تغريم Spotify في السويد بسبب شكوى الوصول إلى بيانات القانون العام لحماية البيانات (GDPR)
تواجه شركة Spotify العملاقة لتدفق الموسيقى غرامة تبلغ حوالي 5 ملايين يورو (5.4 مليون دولار) في السويد بعد سنوات من اتهامها بانتهاك حقوق الوصول إلى البيانات للمستخدمين في الاتحاد الأوروبي من خلال عدم تقديم معلومات كاملة حول البيانات الشخصية التي تعالجها استجابةً للأفراد. الطلبات.
في حين أن حجم الغرامة من غير المرجح أن يحتل العديد من العناوين الرئيسية ، فإن حقيقة حدوثها أخيرًا جديرة بالملاحظة كدليل إضافي على أن المستخدمين الأوروبيين الجبليين يجب عليهم الصعود للحصول على حقوق حماية البيانات الخاصة بهم.
يأتي اكتشاف انتهاك المادة 15 من اللائحة العامة لحماية البيانات (GDPR) بعد أكثر من أربع سنوات من تقديم شكوى ضد Spotify من قِبل حقوق الخصوصية غير الهادفة للربح ، noyb. الشكوى ، التي تم تقديمها في بداية عام 2019 ، زعمت أن Spotify أخفقت في تقديم تفاصيل كافية ردًا على طلب الوصول إلى الموضوع الخاص بصاحب الشكوى (SAR).
جادلت الشكوى بأن منصة بث الموسيقى فشلت في تقديم جميع البيانات الشخصية المطلوبة ؛ لم تقدم معلومات عن أغراض المعالجة ؛ ولا على المتلقين كما أنها لم تقدم معلومات عن عمليات النقل الدولية ، من بين مزاعم أخرى.
في حين تم تقديمه في الأصل في النمسا ، فإن آلية النافذة الواحدة للائحة العامة لحماية البيانات (GDPR) ، والتي من المفترض أن تبسط التعامل مع الحالات حيث تعبر معالجة البيانات الحدود الوطنية ، عنت أن الشكوى قد تم توجيهها إلى السويد حيث يوجد في Spotify مؤسستها الرئيسية في الاتحاد الأوروبي. (تم ضم شكوى أخرى حول نفس القضية تم تقديمها في هولندا إلى القضية في السويد).
ثم ظلت الشكوى بلا حسم لعدة سنوات ، حيث أجرت السلطة السويدية ، وفقًا لنويب ، تحقيقًا موازيًا بحكم المنصب لم يكن المشتكون طرفًا فيه – على الرغم من أن اللائحة العامة لحماية البيانات تنص على أن مراقبي البيانات يجب أن يستجيبوا لطلبات الوصول في غضون شهر.
انتهى الأمر بمقاضاة noyb هيئة حماية البيانات السويدية (IMY) أمام المحكمة بسبب عدم وجود قرار. وفي العام الماضي طعنت بنجاح في موقف IMY بأن المشتكي ليس طرفًا في الإجراءات ، حيث رأت محكمة ستوكهولم الإدارية أن للمشتكين الحق في طلب قرار بعد ستة أشهر.
بينما لا يزال هذا التقاضي جاريًا (أمام محكمة أعلى) ، يبدو أن قرار المحكمة الإدارية في نوفمبر الماضي الذي يأمر IMY بمعالجة الشكوى والتحقيق فيها قد نقل إدارة الشؤون السياسية لإصدار قرار في هذه الأثناء.
قال noyb اليوم أن IMY أمرت Spotify بتقديم مجموعة كاملة من البيانات أخيرًا. على الرغم من أنها تحتفظ بالحكم على ما إذا كانت السلطة قد فعلت كل ما طلبته حتى تتمكن من فحص القرار.
