Kiná a divadlá sú zatvorené, ale predstavenie musí pokračovať, ako sa hovorí. A predstavenie naozaj pokračuje. Samozrejme, je tu televízia, ale aj streamovacie služby ako Netflix alebo Amazon.
Streamovacie služby sú elegantné a zábavné... a generujú množstvo údajov o tom, ktoré filmy alebo skladby ste kedy a kde konzumovali. Často však používateľom nedbalo vysvetľujú, čo sa s ich údajmi deje, bez ohľadu na to, či sú financované z reklamy alebo plateného predplatného.
Rakúska komora práce(Kammer für Arbeiter und Angestellte, skrátene Arbeiterkammer alebo AK) a noyb skúmali informačné praktiky ôsmich streamovacích služieb z hľadiska ustanovení všeobecného nariadenia o ochrane údajov (GDPR): Amazon Prime (hudba a video), Apple Music (hudba), DAZN (video), Flimmit (video), Netflix (video), SoundCloud (hudba), Spotify (hudba) a YouTube (video).
GDPR vyžaduje, aby poskytovatelia poskytovali informácie o používaní osobných údajov a právach používateľov na ochranu údajov "v presnej, transparentnej, zrozumiteľnej, ľahko dostupnej forme a v jednoduchom jazyku".
Ukazuje to test: Čo sa deje s údajmi zákazníkov, zostáva často v tme. AK a noyb posúdili jedenásť požiadaviek GDPR. Požiadavky a to, čo sme očakávali, uvádzame nižšie. Všetky informačné prvky sú vo všeobecnosti rovnako dôležité.
Názov a kontaktné údaje prevádzkovateľa
Názov a kontaktné údaje prevádzkovateľa (t. j. spoločnosti, ktorá spracúva osobné údaje), v ideálnom prípade zahŕňajú pokrytie rôznych spôsobov komunikácie, ako je telefónne číslo, e-mail, poštová adresa atď. Pri pohľade na zásadu spravodlivosti podľa GDPR, ale aj pri výklade na základe článku 5 ods. 1 písm. c) smernice o elektronickom obchode (2000/31/ES) sme očakávali elektronické kontaktné údaje, pretože skúmané služby majú digitálnu povahu. Poskytnutie len poštovej adresy by bolo nedostatočné, pretože v kontexte streamovacej služby by bolo nespravodlivé. Takisto sa domnievame, že samotný online kontaktný formulár je nedostatočný. Po prvé, formulár je spôsob kontaktu, a nie kontaktný údaj. Po druhé, umelo bráni používateľovi kontaktovať prevádzkovateľa spôsobom, ktorý si sám zvolí.
Kontaktné údaje úradníka pre ochranu údajov
Kontaktné údaje úradníka pre ochranu údajov (DPO), ak je to vhodné (nie všetci prevádzkovatelia sú povinní vymenovať DPO). Poskytnutie kontaktných údajov DPO by malo dotknutým osobám a dozorným orgánom uľahčiť kontakt s DPO, napr. prostredníctvom poštovej adresy, vyhradeného telefónneho čísla a/alebo vyhradenej e-mailovej adresy. Pri pohľade na zásadu spravodlivosti podľa GDPR sme očakávali elektronické kontaktné údaje, pretože skúmané služby majú digitálnu povahu. Poskytnutie len poštovej adresy by bolo nedostatočné, pretože v kontexte streamovacej služby by bolo nespravodlivé. Takisto sa domnievame, že samotný online kontaktný formulár je nedostatočný. Po prvé, formulár je spôsob kontaktu, a nie kontaktný údaj. Po druhé, umelo bráni používateľovi kontaktovať prevádzkovateľa spôsobom, ktorý si sám zvolí.
Účely a právny základ spracúvania, prepojenie každého účelu s príslušným právnym základom a spracúvanými kategóriami osobných údajov a uvedenie toho, aký je oprávnený záujem, ak sa naň odvoláva ako na právny základ
Účely, na ktoré sa osobné údaje spracúvajú, ako aj príslušný právny základ podľa článku 6 GDPR a v prípade spracúvania osobitných kategórií údajov ďalší právny základ podľa článku 9 GDPR. Ak sa prevádzkovateľ spolieha na oprávnené záujmy ako na právny základ spracúvania, mal by o nich informovať aj dotknutú osobu a mal by byť schopný preukázať, že spracúvanie je nevyhnutné a primerané. Posúdili sme tiež, či prevádzkovateľ prepojil každý účel s právnym základom a s konkrétnymi kategóriami osobných údajov. Táto požiadavka vyplýva z povinností transparentnosti vyplývajúcich z nariadenia GDPR a je jediným spôsobom, ako môže používateľ skutočne kontrolovať činnosti prevádzkovateľa v oblasti spracúvania.
Príjemcovia osobných údajov
Príjemcami môžu byť iní prevádzkovatelia, ale aj poskytovatelia služieb. Očakávali sme názvy príjemcov a kategórie osobných údajov, ktoré sa s každým z nich zdieľajú. Ak z nejakého dôvodu nebolo možné vymenovať všetkých príjemcov, očakávali sme aspoň, že prevádzkovateľ uvedie kategórie príjemcov a uvedie činnosti, ktoré vykonávajú, ich odvetvie, sektor a pododvetvie a ich umiestnenie.
