Elokuvateatterit ja teatterit ovat kiinni, mutta esityksen on jatkuttava, kuten sanotaan. Ja näyttely jatkuu. On tietysti televisio, mutta myös suoratoistopalveluja, kuten Netflix tai Amazon.
Suoratoistopalvelut ovat houkuttelevia ja hauskoja ... ja tuottavat paljon tietoa siitä, mitä elokuvia tai kappaleita kulutat milloin ja missä. He kuitenkin usein selittävät käyttäjille huolimattomasti, mitä heidän tietoilleen tapahtuu, riippumatta siitä, rahoitetaanko ne mainonnalla vai maksullisilla tilauksilla.
Itävallan työhuone (Kammer für Arbeiter und Angestellte , shortform Arbeiterkammer tai AK ) ja noyb tutkivat kahdeksan suoratoistopalvelun tietokäytäntöjä yleisen tietosuoja-asetuksen (GDPR) säännösten kanssa: Amazon Prime (musiikki ja video), Apple Music (musiikki), DAZN (video), Flimmit (video), Netflix (video), SoundCloud (musiikki), Spotify (musiikki) ja YouTube (video).
GDPR edellyttää, että palveluntarjoajat antavat tietoja henkilötietojen käytöstä ja käyttäjien tietosuojaoikeuksista "tarkassa, avoimessa, ymmärrettävässä, helposti saatavissa olevassa muodossa ja selkeällä kielellä".
Testi osoittaa: Asiakastiedoille tapahtuu usein pimeää. AK ja noyb arvioivat GDPR: n 11 vaatimusta. Vaatimukset ja mitä odotimme on lueteltu alla. Kaikki tietoelementit ovat yleensä yhtä tärkeitä.
Rekisterinpitäjän nimi ja yhteystiedot
Rekisterinpitäjän (eli henkilötietoja käsittelevän yrityksen) nimi ja yhteystiedot sisältävät mieluiten eri viestintätavat, kuten puhelinnumeron, sähköpostiosoitteen, postiosoitteen jne. Tarkastellaan GDPR: n oikeudenmukaisuuden periaatteen valossa, mutta tulkitaan myös verkkokauppadirektiivin (2000/31 / EY) 5 artiklan 1 kohdan c alakohtaa vastaan odotimme sähköisiä yhteystietoja, koska tutkitut palvelut ovat luonteeltaan digitaalisia. Ainoastaan postiosoitteen ilmoittaminen ei olisi riittävää, koska se on epäoikeudenmukaista suoratoistopalvelun yhteydessä. Uskomme myös, että pelkkä online-yhteydenottolomake ei riitä. Ensinnäkin lomake on yhteydenottomenetelmä eikä yhteystieto. Toiseksi se estää keinotekoisesti käyttäjää ottamasta yhteyttä ohjaimeen valitsemallaan menetelmällä.
Tietosuojavastaavan yhteystiedot
Tarvittaessa tietosuojavastaavan yhteystiedot (kaikkia rekisterinpitäjiä ei vaadita nimittämään tietosuojavastaavaa). Tietosuojavastaavan antamien yhteystietojen pitäisi antaa rekisteröidyille ja valvontaviranomaisille mahdollisuus tavoittaa tietosuojavastaava helposti esimerkiksi postiosoitteella, erillisellä puhelinnumerolla ja / tai erillisellä sähköpostiosoitteella. GDPR: n oikeudenmukaisuuden periaatteen valossa odotimme sähköisiä yhteystietoja, koska tutkitut palvelut ovat luonteeltaan digitaalisia. Ainoastaan postiosoitteen ilmoittaminen ei olisi riittävää, koska se on epäoikeudenmukaista suoratoistopalvelun yhteydessä. Uskomme myös, että pelkkä online-yhteydenottolomake ei riitä. Ensinnäkin lomake on yhteydenottomenetelmä eikä yhteystieto. Toiseksi se estää keinotekoisesti käyttäjää ottamasta yhteyttä ohjaimeen valitsemallaan menetelmällä.
Käsittelyn tarkoitukset ja oikeusperusta, yhdistämällä kukin tarkoitus omaan oikeusperustaansa ja käsiteltyihin henkilötietoluokkiin sekä ilmoittamalla, mikä on oikeutettu etu, johon oikeusperustana vedotaan.
Tarkoitukset, joita varten henkilötietoja käsitellään, sekä asianmukainen oikeusperusta GDPR: n 6 artiklan mukaisesti ja, jos erityisiä tietoryhmiä käsitellään, ylimääräinen oikeusperusta GDPR: n 9 artiklan nojalla. Kun rekisterinpitäjä vetoaa oikeutettuihin etuihin käsittelyn oikeusperustana, sen olisi myös ilmoitettava rekisteröidylle kiinnostuksen kohteista ja kyettävä osoittamaan, että käsittely on välttämätöntä ja oikeasuhteista. Arvioimme myös, liittikö rekisterinpitäjä kunkin tarkoituksen oikeusperustaan ja tiettyihin henkilötietoluokkiin. Tämä vaatimus johtuu GDPR: n avoimuusvelvoitteista ja on ainoa tapa, jolla käyttäjä voi todella hallita rekisterinpitäjän käsittelytoimintoja.
Henkilötietojen vastaanottajat
Vastaanottajat voivat olla muita rekisterinpitäjiä mutta myös palveluntarjoajia. Odotimme vastaanottajien nimet ja kullekin jaettujen henkilötietoluokkien. Ainakin, jos kaikkia vastaanottajia ei jostain syystä voitu nimetä, odotimme, että rekisterinpitäjä ilmoitti vastaanottajien luokat ja ilmoitti heidän suorittamansa toiminnot, teollisuuden, sektorin ja alasektorin sekä sijaintinsa.
