A mozik és a színházak zárva vannak, de a show-nak folytatódnia kell, ahogy mondani szokták. És a show folytatódik. Természetesen van tévé, de vannak streaming szolgáltatások is, mint például a Netflix vagy az Amazon.
A streamingszolgáltatások dörzsöltek és szórakoztatóak ... és rengeteg adatot generálnak arról, hogy Ön mikor, hol és milyen filmeket vagy dalokat fogyaszt. Azonban gyakran hanyagul elmagyarázzák a felhasználóknak, hogy mi történik az adataikkal, függetlenül attól, hogy reklámokból vagy fizetős előfizetésekből finanszírozzák őket.
Az Osztrák Munkáskamara(Kammer für Arbeiter und Angestellte, rövidítve Arbeiterkammer vagy AK) és a noyb nyolc streaming szolgáltatás tájékoztatási gyakorlatát vizsgálta az általános adatvédelmi rendelet (GDPR) rendelkezései alapján: Amazon Prime (zene és videó), Apple Music (zene), DAZN (videó), Flimmit (videó), Netflix (videó), SoundCloud (zene), Spotify (zene) és YouTube (videó).
A GDPR előírja a szolgáltatók számára, hogy "pontos, átlátható, érthető, könnyen hozzáférhető formában és közérthető nyelven" adjanak tájékoztatást a személyes adatok felhasználásáról és a felhasználók adatvédelmi jogairól.
A tesztből kiderül: Az, hogy mi történik az ügyfelek adataival, gyakran homályban marad. Az AK és a noyb a GDPR tizenegy követelményét értékelte. Az alábbiakban felsoroljuk a követelményeket és azt, hogy mit vártunk el. Az összes információs elem általában azonos fontosságú.
Az adatkezelő neve és elérhetőségei
Az adatkezelő (azaz a személyes adatokat feldolgozó vállalat) neve és elérhetőségei, ideális esetben a különböző kommunikációs módokra kiterjedően, mint például telefonszám, e-mail, postai cím stb. A GDPR méltányossági elvének fényében, de az elektronikus kereskedelemről szóló irányelv (2000/31/EK) 5. cikke (1) bekezdésének c) pontja alapján is értelmezve, elektronikus elérhetőségi adatokat vártunk, mivel a vizsgált szolgáltatások digitális jellegűek. A postai cím megadása nem lenne elegendő, és egy streaming szolgáltatással összefüggésben tisztességtelen lenne. Úgy véljük, hogy egy egyszerű online kapcsolatfelvételi űrlap is elégtelen. Egyrészt az űrlap egy kapcsolattartási módszer, nem pedig kapcsolattartási adat. Másrészt mesterségesen megakadályozza a felhasználót abban, hogy az általa választott módon lépjen kapcsolatba az adatkezelővel.
Az adatvédelmi tisztviselő elérhetőségei
Adott esetben az adatvédelmi tisztviselő elérhetőségei (nem minden adatkezelő köteles adatvédelmi tisztviselőt kinevezni). Az adatvédelmi tisztviselő elérhetőségének megadása megkönnyíti az érintettek és a felügyeleti hatóságok számára az adatvédelmi tisztviselő elérését, például egy postacímen, egy külön telefonszámon és/vagy egy külön e-mail címen keresztül. A GDPR méltányossági elvének fényében elektronikus elérhetőségi adatokat vártunk, mivel a vizsgált szolgáltatások digitális jellegűek. Csak egy postacím megadása nem lenne elegendő, mivel egy streaming szolgáltatással összefüggésben tisztességtelen. Úgy véljük továbbá, hogy a puszta online kapcsolatfelvételi űrlap is elégtelen. Egyrészt az űrlap egy kapcsolattartási módszer, nem pedig kapcsolattartási adat. Másrészt mesterségesen megakadályozza a felhasználót abban, hogy az általa választott módon lépjen kapcsolatba az adatkezelővel.
Az adatkezelés céljai és jogalapja, az egyes célok összekapcsolása a megfelelő jogalapokkal és a feldolgozott személyes adatkategóriákkal, valamint annak feltüntetése, hogy mi a jogos érdek, amennyiben jogalapként hivatkoznak rá
A személyes adatok feldolgozásának céljai, valamint a vonatkozó jogalap a GDPR 6. cikke szerint, és amennyiben különleges adatkategóriák feldolgozására kerül sor, a GDPR 9. cikke szerinti további jogalap. Ha az adatkezelő az adatkezelés jogalapjaként jogos érdekre hivatkozik, akkor az érintettet is tájékoztatnia kell az érdekekről, és képesnek kell lennie bizonyítani, hogy az adatkezelés szükséges és arányos. Azt is értékeltük, hogy az adatkezelő az egyes célokat összekapcsolta-e egy-egy jogalaphoz és a személyes adatok konkrét kategóriáihoz. Ez a követelmény a GDPR átláthatósági kötelezettségeiből következik, és ez az egyetlen módja annak, hogy a felhasználó ténylegesen ellenőrizze az adatkezelő adatkezelési tevékenységét.
A személyes adatok címzettjei
A címzettek lehetnek más adatkezelők, de szolgáltatók is. Elvárjuk a címzettek nevét és a velük megosztott személyes adatok kategóriáit. Ha valamilyen oknál fogva nem lehetett megnevezni az összes címzettet, akkor legalább azt vártuk, hogy az adatkezelő megnevezze a címzettek kategóriáit, és jelezze az általuk végzett tevékenységeket, az iparágukat, ágazatukat és alágazatukat, valamint a székhelyüket.
