Bioscopen en theaters zijn gesloten, maar de show moet doorgaan, zoals ze zeggen. En de show gaat wel door. Er is natuurlijk TV, maar ook streaming diensten zoals Netflix of Amazon
Streamingdiensten zijn slim en leuk ... en genereren veel data over welke films of liedjes je wanneer en waar consumeert. Ze leggen gebruikers echter vaak slordig uit wat er met hun gegevens gebeurt, of ze nu gefinancierd worden door reclame of door betaalde abonnementen
De Oostenrijkse Kamer van Arbeid (Kammer für Arbeiter und Angestellte, shortform Arbeiterkammer of AK) en noyb hebben de informatiepraktijken van acht streamingdiensten onderzocht in het licht van de bepalingen van de algemene verordening inzake gegevensbescherming (GDPR): Amazon Prime (muziek en video), Apple Music (muziek), DAZN (video), Flimmit (video), Netflix (video), SoundCloud (muziek), Spotify (muziek) en YouTube (video).
De GDPR verplicht aanbieders om informatie over het gebruik van persoonsgegevens en de rechten van gebruikers op het gebied van gegevensbescherming "in een precieze, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke taal" te geven.
De test toont aan: Wat er met de klantgegevens gebeurt, blijft vaak in het ongewisse. AK en noyb hebben elf eisen van de GDPR beoordeeld. De eisen en wat we verwachten staan hieronder vermeld. Alle informatie-elementen zijn over het algemeen even belangrijk.
Naam en contactgegevens van de controller
De naam en de contactgegevens van de verantwoordelijke voor de verwerking (d.w.z. het bedrijf dat de persoonsgegevens verwerkt), omvatten idealiter verschillende communicatiemethoden, zoals telefoonnummer, e-mail, postadres, enz. In het licht van het billijkheidsbeginsel van de GDPR, maar ook in het licht van artikel 5, lid 1, onder c), van de richtlijn inzake elektronische handel (2000/31/EG), verwachtten wij elektronische contactgegevens omdat de onderzochte diensten digitaal van aard zijn. Alleen het verstrekken van een postadres zou onvoldoende zijn, omdat dit in het kader van een streamingdienst onbillijk is. Wij zijn ook van mening dat een louter online contactformulier onvoldoende is. Een contactformulier is voor de ene partij een contactmethode en niet een contactgegeven. Voor een ander is het een kunstmatig middel om te voorkomen dat de gebruiker contact opneemt met de beheerder in een methode naar keuze.
Contactgegevens van de functionaris voor gegevensbescherming
De contactgegevens van de functionaris voor gegevensbescherming (DPO), indien van toepassing (niet alle verantwoordelijken voor de verwerking moeten een DPO aanwijzen). Het verstrekken van de contactgegevens van de DPO moet het voor de betrokkenen en de toezichthoudende autoriteiten gemakkelijk maken de DPO te bereiken, bijvoorbeeld via een postadres, een specifiek telefoonnummer en/of een specifiek e-mailadres. In het licht van het billijkheidsbeginsel van het GDPR verwachtten wij elektronische contactgegevens omdat de onderzochte diensten digitaal van aard zijn. Alleen het verstrekken van een postadres zou onvoldoende zijn, omdat dit in het kader van een streamingdienst oneerlijk is. Wij zijn ook van mening dat alleen een online contactformulier onvoldoende is. Een contactformulier is bijvoorbeeld een contactmethode en niet een contactgegeven. Voor een ander is het een kunstmatig middel om te voorkomen dat de gebruiker contact opneemt met de beheerder in een methode naar keuze.
Doelstellingen en rechtsgrondslag van de verwerking, waarbij elk doel wordt gekoppeld aan de respectieve rechtsgrondslag en de verwerkte categorieën van persoonsgegevens, en waarbij wordt aangegeven wat het legitieme belang is wanneer dit als rechtsgrondslag wordt ingeroepen
De doeleinden waarvoor de persoonsgegevens worden verwerkt, alsmede de relevante rechtsgrondslag op grond van artikel 6 van de verordening en, wanneer speciale categorieën gegevens worden verwerkt, een aanvullende rechtsgrondslag op grond van artikel 9 van de verordening. Wanneer de voor de verwerking verantwoordelijke zich op gerechtvaardigde belangen beroept als rechtsgrondslag voor de verwerking, dient hij de betrokkene ook te informeren over de belangen en aan te kunnen tonen dat de verwerking noodzakelijk en evenredig is. We hebben ook beoordeeld of de voor de verwerking verantwoordelijke elk doel heeft gekoppeld aan een rechtsgrondslag en aan specifieke categorieën van persoonsgegevens. Deze eis vloeit voort uit de transparantieverplichtingen van de GDPR en is de enige manier voor een gebruiker om daadwerkelijk controle uit te oefenen op de verwerkingsactiviteiten van de verantwoordelijke voor de verwerking
Ontvangers van persoonsgegevens
Ontvangers kunnen andere voor de verwerking verantwoordelijken zijn, maar ook dienstverleners. Wij verwachtten de namen van de ontvangers en de categorieën persoonsgegevens die met elk van hen worden gedeeld. Als om een of andere reden niet alle ontvangers konden worden genoemd, verwachtten wij op zijn minst dat de verantwoordelijke voor de verwerking de categorieën van ontvangers zou vermelden en zou aangeven welke activiteiten zij uitvoeren, hun bedrijfstak, sector en subsector, en waar zij zich bevinden.