Siirrot EU: n / ETA: n ulkopuolelle
Jos tietoja siirretään EU: n / ETA: n ulkopuolisiin maihin, maat tulisi nimetä ja turvatoimet, joihin vedota (esim. Tietosuojan riittävyyttä koskeva päätös GDPR: n 45 artiklan mukaisesti, vakiosopimuslausekkeet, poikkeukset jne.). Rekisterinpitäjän tulisi myös säätää keinoista tutustua asiaankuuluviin asiakirjoihin tai saada niitä.
Säilytysaika
Säilytysaikojen olisi oltava erityisiä kyseiselle henkilötietoluokalle tai niiden olisi annettava käyttäjälle ainakin mahdollisuus arvioida säilyttämisen kestoa heihin sovellettavan ajan. Jos rekisterinpitäjä ilmoitti, että tietoja säilytetään laillisen velvoitteen noudattamiseksi, odotimme sen täsmentävän laillisen velvoitteen.
Tietoja GDPR-oikeuksista
Tiedot käyttäjän oikeuksista tutustua tietoihin, niiden oikaisemiseen, poistamiseen, käsittelyn rajoittamiseen, käsittelyn vastustamiseen ja siirrettävyyteen sekä oikeudesta peruuttaa suostumus milloin tahansa ja oikeudesta tehdä valitus valvontaviranomaiselle. Tarkkaan ottaen ei riitä, että ilmoitetaan vain näiden oikeuksien olemassaolosta, rekisterinpitäjän tulisi selittää, mitä oikeudet tarkoittavat ja miten niitä käytetään. Valituksen tekemisoikeudessa on myös selitettävä, että valitus voidaan tehdä valvontaviranomaiselle jäsenvaltiossa, jossa on hänen vakinainen asuinpaikkansa, työpaikkansa tai väitetty GDPR-asetuksen rikkominen.
Automaattinen päätöksenteko, mukaan lukien profilointi
Selkeä ja selkeä kuvaus profiloinnin tai automatisoidun päätöksentekoprosessin toiminnasta. Rekisterinpitäjän olisi lisäksi ilmoitettava tällaisen käsittelyn merkityksestä ja suunnitelluista seurauksista rekisteröidylle.
Apple ja YouTube olivat kaikki "vain osittain" tai "eivät tyydyttäviä". Flimmit ja SoundCloud saivat parhaat pisteet, ja toiseksi Spotify. 85 yksittäisestä arvioinnista 23 oli "tyydyttäviä", 40 "vain osittain tyydyttäviä" ja 22 "ei tyydyttäviä".
Yleensä tiedot olivat usein epäselviä tai niitä ei yksinkertaisesti annettu. Esimerkiksi säilytysaikojen sanottiin olevan "niin kauan kuin on tarpeen" ja että "tietoja voidaan välittää kolmansille osapuolille". Tällaiset tyhjät lauseet eivät anna mitään konkreettista tietoa siitä, mitä käsiteltäville henkilötiedoille todella tapahtuu.
Mitä tulee henkilötietojen siirtoon vastaanottajille, luokka, josta monet käyttäjät ovat uteliaita, vain Flimmit ilmoitti, mitkä henkilötiedot siirretään mihin vastaanottajaluokkaan ja mihin tarkoitukseen - vaikka tässäkin, tietyt vastaanottajat puuttuivat enimmäkseen.
Toinen kritiikki on, että tarjousten yksilöinnistä yksittäisten suositusten avulla on usein vähän tietoa. Vain SoundCloud ilmoitti, mitä tietoluokkia käytetään tämän tyyppiseen personointiin. Yksi valopilkku oli kuitenkin se, että kaikki palvelut, paitsi Apple, antoivat selkeät tiedot siitä, että kuluttajat voivat peruuttaa minkä tahansa myönnetyn suostumuksen.
Yhteenvetona: Palvelut eivät useimmiten noudata yhtä GDPR: n perusvaatimuksista - nimittäin sitä, että käyttäjille tiedotetaan siitä, mitä heidän tietoihinsa tapahtuu.
Noin 92 prosenttia itävaltalaisista käyttää suoratoistopalveluja verkossa - keskimäärin vajaa puoli tuntia päivässä, nuoret jo noin puolitoista tuntia päivässä (statista.com 2018). Nämä luvut ovat todennäköisesti hyvin samanlaisia muissa jäsenvaltioissa. Netflixillä ja Amazon Prime: lla on kullakin yli 150 miljoonaa asiakasta maailmanlaajuisesti. Jokainen vuorovaikutus palvelun kanssa voidaan tallentaa ja analysoida saadakseen oivalluksia käyttäjästä. Voisiko esimerkiksi äkillinen melankolisen musiikin suosiminen viitata eroon?
Lue koko saksankielinen raportti täältä .
Lisätietoja Itävallan työhuoneesta (AK) saat napsauttamalla tätä
Voittoa tavoittelematon yhdistys noyb on sitoutunut noudattamaan Euroopan tietosuojalainsäädäntöä. Yli 3200 kannatusjäsentä tekee kukaan työn mahdolliseksi. Tähän mennessä kansalaisjärjestö on jo nostanut yli 25 menettelyä lukuisista tahallisista tietosuojalakien rikkomisista - yrityksiä vastaan, joihin kuuluvat Google, Apple, Facebook ja Amazon.
Lisätietoja ja mediatiedustelut:
Sähköpostitse: media@noyb.eu
Puhelimitse: +43 660 2678622