Az EU/EGT-n kívüli adattovábbítások
Az EU/EGT-n kívüli országokba történő adattovábbítás esetén meg kell nevezni az országokat, és meg kell határozni a hivatkozott biztosítékokat (pl. a GDPR 45. cikke szerinti megfelelőségi határozat, általános szerződési feltételek, eltérések stb.). Az adatkezelőnek rendelkeznie kell továbbá a vonatkozó dokumentumokhoz való hozzáférés vagy azok beszerzésének módjáról.
Megőrzési időszak
A megőrzési időszakoknak az érintett személyes adatok kategóriájára vonatkozóan egyedieknek kell lenniük, vagy legalábbis lehetővé kell tenniük a felhasználó számára, hogy felmérje a megőrzés időtartamát, ahogyan az rá vonatkozik. Ha egy adatkezelő azt állította, hogy az adatok megőrzésére jogi kötelezettség teljesítése érdekében kerül sor, elvártuk, hogy meghatározza a jogi kötelezettséget.
Tájékoztatás a GDPR szerinti jogokról
Tájékoztatás a felhasználó hozzáférési, helyesbítési, törlési, az adatkezelés korlátozására, az adatkezelés elleni tiltakozásra és a hordozhatóságra vonatkozó jogairól, valamint a hozzájárulás bármikor történő visszavonásának jogáról és a felügyeleti hatóságnál történő panasztétel jogáról. Szigorúan véve nem elegendő csupán tájékoztatni e jogok létezéséről, az adatkezelőnek el kell magyaráznia, hogy mit jelentenek a jogok, és hogyan lehet azokat gyakorolni. A panasztételhez való joggal kapcsolatban azt is el kell magyarázni, hogy a panaszt a szokásos tartózkodási helye, a munkahelye vagy a GDPR állítólagos megsértése szerinti tagállam felügyeleti hatóságánál lehet benyújtani.
Automatizált döntéshozatal, beleértve a profilalkotást is
Egyértelmű és világos magyarázat a profilalkotás vagy az automatizált döntéshozatali folyamat működéséről. Ezen túlmenően az adatkezelőnek tájékoztatnia kell az ilyen adatkezelés jelentőségéről és az érintettre gyakorolt várható következményeiről.
Az Apple és a YouTube mind "csak részben" vagy "nem kielégítő" volt. A Flimmit és a SoundCloud kapta a legjobb pontszámot, őket követte a Spotify. A 85 egyedi értékelésből 23 volt "kielégítő", 40 "csak részben kielégítő" és 22 "nem kielégítő".
Általánosságban elmondható, hogy az információk gyakran nem voltak egyértelműek, vagy egyszerűen nem adtak tájékoztatást. Például a megőrzési időszakokról azt állították, hogy "ameddig szükséges", és hogy "az adatok továbbadhatók harmadik félnek". Az ilyen üres mondatok nem adnak konkrét tájékoztatást arról, hogy valójában mi történik a feldolgozott személyes adatokkal.
Ami a személyes adatok címzetteknek történő továbbítását illeti, amire sok felhasználó kíváncsi, csak a Flimmit közölte, hogy mely címzettek mely kategóriájába tartozó személyes adatokat továbbítanak és milyen célból - bár itt is többnyire hiányoztak a konkrét címzettek.
További kritika, hogy gyakran kevés információ áll rendelkezésre arról, hogy az ajánlatokat hogyan személyre szabják az egyéni ajánlásokon keresztül. Egyedül a SoundCloud közölte, hogy mely adatkategóriákat használják az ilyen típusú személyre szabáshoz. Az egyik fényes pont azonban az volt, hogy az Apple kivételével minden szolgáltatás egyértelmű tájékoztatást adott arról, hogy a fogyasztók visszavonhatják a megadott hozzájárulást.
Összefoglalva: a szolgáltatások többnyire nem felelnek meg a GDPR egyik legalapvetőbb követelményének, nevezetesen annak, hogy a felhasználókat tájékoztassák arról, mi történik az adataikkal.
Az osztrákok mintegy 92 százaléka használ streaming szolgáltatásokat a neten - átlagosan naponta alig fél órát, a fiatalok már napi másfél órát (statista.com 2018). Ezek a számok valószínűleg nagyon hasonlóak más tagállamokban is. A Netflixnek és az Amazon Prime-nak egyenként jóval több mint 150 millió ügyfele van világszerte. A szolgáltatással való minden egyes interakciót rögzíteni és elemezni lehet, hogy betekintést nyerjünk a felhasználóról. Például a melankolikus zenék hirtelen előszeretete jelezhet-e szakítást?
A teljes jelentés német nyelven itt olvasható.
Az Osztrák Munkaügyi Kamara (AK) további információiért kattintson ide
A nonprofit egyesület noyb elkötelezett az európai adatvédelmi törvények jogérvényesítéséért. A noyb munkáját több mint 3200 támogató tag teszi lehetővé. A civil szervezet eddig már több mint 25 eljárást indított az adatvédelmi törvények számos szándékos megsértése miatt - olyan vállalatok ellen, mint a Google, az Apple, a Facebook és az Amazon.
További információk és médiaérdeklődés:
E-mailben: media@noyb.eu
Telefonon: +43 660 2678622
