Kina i teatry są zamknięte, ale przedstawienie musi trwać dalej, jak to mówią. A spektakl trwa dalej. Jest oczywiście telewizja, ale są też usługi strumieniowe, takie jak Netflix czy Amazonka
Usługi transmisji strumieniowej są zręczne i przyjemne ... i generują wiele danych o tym, które filmy lub piosenki konsumujesz kiedy i gdzie. Często jednak niechlujnie wyjaśniają użytkownikom, co dzieje się z ich danymi, niezależnie od tego, czy są one finansowane z reklam, czy z płatnych abonamentów
Austriacka Izba Pracy (Kammer für Arbeiter und Angestellte, skrócony Arbeiterkammer lub AK) oraz Noyb zbadały praktyki informacyjne ośmiu usług transmisji strumieniowej w świetle przepisów ogólnego rozporządzenia o ochronie danych (PKBR): Amazon Prime (muzyka i wideo), Apple Music (muzyka), DAZN (wideo), Flimmit (wideo), Netflix (wideo), SoundCloud (muzyka), Spotify (muzyka) i YouTube (wideo).
PKBR wymaga od dostawców usług udzielania informacji na temat wykorzystywania danych osobowych i praw użytkowników do ochrony danych "w precyzyjnej, przejrzystej, zrozumiałej, łatwo dostępnej formie i w prostym języku".
Test pokazuje: To, co dzieje się z danymi klientów, często pozostaje w ciemności. AK i Noyb ocenili jedenaście wymagań GDPR. Wymagania i to, czego się spodziewaliśmy, wymieniono poniżej. Wszystkie elementy informacyjne mają na ogół jednakowe znaczenie.
Nazwa i dane kontaktowe administratora danych
Nazwa i dane kontaktowe administratora danych (tzn. firmy przetwarzającej dane osobowe), najlepiej obejmują różne metody komunikacji, takie jak numer telefonu, e-mail, adres pocztowy, itp. Patrząc w świetle zasady sprawiedliwości PKBR, ale również interpretowanej w świetle art. 5 ust. 1 lit. c) dyrektywy o handlu elektronicznym (2000/31/WE), oczekiwaliśmy elektronicznych danych kontaktowych, ponieważ badane usługi mają charakter cyfrowy. Jedynie podanie adresu pocztowego byłoby niewystarczające, gdyż byłoby niesprawiedliwe w kontekście usługi przesyłania strumieniowego. Uważamy również, że sam formularz kontaktowy online jest niewystarczający. Po pierwsze, formularz jest metodą kontaktu, a nie danymi kontaktowymi. Dla innego, sztucznie uniemożliwia on użytkownikowi kontakt z administratorem w wybrany przez niego sposób.
Dane kontaktowe inspektora ochrony danych
Dane kontaktowe inspektora ochrony danych osobowych (DPO), jeśli dotyczy (nie wszyscy administratorzy danych są zobowiązani do wyznaczenia DPO). Podanie danych kontaktowych inspektora ochrony danych powinno ułatwić podmiotom danych i organom nadzorczym dotarcie do niego, np. za pośrednictwem adresu pocztowego, specjalnego numeru telefonu i/lub specjalnego adresu e-mail. Biorąc pod uwagę zasadę sprawiedliwości PKBR, oczekiwaliśmy elektronicznych danych kontaktowych, ponieważ badane usługi mają charakter cyfrowy. Jedynie podanie adresu pocztowego byłoby niewystarczające, gdyż byłoby niesprawiedliwe w kontekście usługi transmisji strumieniowej. Uważamy również, że sam formularz kontaktowy on-line jest niewystarczający. Po pierwsze, formularz jest metodą kontaktu, a nie danymi kontaktowymi. Dla innego, sztucznie uniemożliwia on użytkownikowi kontakt z administratorem w wybrany przez niego sposób.
Cele i podstawa prawna przetwarzania, łącząc każdy cel z jego odpowiednią podstawą prawną i przetwarzanymi kategoriami danych osobowych oraz określając, jaki jest uzasadniony interes, gdy opiera się na podstawie prawnej
Cele, dla których przetwarzane są dane osobowe, jak również odpowiednia podstawa prawna na mocy art. 6 PKBR oraz, w przypadku przetwarzania szczególnych kategorii danych, dodatkowa podstawa prawna na mocy art. 9 PKBR. Jeśli administrator danych opiera się na uzasadnionych interesach jako podstawie prawnej przetwarzania, powinien również poinformować podmiot danych o tych interesach i być w stanie wykazać, że przetwarzanie jest konieczne i proporcjonalne. Oceniliśmy również, czy administrator danych powiązał każdy cel z podstawą prawną oraz z konkretnymi kategoriami danych osobowych. Wymóg ten wynika z obowiązków GDPR w zakresie przejrzystości i jest jedynym sposobem, w jaki użytkownik może faktycznie kontrolować działalność administratora danych w zakresie przetwarzania danych
Odbiorcy danych osobowych
Odbiorcami mogą być inni kontrolerzy, ale również dostawcy usług. Oczekiwaliśmy nazwisk odbiorców i kategorii danych osobowych udostępnianych każdemu z nich. Przynajmniej jeśli z jakiegoś powodu nie można było wymienić wszystkich odbiorców, spodziewaliśmy się, że administrator danych poda kategorie odbiorców i wskaże działania, które wykonują, ich branżę, sektor i podsektor oraz ich lokalizację.
