Biografer och teatrar är stängda, men showen måste fortsätta, som man säger. Och showen fortsätter. Det finns TV, förstås, men också streamingtjänster som Netflix eller Amazon.
Streamingtjänster är smidiga och roliga ... och genererar en hel del data om vilka filmer eller låtar du konsumerar när och var. Men de slarvar ofta med att förklara för användarna vad som händer med deras data, oavsett om de finansieras av reklam eller betalda prenumerationer.
Den österrikiska arbetskammaren(Kammer für Arbeiter und Angestellte, förkortat Arbeiterkammer eller AK) och noyb har undersökt åtta streamingtjänsters informationsrutiner mot bakgrund av bestämmelserna i dataskyddsförordningen (GDPR): Amazon Prime (musik och video), Apple Music (musik), DAZN (video), Flimmit (video), Netflix (video), SoundCloud (musik), Spotify (musik) och YouTube (video).
GDPR kräver att leverantörer ger information om användningen av personuppgifter och användarnas dataskyddsrättigheter "i en exakt, transparent, begriplig, lättillgänglig form och på ett enkelt språk".
Testet visar: Vad som händer med kunddata förblir ofta i mörkret. AK och noyb utvärderade elva krav i GDPR. Kraven och vad vi förväntade oss listas nedan. Alla informationselement är i allmänhet lika viktiga.
Den personuppgiftsansvariges namn och kontaktuppgifter
Namn och kontaktuppgifter för den personuppgiftsansvarige (dvs. det företag som behandlar personuppgifterna), helst med olika kommunikationsmetoder, t.ex. telefonnummer, e-post, postadress osv. Sett i ljuset av GDPR:s rättviseprincip, men också tolkat mot bakgrund av artikel 5.1 c i e-handelsdirektivet (2000/31/EG), förväntade vi oss elektroniska kontaktuppgifter eftersom de undersökta tjänsterna är digitala till sin natur. Att endast ange en postadress skulle vara otillräckligt, vilket är orättvist i samband med en streamingtjänst. Vi anser också att ett rent kontaktformulär online är otillräckligt. För det första är ett formulär en kontaktmetod och inte en kontaktuppgift. För det andra hindrar det på ett konstlat sätt användaren från att kontakta den personuppgiftsansvarige på ett sätt som denne själv väljer.
Kontaktuppgifter till dataskyddsombudet
Kontaktuppgifter till dataskyddsombudet, i tillämpliga fall (alla personuppgiftsansvariga är inte skyldiga att utse ett dataskyddsombud). Om dataskyddsombudets kontaktuppgifter anges bör det vara lätt för de registrerade och tillsynsmyndigheterna att nå dataskyddsombudet, t.ex. via en postadress, ett särskilt telefonnummer och/eller en särskild e-postadress. Sett i ljuset av GDPR:s skälighetsprincip förväntade vi oss elektroniska kontaktuppgifter eftersom de undersökta tjänsterna är digitala till sin natur. Att endast tillhandahålla en postadress skulle vara otillräckligt och orättvist i samband med en streamingtjänst. Vi anser också att ett rent kontaktformulär online är otillräckligt. För det första är ett formulär en kontaktmetod och inte en kontaktuppgift. För det andra hindrar det på ett konstlat sätt användaren från att kontakta den personuppgiftsansvarige på det sätt som denne själv väljer.
Ändamål och rättslig grund för behandlingen, med koppling mellan varje ändamål och dess respektive rättsliga grund och de behandlade kategorierna av personuppgifter, och med angivande av det berättigade intresset när det åberopas som rättslig grund
De syften för vilka personuppgifterna behandlas, samt den relevanta rättsliga grunden enligt artikel 6 i GDPR och, om särskilda kategorier av uppgifter behandlas, en ytterligare rättslig grund enligt artikel 9 i GDPR. När den personuppgiftsansvarige åberopar berättigade intressen som rättslig grund för behandlingen bör denne också informera den registrerade om intressena och kunna visa att behandlingen är nödvändig och proportionerlig. Vi bedömde också om den personuppgiftsansvarige kopplade varje ändamål till en rättslig grund och till specifika kategorier av personuppgifter. Detta krav följer av GDPR:s krav på öppenhet och är det enda sättet för en användare att faktiskt kontrollera den personuppgiftsansvariges behandlingsaktiviteter.
Mottagare av personuppgifter
Mottagare kan vara andra personuppgiftsansvariga men också tjänsteleverantörer. Vi förväntar oss namnen på mottagarna och de kategorier av personuppgifter som delas med var och en. Om alla mottagare av någon anledning inte kan namnges förväntar vi oss åtminstone att den personuppgiftsansvarige anger kategorierna av mottagare och anger vilken verksamhet de bedriver, deras bransch, sektor och delsektor samt var de är belägna.