Prenosy mimo EÚ/EHP
V prípade prenosov údajov do krajín mimo EÚ/EHP by mali byť tieto krajiny vymenované a mali by byť uvedené záruky, na ktoré sa spoliehajú (napr. rozhodnutie o primeranosti podľa článku 45 GDPR, štandardné zmluvné doložky, výnimky atď. Prevádzkovateľ by mal tiež poskytnúť prostriedky na prístup k príslušným dokumentom alebo ich získanie.
Obdobie uchovávania
Obdobie uchovávania by malo byť špecifické pre príslušnú kategóriu osobných údajov alebo by malo prinajmenšom umožniť používateľovi posúdiť dĺžku uchovávania, ktorá sa ho týka. Ak prevádzkovateľ uviedol, že údaje sa uchovávajú na účely splnenia zákonnej povinnosti, očakávali sme, že uvedie, o akú zákonnú povinnosť ide.
Informácie o právach vyplývajúcich z nariadenia GDPR
Informácie o právach používateľa na prístup, opravu, vymazanie, obmedzenie spracúvania, námietku proti spracúvaniu a prenosnosť, ako aj o práve kedykoľvek odvolať súhlas a o práve podať sťažnosť dozornému orgánu. Prísne vzaté, nestačí len informovať o existencii týchto práv, prevádzkovateľ by mal vysvetliť, čo tieto práva znamenajú a ako ich uplatniť. V súvislosti s právom podať sťažnosť by mal tiež vysvetliť, že sťažnosť možno podať dozornému orgánu v členskom štáte svojho obvyklého pobytu, svojho pracoviska alebo údajného porušenia GDPR.
Existencia automatizovaného rozhodovania vrátane profilovania
Jasné a zrozumiteľné vysvetlenie, ako funguje proces profilovania alebo automatizovaného rozhodovania. Okrem toho by mal prevádzkovateľ informovať o význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
Apple a YouTube boli všetky "len čiastočne" alebo "nevyhovujúce". Najlepšie skóre dosiahli Flimmit a SoundCloud, za ktorými nasledovalo Spotify. Z 85 individuálnych hodnotení bolo 23 "uspokojivých", 40 "len čiastočne uspokojivých" a 22 "neuspokojivých".
Vo všeobecnosti boli informácie často nejasné alebo jednoducho neboli uvedené. Napríklad sa uvádzalo, že doba uchovávania je "tak dlho, ako je potrebné" a že "údaje môžu byť poskytnuté tretím stranám". Takéto prázdne frázy neposkytujú žiadne konkrétne informácie o tom, čo sa vlastne deje so spracúvanými osobnými údajmi.
Pokiaľ ide o prenos osobných údajov príjemcom, čo je kategória, na ktorú je zvedavých veľa používateľov, iba spoločnosť Flimmit uviedla, ktoré osobné údaje sa prenášajú ktorej kategórii príjemcov a na aký účel - hoci aj tu väčšinou chýbali konkrétni príjemcovia.
Ďalšia kritika sa týka toho, že často je málo informácií o tom, ako sa ponuky personalizujú prostredníctvom individuálnych odporúčaní. Iba SoundCloud uviedol, ktoré kategórie údajov sa používajú na tento typ personalizácie. Jedným svetlým bodom však bolo, že všetky služby okrem Apple poskytli jasné informácie o tom, že spotrebitelia môžu akýkoľvek udelený súhlas odvolať.
Zhrnutie: Služby väčšinou zlyhávajú pri dodržiavaní jednej z najzákladnejších požiadaviek GDPR - a to, aby boli používatelia informovaní o tom, čo sa deje s ich údajmi.
Približne 92 % Rakúšanov využíva streamovacie služby na internete - v priemere necelú polhodinu denne, mladí ľudia už približne hodinu a pol denne (statista.com 2018). Tieto údaje sú pravdepodobne veľmi podobné aj v iných členských štátoch. Každá z týchto služieb Netflix a Amazon Prime má na celom svete výrazne viac ako 150 miliónov zákazníkov. Každá interakcia so službou sa dá zaznamenať a analyzovať s cieľom získať poznatky o používateľovi. Môže napríklad náhla preferencia melancholickej hudby naznačovať odlúčenie?
Celú správu v nemčine si môžete prečítať tu.
Viac informácií od Rakúskej komory práce (AK) nájdete tu
Neziskové združenie noyb sa angažuje za právne presadzovanie európskych zákonov o ochrane údajov. Činnosť noyb umožňuje viac ako 3 200 podporujúcich členov. Do dnešného dňa mimovládna organizácia podala už viac ako 25 žalôb za početné úmyselné porušenia zákonov o ochrane údajov - proti spoločnostiam, medzi ktoré patria Google, Apple, Facebook a Amazon.
Ďalšie informácie a otázky pre médiá:
E-mailom: media@noyb.eu
Telefonicky: +43 660 2678622
