스포티파이, GDPR 규칙 위반으로 540만 달러 벌금 부과

스포티파이, 인기 음악 스트리밍 플랫폼이 화요일 스웨덴에서 유럽 연합의 사용자 데이터 접근 권리를 위반한 혐의로 5,800만 스웨덴 크로나(약 540만 달러)의 행정 벌금을 부과받았습니다.

2018년에 발효된 일반 데이터 보호 규정(GDPR)에 따르면, 사용자는 접근할 권리가 있으며, 이는 개인이 해당 기업이 처리하는 개인 데이터에 대해 알 권리가 있고, 이 데이터가 어떻게 사용되는지에 대한 정보를 받을 권리가 있음을 의미합니다.

그러나 스웨덴 개인정보 보호청(IMY)의 감사에서 스포티파이가 유럽 GDPR의 제15조를 위반한 것으로 확인되었습니다. IMY는 스포티파이가 개인이 요청할 때 회사가 처리하는 개인 데이터를 공개하지만, 회사가 수집한 데이터가 어떻게 사용되는지에 대한 명확하고 포괄적인 정보를 제공하지 않았다고 밝혔습니다.

IMY는 스포티파이가 “개인의 개인 데이터가 어떻게 그리고 어떤 목적으로 처리되는지에 대해 더 투명해야 한다”고 강조했습니다. 명확성이 부족하여 사용자가 자신의 개인 데이터가 어떻게 처리되는지 이해하고, 개인 데이터 처리의 적법성을 평가하는 데 어려움이 있었습니다.

“스웨덴 개인정보 보호청(IMY)은 스포티파이의 접근 요청 처리 절차를 조사하였고, GDPR 제15조 1항 a-h 및 15.2에 따라 요청하는 개인에게 제공해야 하는 정보와 관련하여 몇 가지 결함을 발견했습니다. IMY는 이와 관련하여 개인에게 충분히 명확한 정보를 제공하지 않은 스포티파이에 대해 5,800만 스웨덴 크로나의 행정 벌금을 부과했습니다. 이 결정은 GDPR 제12.1, 15.1 a-d, g 및 15.2의 위반을 포함합니다,”라고 규제 당국은 성명에서 밝혔습니다.

“IMY의 조사는 세 가지 다른 불만 사항에 대한 조사를 포함하였으며, 여기서 IMY는 스포티파이가 조사된 두 개의 불만 사항과 관련된 접근 요청 처리에서 실패했다고 발견했습니다. 이 부분의 결정은 GDPR 제12.1, 12.3, 15.1, 15.3 및 15.1 a-h 및 15.2의 위반을 포함합니다. 이러한 위반과 관련하여 IMY는 경고를 발부합니다.”

규제 당국은 또한 확인된 결함이 “낮은 수준의 심각성”으로 간주되며, 부과된 벌금은 스포티파이의 수익과 사용자 수를 고려하여 결정되었다고 밝혔습니다.

스포티파이는 여러 국가에 사용자가 있기 때문에, 위의 결정은 EU의 다른 데이터 보호 당국과 협력하여 이루어졌습니다.

스포티파이에 대한 판결은 2019년 초 비영리 개인정보 및 디지털 권리 단체인 noyb가 음악 스트리밍 플랫폼에 대한 불만을 제기한 지 4년이 넘은 후에 내려졌습니다.

noyb가 제출한 불만에서 이 단체는 스포티파이가 요청된 모든 개인 데이터, 데이터의 출처, 수신자 또는 GDPR 제15조에 따른 국제 데이터 전송에 대한 세부 정보를 사용자에게 제공하지 않았다고 주장했습니다.

원래의 불만은 오스트리아에서 제기되었지만, 스포티파이가 스웨덴에 본사를 두고 있기 때문에 사건은 IMY로 이관되었습니다. 또한, 같은 문제와 관련된 네덜란드에서 제기된 불만도 스웨덴 사건에 통합되었습니다. 그러나 사건은 IMY에서 4년 동안 지연되었습니다.

결과적으로 2022년 6월 22일, noyb는 IMY에 대해 스웨덴 법원에 소송을 제기했습니다. 결국, 사건이 처음 제기된 지 4년이 넘은 후, IMY는 스포티파이에 대해 GDPR 제58(2)(c)에 따라 불만인에게 전체 데이터 세트를 제공하라고 명령했습니다.

“스웨덴 당국이 마침내 조치를 취한 것을 기쁘게 생각합니다. 모든 사용자가 자신에 대해 처리되는 데이터에 대한 전체 정보를 받을 권리는 기본적인 권리입니다. 그러나 이 사건은 4년 이상 걸렸고, 우리는 IMY에 대한 소송을 통해 결정을 얻어야 했습니다. 스웨덴 당국은 절차를 더 신속하게 진행해야 합니다,”라고 noyb의 개인정보 변호사인 스테파노 로세티가 성명에서 밝혔습니다.

스포티파이는 IMY의 결과를 거부하고 EU의 GDPR 벌금에 대한 항소를 제기할 계획입니다.

“스포티파이는 모든 사용자에게 개인 데이터가 처리되는 방법에 대한 포괄적인 정보를 제공합니다. 스웨덴 DPA는 조사 중에 개선이 필요하다고 생각되는 우리의 프로세스의 일부만을 발견했습니다. 그러나 우리는 이 결정에 동의하지 않으며 항소할 계획입니다,”라고 회사는 성명에서 밝혔습니다.

스포티파이가 IMY의 제재를 고려하여 사용자 데이터 접근 요청에 대한 응답 프로토콜을 변경하고 있는지에 대한 질문에 대해 스포티파이 대변인은 현재 확인할 사항이 없다고 전했습니다. 그러나 그들은 회사가 투명성을 높이기 위해 프로세스를 지속적으로 검토하고 개선하고 있다고 언급했습니다.