci se službou lze zaznamenat a analyzovat a získat tak o uživateli informace. Může například náhlá preference melancholické hudby naznačovat odloučení?
Celou zprávu v němčině si můžete přečíst zde.
Další informace rakouské pracovní komory (AK) naleznete zde
Neziskové sdružení noyb se zasazuje o zákonné prosazování evropských zákonů o ochraně osobních údajů. Činnost noyb umožňuje více než 3 200 podporujících členů. K dnešnímu dni již nevládní organizace podala více než 25 žalob za četná úmyslná porušení zákonů o ochraně osobních údajů - proti společnostem, mezi něž patří Google, Apple, Facebook a Amazon.
Další informace a dotazy pro média:
E-mailem: media@noyb.eu
Telefonicky: +43 660 2678622