Spotify оштрафован на 5,4 миллиона долларов за нарушение правил GDPR

Spotify, популярная платформа потоковой музыки, во вторник была оштрафована на 58 миллионов шведских крон (примерно 5,4 миллиона долларов) в Швеции за нарушение прав доступа к данным своих пользователей в Европейском Союзе.

Согласно Общему регламенту по защите данных (GDPR), вступившему в силу в 2018 году, пользователи имеют право на доступ, что означает, что они имеют право узнать, какие персональные данные обрабатывает компания в отношении данного лица, и получать информацию о том, как эти данные используются.

Однако в ходе своего аудита Шведское управление по защите конфиденциальности (IMY) признало Spotify виновным в нарушении статьи 15 GDPR. Оно обнаружило, что Spotify предоставляет персональные данные, которые компания обрабатывает, когда лица запрашивают их; однако не предоставило четкой и исчерпывающей информации о том, как данные, собранные о них, использовались компанией.

IMY подчеркнуло, что Spotify должно быть более прозрачным «в отношении того, как и для каких целей обрабатываются персональные данные отдельных лиц». Отсутствие ясности затрудняло пользователям понимание того, как их персональные данные обрабатывались, и оценку законности обработки их персональных данных.

«Шведское управление по защите конфиденциальности (IMY) провело расследование общих процедур Spotify по обработке запросов на доступ и обнаружило некоторые недостатки, связанные с информацией, которая должна быть предоставлена лицу, подающему запрос в соответствии со статьей 15.1 a-h и 15.2 GDPR, а также в отношении описания данных в технических журналах, предоставленных Spotify. IMY наложило административный штраф в размере 58 миллионов шведских крон на Spotify за недостаточно четкую информацию для отдельных лиц в этом отношении. Решение включает нарушения статей 12.1, 15.1 a-d, g и 15.2 GDPR», говорится в заявлении регулятора.

«Расследование IMY также охватывало изучение того, что произошло в трех различных жалобах, и здесь IMY обнаружило, что Spotify не справился с обработкой запросов на доступ, связанных с двумя из рассмотренных жалоб. Решение в этой части включает нарушение статей 12.1, 12.3, 15.1, 15.3 и 15.1 a-h и 15.2 GDPR. В связи с этими нарушениями IMY выносит выговор.»

Регулятор также отметил, что выявленные недостатки были признаны «низким уровнем серьезности», при этом штраф был наложен с учетом доходов Spotify и числа пользователей.

Поскольку у Spotify есть пользователи во многих странах, вышеуказанное решение было принято в сотрудничестве с другими органами по защите данных в ЕС.

Решение против Spotify было принято более чем через четыре года после того, как в начале 2019 года некоммерческая организация по защите конфиденциальности и цифровых прав noyb подала жалобу на платформу потоковой музыки.

В жалобе, поданной noyb, организация утверждала, что Spotify не предоставила пользователям все запрашиваемые персональные данные, информацию о их источниках, получателях персональных данных или деталях международных передач данных в соответствии со статьей 15 GDPR.

Первоначальная жалоба была подана в Австрии, но дело было передано в IMY, так как Spotify базировалась в Швеции. Также жалоба, связанная с той же проблемой, поданная в Нидерландах, была объединена в шведское дело. Однако дела оставались без движения в IMY в течение четырех лет.

В результате 22 июня 2022 года noyb подала иск против IMY в шведские суды из-за отсутствия решения. Наконец, после более чем четырех лет с момента первоначальной подачи дела, IMY приказало Spotify предоставить полный набор данных заявителю в соответствии со статьей 58(2)(c) GDPR.

«Мы рады видеть, что шведский орган наконец принял меры. Это основное право каждого пользователя — получать полную информацию о данных, которые обрабатываются о нем. Однако дело заняло более 4 лет, и нам пришлось судиться с IMY, чтобы получить решение. Шведский орган определенно должен ускорить свои процедуры», — сказал в заявлении Стефано Россетти, юрист по защите конфиденциальности в noyb.

Spotify отверг выводы IMY и планирует подать апелляцию в ответ на штраф по GDPR от ЕС.

«Spotify предоставляет всем пользователям исчерпывающую информацию о том, как обрабатываются персональные данные. В ходе своего расследования шведский орган по защите данных обнаружил лишь незначительные области нашего процесса, которые, по их мнению, нуждаются в улучшении. Однако мы не согласны с решением и планируем подать апелляцию», — говорится в заявлении компании.

Когда его спросили, вносит ли Spotify изменения в свой протокол ответа на запросы пользователей о доступе к данным с учетом санкций IMY, представитель Spotify сообщил, что в данный момент у компании нет ничего, что можно было бы подтвердить. Однако они упомянули, что компания постоянно пересматривает и улучшает процесс для повышения прозрачности.