Шведское управление по защите конфиденциальности обнаружило недостатки в исполнении Spotify прав клиентов на доступ к личным данным и оштрафовало стриминговый сервис на $5,4 млн.
Общий регламент по защите данных данных ЕС (GDPR) вступил в силу в 2018 году. Он предоставляет отдельным лицам право знать, какие персональные данные о них обрабатывают и используют компании.
Управление провело аудит того, как Spotify исполняет порядок этого положения. Регулятор пришёл к выводу, что компания раскрывает сведения об обработке данных при запросе отдельных лиц, однако сервис недостаточно чётко информирует о том, как он использует эту информацию.
Сведения о том, для каких целей Spotify обрабатывает персональные данные физических лиц, должны быть более конкретными. Запрашивающие доступ лица должны легко понимать, как компания использует эту информацию. Сложные для понимания данные должны сопровождаться объяснениями, в том числе на родном языке пользователя, заявила юрисконсульт Карин Экстрем, которая руководила надзором.
Пользователи Spotify получают доступ к личным сведениям, разделённым на разные слои. Первый уровень содержит контактные данные, платёжные реквизиты, музыкальные предпочтения и история прослушиваний за определённое время. Файлы технических журналов клиентов находится на другом уровне, доступ к которым также можно запросить.
Предоставленная Spotify информация была недостаточно ясной, поэтому пользователям трудно понять, как обрабатываются их личные данные, чтобы проверить законность работы с этими сведениями.
Регулятор отметил, что Spotify предпринял ряд мер для соблюдения требований в отношении прав отдельных лиц на доступ. Обнаруженные недостатки в управлении сочли не очень серьёзными, однако на компанию наложили штраф за предоставление недостаточно чёткой информации физическим лицам. Такое решение шведский регулятор принял в сотрудничестве с другими органами по защите данные в ЕС.
Источник новости: habr.com