Överföringar utanför EU/EES
Vid överföring av uppgifter till länder utanför EU/EES ska länderna namnges och de skyddsåtgärder som åberopas (t.ex. beslut om adekvat skyddsnivå enligt artikel 45 i GDPR, standardavtalsklausuler, undantag etc.) ska specificeras. Den personuppgiftsansvarige bör också tillhandahålla medel för att få tillgång till eller erhålla de relevanta dokumenten.
Lagringsperiod
Lagringsperioderna ska vara specifika för den berörda kategorin av personuppgifter, eller åtminstone göra det möjligt för användaren att bedöma hur länge uppgifterna ska lagras i förhållande till vad som gäller för dem. Om en personuppgiftsansvarig uppgav att uppgifterna lagras för att uppfylla en rättslig förpliktelse förväntade vi oss att den rättsliga förpliktelsen skulle anges.
Information om GDPR-rättigheter
Information om användarens rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behandling och portabilitet, samt rätten att när som helst återkalla sitt samtycke och rätten att lämna in ett klagomål till en tillsynsmyndighet. Strängt taget räcker det inte med att bara informera om att dessa rättigheter finns, utan den personuppgiftsansvarige måste förklara vad rättigheterna innebär och hur de kan utövas. När det gäller rätten att lämna in ett klagomål bör det också förklaras att ett klagomål kan lämnas in till tillsynsmyndigheten i en medlemsstat där den registrerade har sin vanliga vistelseort, sin arbetsplats eller där en påstådd överträdelse av GDPR har skett.
Förekomst av automatiserat beslutsfattande inklusive profilering
En klar och tydlig förklaring av hur profileringen eller det automatiserade beslutsfattandet fungerar. Dessutom ska den personuppgiftsansvarige informera om betydelsen och de förväntade konsekvenserna av sådan behandling för den registrerade.
Apple och YouTube fick alla "endast delvis" eller "inte tillfredsställande". Flimmit och SoundCloud fick bäst betyg, följt av Spotify. Av de 85 individuella utvärderingarna var 23 "tillfredsställande", 40 "endast delvis tillfredsställande" och 22 "inte tillfredsställande".
Generellt sett var informationen ofta otydlig eller helt enkelt obefintlig. Exempelvis angavs att lagringsperioderna var "så långa som nödvändigt" och att "uppgifter kan komma att lämnas ut till tredje part". Sådana tomma fraser ger ingen konkret information om vad som faktiskt händer med de behandlade personuppgifterna.
När det gäller överföring av personuppgifter till mottagare, en kategori som många användare är nyfikna på, är det bara Flimmit som anger vilka personuppgifter som överförs till vilken kategori av mottagare och i vilket syfte - även här saknas dock oftast de specifika mottagarna.
En annan kritik är att det ofta saknas information om hur erbjudanden personaliseras genom individuella rekommendationer. Endast SoundCloud anger vilka datakategorier som används för denna typ av personalisering. En ljuspunkt var dock att alla tjänster, utom Apple, gav tydlig information om att konsumenterna kan återkalla ett givet samtycke.
Sammanfattningsvis: Tjänsterna misslyckas oftast med att uppfylla ett av GDPR:s mest grundläggande krav - nämligen att användarna ska informeras om vad som händer med deras uppgifter.
Cirka 92 procent av österrikarna använder streamingtjänster på nätet - i genomsnitt knappt en halvtimme per dag, unga människor redan cirka en och en halv timme per dag (statista.com 2018). Dessa siffror är sannolikt mycket likartade i andra medlemsstater. Netflix och Amazon Prime har vardera långt över 150 miljoner kunder världen över. Varje interaktion med tjänsten kan spelas in och analyseras för att få insikter om användaren. Kan t.ex. en plötslig preferens för melankolisk musik tyda på en separation?
Läs hela rapporten på tyska här.
För mer information från den österrikiska arbetskammaren (AK), klicka här
Den ideella föreningen noyb är engagerad i den rättsliga verkställigheten av europeiska lagar om dataskydd. Mer än 3.200 stödjande medlemmar gör noybs arbete möjligt. Hittills har den ideella organisationen redan inlett mer än 25 förfaranden för många avsiktliga överträdelser av dataskyddslagar - mot företag som Google, Apple, Facebook och Amazon.
För ytterligare information och medieförfrågningar:
Via e-post: media@noyb.eu
Per telefon: +43 660 2678622