Overdrachten buiten de EU/EER
In het geval van gegevensoverdrachten naar landen buiten de EU/EER moeten de landen worden genoemd en moet worden aangegeven op welke waarborgen wordt vertrouwd (bv. een besluit inzake een passend beschermingsniveau op grond van artikel 45 van het BBPR, standaardcontractbepalingen, afwijkingen, enz. Ook moet de voor de verwerking verantwoordelijke voorzien in de middelen om toegang te krijgen tot de relevante documenten of deze te verkrijgen.
Bewaartermijn
De bewaartermijnen dienen specifiek te zijn voor de betreffende categorie van persoonsgegevens, of dienen de gebruiker op zijn minst in staat te stellen de duur van de bewaring te beoordelen zoals die op hen van toepassing is. Indien een voor de verwerking verantwoordelijke verklaart dat de gegevens worden bewaard om te voldoen aan een wettelijke verplichting, verwachten wij dat hij de wettelijke verplichting specificeert.
Informatie over GDPR-rechten
Informatie over het recht van de gebruiker op toegang, rectificatie, wissen, beperking van de verwerking, bezwaar tegen de verwerking en overdraagbaarheid, alsmede het recht om de toestemming te allen tijde in te trekken en het recht om een klacht in te dienen bij een toezichthoudende instantie. Strikt genomen is het niet voldoende om alleen maar te informeren over het bestaan van die rechten, de voor de verwerking verantwoordelijke moet uitleggen wat die rechten inhouden en hoe die kunnen worden uitgeoefend. Ook moet het recht om een klacht in te dienen uitleggen dat een klacht kan worden ingediend bij de toezichthoudende autoriteit in een lidstaat waar hij of zij zijn of haar gewone verblijfplaats heeft, waar hij of zij werkt of waar een vermeende inbreuk op de BNPR wordt gepleegd
Bestaan van geautomatiseerde besluitvorming met inbegrip van profilering
Een duidelijke en duidelijke uitleg over hoe de profilering of het geautomatiseerde besluitvormingsproces werkt. Daarnaast dient de verantwoordelijke voor de verwerking te informeren over het belang en de beoogde gevolgen van een dergelijke verwerking voor de betrokkene.
Apple en YouTube waren allemaal "slechts gedeeltelijk" of "niet bevredigend". Flimmit en SoundCloud scoorden het beste, gevolgd door Spotify. Van de 85 individuele evaluaties waren er 23 "bevredigend", 40 "slechts gedeeltelijk bevredigend" en 22 "niet bevredigend".
In het algemeen was de informatie vaak onduidelijk of gewoonweg niet gegeven. Zo werd bijvoorbeeld gesteld dat de bewaartermijnen "zo lang als nodig" zijn en dat "gegevens aan derden mogen worden doorgegeven". Dergelijke holle frasen geven geen concrete informatie over wat er daadwerkelijk met de verwerkte persoonsgegevens gebeurt
Wat betreft de overdracht van persoonsgegevens aan ontvangers zijn veel gebruikers nieuwsgierig, alleen Flimmit gaf aan welke persoonsgegevens naar welke categorie ontvangers worden overgedragen en voor welk doel - hoewel ook hier de specifieke ontvangers meestal ontbraken
Een ander punt van kritiek is dat er vaak weinig informatie is over de manier waarop aanbiedingen door middel van individuele aanbevelingen worden gepersonaliseerd. Alleen SoundCloud heeft aangegeven welke gegevenscategorieën worden gebruikt voor deze vorm van personalisatie. Een lichtpuntje was echter dat alle diensten, met uitzondering van Apple, duidelijke informatie gaven dat de consument een eventueel verleende toestemming kan intrekken.
Samenvattend: de diensten voldoen meestal niet aan een van de meest elementaire eisen van de BBPR, namelijk dat de gebruikers worden geïnformeerd over wat er met hun gegevens gebeurt.
Ongeveer 92 procent van de Oostenrijkers maakt gebruik van streamingdiensten op het net - gemiddeld iets minder dan een half uur per dag, jongeren al ongeveer anderhalf uur per dag (statista.com 2018). Deze cijfers zijn waarschijnlijk zeer vergelijkbaar in andere lidstaten. Netflix en Amazon Prime hebben elk ruim 150 miljoen klanten wereldwijd. Elke interactie met de dienst kan worden geregistreerd en geanalyseerd om inzicht te krijgen in de gebruiker. Zou bijvoorbeeld een plotselinge voorkeur voor melancholische muziek kunnen duiden op een scheiding?
Lees het volledige verslag in het Duits hier
Voor meer informatie van de Oostenrijkse Kamer van Koophandel (AK), klik hier
De vereniging zonder winstoogmerk noyb zet zich in voor de wettelijke handhaving van de Europese wetgeving inzake gegevensbescherming. Meer dan 3200 ondersteunende leden maken het werk van noyb mogelijk. Tot nu toe heeft de NGO al meer dan 25 procedures aangespannen voor talrijke opzettelijke schendingen van de gegevensbeschermingswetten - tegen bedrijven zoals Google, Apple, Facebook en Amazon.
Voor meer informatie en vragen van de media
Per e-mail media@noyb.eu
Per telefoon: +43 660 2678622