Przekazy poza UE/EOG
W przypadku przekazywania danych do krajów spoza UE/EOG należy wymienić te kraje i określić, na jakich zabezpieczeniach się opierają (np. decyzja o adekwatności na mocy art. 45 PKBR, standardowe klauzule umowne, odstępstwa itp. ). Administrator danych powinien również zapewnić środki dostępu do odpowiednich dokumentów lub ich uzyskania.
Okres zatrzymania
Okresy zatrzymywania danych powinny być specyficzne dla danej kategorii danych osobowych lub przynajmniej powinny umożliwiać użytkownikowi ocenę okresu zatrzymywania danych, jaki ma do nich zastosowanie. Jeśli administrator danych stwierdził, że dane są zatrzymywane w celu spełnienia obowiązku prawnego, oczekiwaliśmy, że określi ten obowiązek prawny.
Informacje na temat praw GDPR
Informacje o prawach użytkownika do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu wobec przetwarzania i przenoszenia, jak również o prawie do wycofania zgody w każdej chwili oraz prawie do złożenia skargi do organu nadzorczego. Ściśle mówiąc, nie wystarczy jedynie poinformować o istnieniu tych praw, administrator powinien wyjaśnić, co te prawa oznaczają i jak z nich korzystać. Ponadto prawo do złożenia skargi powinno wyjaśniać, że skarga może zostać złożona do organu nadzorczego w państwie członkowskim, w którym ma on zwykłe miejsce zamieszkania, miejsce pracy lub domniemane naruszenie PKBR
Istnienie zautomatyzowanego procesu podejmowania decyzji, w tym profilowania
Jasne i jasne wyjaśnienie, jak działa profilowanie lub zautomatyzowany proces podejmowania decyzji. Ponadto administrator powinien poinformować o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Apple i YouTube były "tylko częściowo" lub "niezadowalające". Flimmit i SoundCloud uzyskały najlepsze wyniki, a następnie Spotify. Spośród 85 indywidualnych ocen, 23 były "zadowalające", 40 "tylko częściowo zadowalające", a 22 "niezadowalające".
Ogólnie rzecz biorąc, informacje były często niejasne lub po prostu nie były podawane. Na przykład, okresy zatrzymania były określone jako "tak długo, jak to konieczne" i że "dane mogą być przekazywane osobom trzecim". Takie puste sformułowania nie dostarczają żadnych konkretnych informacji na temat tego, co faktycznie dzieje się z przetwarzanymi danymi osobowymi
Jeśli chodzi o przekazywanie danych osobowych odbiorcom, wielu użytkowników interesuje się kategorią, tylko Flimmit określił, które dane osobowe są przekazywane do jakiej kategorii odbiorców i w jakim celu - choć i tutaj brakowało głównie konkretnych odbiorców
Inna krytyka dotyczy tego, że często niewiele jest informacji na temat sposobu personalizacji ofert poprzez indywidualne rekomendacje. Tylko SoundCloud stwierdził, które kategorie danych są wykorzystywane do tego typu personalizacji. Jednym z jasnych punktów było jednak to, że wszystkie usługi, z wyjątkiem Apple, dostarczyły jasnych informacji, że konsumenci mogą wycofać każdą udzieloną zgodę.
Podsumowując: Usługi w większości przypadków nie spełniają jednego z najbardziej podstawowych wymogów PKBR - mianowicie użytkownicy są informowani o tym, co dzieje się z ich danymi.
Około 92 procent Austriaków korzysta z usług transmisji strumieniowej w sieci - średnio przez nieco mniej niż pół godziny dziennie, młodzi ludzie już od półtorej godziny dziennie (statista.com 2018). Dane te są prawdopodobnie bardzo podobne w innych państwach członkowskich. Netflix i Amazon Prime mają na całym świecie znacznie ponad 150 milionów klientów. Każda interakcja z serwisem może być rejestrowana i analizowana w celu uzyskania informacji o użytkowniku. Na przykład, czy nagłe preferowanie muzyki melancholijnej może wskazywać na oddzielenie?
Przeczytaj tutaj pełny raport w języku niemieckim
Aby uzyskać więcej informacji od Austriackiej Izby Pracy (AK), kliknij tutaj
Stowarzyszenie non-profit noyb jest zaangażowany w prawne egzekwowanie europejskich przepisów dotyczących ochrony danych. Ponad 3.200 członków wspierających umożliwia pracę noyb. Do tej pory organizacja ta wszczęła już ponad 25 postępowań w sprawie licznych umyślnych naruszeń przepisów o ochronie danych osobowych - przeciwko firmom takim jak Google, Apple, Facebook i Amazon.
Więcej informacji i zapytania mediów
Przez e-mail media@noyb.eu
Przez telefon: +43 660 2678622
