Müzik yayını devi Spotify, bireye yanıt olarak işlediği kişisel veriler hakkında tam bilgi sağlamayarak Avrupa Birliği’ndeki kullanıcıların veri erişim haklarını ihlal etmekle suçlandıktan yıllar sonra İsveç’te yaklaşık 5 milyon Euro (5,4 milyon $) para cezasıyla karşı karşıya kaldı. istekler.
Para cezasının boyutunun pek çok manşette yer alması pek mümkün olmasa da, Avrupalı kullanıcıların veri koruma haklarının onaylanması için tırmanmak zorunda oldukları dağın daha fazla kanıtı olarak, cezanın nihayet gerçekleşmiş olması dikkat çekicidir.
Genel Veri Koruma Yönetmeliği’nin (GDPR) 15. Maddesinin ihlal edildiğine dair tespit dört yıldan fazla kar amacı gütmeyen gizlilik hakları, noyb tarafından Spotify aleyhine şikayette bulunulduktan sonra. bu şikayet2019’un başında dosyalanan, Spotify’ın şikayetçinin konu erişim talebine (SAR) yanıt olarak yeterli ayrıntıyı sağlayamadığı iddia edildi.
Şikayet, müzik akışı platformunun istenen tüm kişisel verileri sağlayamadığını ileri sürdü; işleme amaçları hakkında bilgi sağlamadı; ne de alıcılarda; ve ayrıca diğer iddiaların yanı sıra uluslararası transferler hakkında bilgi vermedi.
İlk olarak Avusturya’da dosyalanmış olsa da, veri işlemenin ulusal sınırları aştığı durumlarda vaka yönetimini kolaylaştırması beklenen GDPR’nin tek durak noktası mekanizması, şikayetin Spotify’ın ana AB kuruluşunun bulunduğu İsveç’e yönlendirildiği anlamına geliyordu. (Aynı konuda Hollanda’da yapılan başka bir şikayet de İsveç’teki davaya eklendi.)
Şikayet daha sonra birkaç yıl boyunca kararsız kaldı, çünkü, noyb’a göreİsveç makamı, GDPR’nin veri denetleyicilerinin erişim taleplerine bir ay içinde yanıt vermesi gerektiğini belirtmesine rağmen, şikayetçilerin taraf olmadığı paralel bir re’sen soruşturma üstlendi.
noyb İsveç veri koruma kurumunu (IMY) bir kararın olmaması nedeniyle mahkemeye verdi. Ve geçen yıl IMY’nin şikayetçinin prosedürlerde taraf olmadığı yönündeki görüşüne başarılı bir şekilde itiraz etti ve Stockholm idare mahkemesi şikayetçilerin altı ay sonra bir karar talep etme hakkına sahip olduğuna karar verdi.
Bu dava halen (bir üst mahkeme önünde) devam ederken, geçen Kasım ayında IMY’nin şikayeti işleme koymasını ve soruşturmasını emreden idare mahkemesi kararı, DPA’yı bu arada bir karar vermeye sevk etmiş görünüyor.
noyb bugün IMY’nin Spotify’a nihayet tüm veri setini sağlamasını emrettiğini söyledi. Her ne kadar otoritenin, kararı inceleyinceye kadar istediği her şeyi yapıp yapmadığına ilişkin yargısını saklı tutsa da.
Gizlilik avukatı Stefano Rossetti yaptığı açıklamada, noyb eklendi:
İsveç makamının nihayet harekete geçtiğini görmekten memnunuz. Her kullanıcının kendisi hakkında işlediği veriler hakkında tam bilgi sahibi olması temel hakkıdır. Ancak dava 4 yıldan fazla sürdü ve bir karar almak için IMY’ye dava açmak zorunda kaldık. İsveç makamının kesinlikle prosedürlerini hızlandırması gerekiyor.
İsveç makamına sorularla ulaştık ve aşağıdaki beyanı gönderdik – Spotify’ın araştırdığı üç şikayetle ilgili bir dizi ihlal tespit ettiğini doğruladı. Ayrıca, vakayı “karmaşık ve kapsamlı” olarak nitelendirerek, yalnızca veri erişim taleplerini nasıl ele aldığına ilişkin bireysel örneklere bakmadığını, aynı zamanda genel prosedürleri de değerlendirdiğini söyledi.
İşte açıklamanın tamamı:
İsveç Gizliliği Koruma Kurumu (IMY), Spotify’ın erişim taleplerini ele alma konusundaki genel prosedürlerini araştırdı ve GDPR’nin 15.1 ah ve 15.2 maddesi uyarınca talepte bulunan kişiye sağlanması gereken bilgilerle ilgili bazı eksiklikler buldu. Spotify tarafından sağlanan teknik günlük dosyalarındaki verilerin açıklamasına. IMY, bu konuda kişilere yeterince açık bilgi vermediği için Spotify’a 58 milyon SEK idari para cezası verdi. Karar, GDPR’nin 12.1, 15.1 ad, g ve 15.2 maddelerinin ihlallerini içermektedir.
IMY’nin soruşturması aynı zamanda üç farklı şikayette neler olduğuna dair bir araştırmayı da kapsadı ve burada IMY, Spotify’ın incelenen iki şikayetle ilgili erişim taleplerini işleme koymada başarısız olduğunu tespit etti. Bu bölümdeki karar, GDPR’nin 12.1, 12.3, 15.1, 15.3 ve 15.1 ah ve 15.2 maddelerinin ihlalini içermektedir. Bu ihlallerle ilgili olarak IMY bir kınama cezası verir.