في بيان ، قال ستيفانو روسيتي ، محامي الخصوصية في تمت إضافة noyb:
يسعدنا أن نرى أن السلطات السويدية قد اتخذت إجراءً أخيرًا. من الحقوق الأساسية لكل مستخدم الحصول على معلومات كاملة عن البيانات التي قام بمعالجتها عنهم. ومع ذلك ، استغرقت القضية أكثر من 4 سنوات واضطررنا إلى رفع دعوى قضائية ضد IMY لاتخاذ قرار. يجب على السلطة السويدية بالتأكيد تسريع إجراءاتها.
لقد تواصلنا مع السلطة السويدية بأسئلة وأرسلنا البيان أدناه – مؤكدين أنها حددت عددًا من الانتهاكات من قبل Spotify فيما يتعلق بثلاث شكاوى حققت فيها. ووصفت أيضًا الحالة بأنها “معقدة وشاملة” ، قائلة إنها لم تنظر فقط في الحالات الفردية لكيفية تعاملها مع طلبات الوصول إلى البيانات ، بل قامت أيضًا بتقييم الإجراءات العامة.
هذا هو البيان بالكامل:
قامت الهيئة السويدية لحماية الخصوصية (IMY) بالتحقيق في إجراءات Spotify العامة للتعامل مع طلبات الوصول ووجدت بعض أوجه القصور المتعلقة بالمعلومات التي يجب تقديمها للفرد الذي قدم الطلب وفقًا للمادة 15.1 ah و 15.2 من اللائحة العامة لحماية البيانات (GDPR) وفيما يتعلق بذلك. إلى وصف البيانات في ملفات السجل الفنية المقدمة من Spotify. أصدرت IMY غرامة إدارية قدرها 58 مليون كرونة سويدية ضد Spotify لعدم تقديم معلومات واضحة بما فيه الكفاية للأفراد في هذا الصدد. يتضمن القرار انتهاكات للمواد 12.1 و 15.1 إعلان و 15.2 من القانون العام لحماية البيانات (GDPR).
شمل تحقيق IMYs أيضًا تحقيقًا في ما حدث في ثلاث شكاوى مختلفة وهنا وجدت IMY أن Spotify قد فشلت في التعامل مع طلبات الوصول المتعلقة باثنين من الشكاوى التي تم فحصها. يتضمن القرار في هذا الجزء انتهاكًا للمواد 12.1 و 12.3 و 15.1 و 15.3 و 15.1 آه و 15.2 من اللائحة العامة لحماية البيانات. فيما يتعلق بهذه الانتهاكات يصدر IMY توبيخًا.
كانت القضية معقدة وشاملة حيث قمنا ، كما هو موضح أعلاه ، بتقييم الإجراءات العامة لـ Spotify للتعامل مع طلبات الوصول الفردية ، وكذلك كيفية تصرف Spotify في عدد من المواقف الفردية حيث تلقينا شكاوى إلى السلطة. نظرًا لأن Spotify لديها عمليات ومستخدمون في العديد من البلدان ، فقد شمل العمل أيضًا التعاون مع هيئات حماية البيانات الأخرى في الاتحاد الأوروبي. هذا التعاون ، ومتطلبات التعامل المماثل في جميع أنحاء الاتحاد الأوروبي ، يعني أيضًا أنه ، خلال فترة الإشراف ، كان علينا تغيير التركيز على الإشراف ، والذي أدى للأسف إلى تأخير المعالجة. يعد تعاون الاتحاد الأوروبي ، الذي جاء مع اللائحة العامة لحماية البيانات ، شيئًا جديدًا نسبيًا بالنسبة لنا وهناك عمل مستمر داخل الاتحاد الأوروبي لتبسيط التعاون – وهو أمر نرى أن هناك حاجة إليه.
كما تم الاتصال بـ Spotify للتعليق. أرسل لنا متحدث باسم الشركة هذا البيان – مؤكداً أنها تنوي الاستئناف:
يقدم Spotify لجميع المستخدمين معلومات شاملة حول كيفية معالجة البيانات الشخصية. أثناء التحقيق ، وجدت إدارة الشؤون السياسية السويدية مجالات ثانوية فقط في عمليتنا يعتقدون أنها بحاجة إلى تحسين. ومع ذلك ، لا نتفق مع القرار ونخطط لتقديم استئناف.
بعد خمس سنوات + بعد تطبيق اللائحة العامة لحماية البيانات (GDPR) ، في مايو 2018 ، لا يزال الإنفاذ عبارة عن خليط من النتائج المتغيرة للغاية بسبب الاختلافات في النهج والعملية (وأحيانًا الموارد أيضًا) عبر السلطات الوطنية المكلفة بدعم حقوق الخصوصية للأوروبيين.
كانت الشكوى ضد Spotify في الواقع واحدة من سلسلة من الشكاوى الإستراتيجية من قبل noyb ضد منصات الموسيقى والفيديو التي سعت إلى اختبار تطبيق القانون.
جادل نويب بأن الانتهاكات الهيكلية لحقوق الوصول إلى بيانات القانون العام لحماية البيانات للمستخدمين كانت هي المعيار المختل عبر الأنظمة الأساسية الثمانية التي اختبرتها – وهي: Amazon و AppleMusic و DAZN و Flimmit و Netflix و Spotify و SoundCloud و YouTube – والتي وجدت أن العديد منها قد أنشأ أنظمة مؤتمتة للرد على تقارير المستخدمين التي لم تقدم جميع المعلومات التي يحق للأوروبيين الحصول عليها.
بعد مرور أكثر من أربع سنوات ، ليس من الواضح ما إذا كانت لقطة Noyb السابقة للاستهزاء المنهجي بحقوق الوصول إلى البيانات للمستخدمين قد تغيرت بشكل كبير أم لا.
في حالة Spotify ، يحدث الإنفاذ بالفعل – وإن كان بطيئًا بشكل مؤلم – يبدو أنه حرك الإبرة.
أكد مؤسس ورئيس مجلس إدارة noyb ، Max Schrems ، أن قرار IMY يحتوي على أمر لـ Spotify للامتثال لطلبات الوصول. كما أشار إلى أن المنصة قامت بتحسين نظامها أثناء التحقيق. وقال: “نتوقع ردًا كاملاً الآن” ، مضيفًا: “لذلك نحن بحاجة لمعرفة ما سيرسلونه وما إذا كان ذلك كافيًا.”
عندما سُئلت عما إذا كانت Spotify تعدل بروتوكول الاستجابة لطلب الوصول إلى بيانات المستخدم في ضوء عقوبة IMY ، أخبرتنا متحدثة باسم Spotify أن الشركة “ليس لديها ما تؤكده في الوقت الحالي” ، لكنها أضافت: “نحن دائمًا نفكر في إجراء تحسينات على العملية” لتحسين الشفافية “.
أخبرنا شريمس أيضًا أن نويب رأى تحركًا بشأن ثلاث من الشكاوى الأخرى ؛ بما في ذلك قضية تم إغلاقها بعد أن قامت المنصة المعنية (Flimmit) بإصلاح عملياتها أثناء الإجراء ؛ مشروع قرار صادر عن DPA الهولندية على Netflix ؛ و DAZN على وشك الانتهاء في النمسا (أمام المحكمة).
أبعد من أن الصورة مظلمة.
بير شريمس ، لم ينتج عن نصف الشكاوى الثمانية التي استهدفت شكاوى حول الوصول إلى البيانات سوى صمت الراديو من هيئات حماية البيانات ذات الصلة حتى الآن. (سيكون DPA الأيرلندي هو الرائد في تقديم الشكاوى على موقع YouTube المملوك لشركة Apple و Google ؛ وتتولى لوكسمبورغ الإشراف على Amazon ؛ بينما يقع مقر SoundCloud في برلين – ومن المحتمل أن يكون ذلك تحت إشراف مفوض حماية البيانات في المدينة).
وأضاف شريمس: “البقية لا تزال صامتة – بعد 4.5 سنوات”.