Yukarıda açıklandığı gibi, hem Spotify’ın bireysel erişim taleplerini işleme koymaya yönelik genel prosedürlerini hem de yetkili makama şikayetler aldığımız bazı bireysel durumlarda Spotify’ın nasıl davrandığını değerlendirdiğimiz karmaşık ve kapsamlı bir dava olmuştur. Spotify’ın birçok ülkede operasyonları ve kullanıcıları olduğu için, çalışma AB’deki diğer veri koruma yetkilileriyle işbirliğini de içeriyor. Bu işbirliği ve AB çapında benzer işlemlere yönelik gereksinimler, aynı zamanda, denetim sırasında denetime odaklanmayı değiştirmek zorunda kaldığımız anlamına geliyordu, bu da maalesef işlemeyi geciktirdi. GDPR ile gelen AB işbirliği bizim için nispeten yeni bir şey ve AB içinde işbirliğini düzene sokmak için devam eden çalışmalar var – ihtiyaç olduğunu gördüğümüz bir şey.
Yorum için Spotify ile de iletişime geçildi. Bir şirket sözcüsü bize bu beyanı gönderdi – itiraz etme niyetinde olduğunu doğruladı:
Spotify, tüm kullanıcılara kişisel verilerin nasıl işlendiği hakkında kapsamlı bilgiler sunar. Araştırmaları sırasında, İsveç DPA’sı, iyileştirmeye ihtiyaç duyduklarına inandıkları, sürecimizin yalnızca küçük alanlarını buldu. Ancak karara katılmıyoruz ve temyize gitmeyi planlıyoruz.
GDPR’nin Mayıs 2018’de uygulamaya girmesinden beş yıl sonra, uygulama, Avrupalıların mahremiyet haklarını korumakla görevli ulusal makamlar arasındaki yaklaşım ve süreç (ve bazen de kaynaklar) farklılıkları nedeniyle oldukça değişken sonuçların bir yamalı hali olmaya devam ediyor.
Spotify’a yapılan şikayet aslında bunlardan biriydi. noyb tarafından bir dizi stratejik şikayet yasanın uygulanmasını test etmeye çalışan müzik ve video platformlarına karşı.
noyb, test ettiği sekiz platformda (yani: Amazon, AppleMusic, DAZN, Flimmit, Netflix, Spotify, SoundCloud ve YouTube) kullanıcıların GDPR veri erişim haklarının yapısal ihlallerinin işlevsiz norm olduğunu savundu ve bunların çoğu otomatik sistemler kurmuştu. Avrupalıların yasal olarak elde etme hakkına sahip olduğu tüm bilgileri sağlamayan kullanıcıların SAR’larına yanıt vermek.
Dört yılı aşkın bir süredir, noyb’nin kullanıcıların veri erişim haklarını sistemli bir şekilde hiçe saydığı önceki anlık görüntüsünün önemli ölçüde değişip değişmediği net değil.
Spotify söz konusu olduğunda, uygulama – acı verecek kadar yavaş da olsa – iğneyi hareket ettirmiş gibi görünüyor.
noyb kurucusu ve başkanı Max Schrems, IMY kararının Spotify’a erişim taleplerine uyma emri içerdiğini doğruladı. Ayrıca, soruşturma sırasında platformun sistemini geliştirdiğini de öne sürdü. “Şimdi tam bir yanıt bekliyoruz” dedi ve ekledi: “Bu yüzden ne göndereceklerini ve yeterli olup olmadığını görmemiz gerekiyor.”
Spotify’ın IMY yaptırımı ışığında kullanıcı verilerine erişim talebine yanıt protokolünü değiştirip değiştirmediği sorulduğunda, bir Spotify sözcüsü bize şirketin “şu anda onaylayacak bir şeyi olmadığını” söyledi, ancak şunları ekledi: “Süreci her zaman değerlendiriyor ve iyileştirmeler yapıyoruz şeffaflığı artırmak için.”
Schrems ayrıca noyb’nin diğer üç şikayette hareket gördüğünü söyledi; söz konusu platformun (Flimmit) prosedür sırasında süreçlerini düzeltmesinin ardından kapatılan bir vaka dahil; Hollandalı DPA tarafından Netflix’te yayınlanmakta olan bir karar taslağı; ve DAZN’nin Avusturya’da (mahkeme huzurunda) sonuçlanmak üzere olduğu bildiriliyor.
Bunun ötesinde resim kararıyor.
Schrems’e göre, veri erişimiyle ilgili şikayetlerle hedeflenen sekiz şikayetin yarısı, şimdiye kadar ilgili DPA’lardan gelen radyo sessizliğinden başka bir şeyle sonuçlanmadı. (İrlandalı DPA, Apple ve Google’a ait YouTube’daki şikayetlerin başında gelir; Lüksemburg, Amazon’un gözetiminde başı çeker; SoundCloud ise Berlin’de bulunur – bu nedenle muhtemelen şehrin veri koruma komiseri altına girer.)
Schrems, “4,5 yıl sonra gerisi hala sessizlik” diye ekledi.
kim kimdir ne zaman nasıl nelerdir nedir ne işe yarar tüm bilgiler
dünyadan ilginç ve değişik haberler en garip haberler burada