İsveç Veri Koruma Kurumu, Spotify’ın Genel Veri Koruma Yönetmeliği’nde (GDPR) yer alan erişim hakkına gerektiği gibi uymadığına dair bir şikayetin ardından dört yıldan fazla bir süre karar verdi. Integritetsskyddsmyndigheten (IMY) Salı günü yayınlanan kararda, İsveç merkezli yayın hizmetinin talep üzerine işlediği kişisel verileri ilke olarak yayınladı. Ancak şirket, başvuru sahiplerini bu bilgilerin şirket içinde nasıl kullanıldığı konusunda yeterince açık bir şekilde bilgilendirmedi. IMY daha sonra yaklaşık 5 milyon avroya eşdeğer 58 milyon SEK para cezası verdi.
Avukat Max Schrems tarafından yönetilen Avusturya veri koruma derneği Noyb başladı. 18 Ocak 2019’da kuruluş, çeşitli akış hizmeti sağlayıcılarına karşı bir dizi GDPR tabanlı şikayette bulundu. Bunlardan biri Spotify ile ilgiliydi. Davadan sonra uzun süre hiçbir şey olmadı. Haziran 2022’de Noyb, İsveç mahkemelerinde IMY’ye haksız yere ölüm davası açtı. Veri koruma aktivistleri birkaç davada haklı çıktılar, ancak konu hala İsveç Yüksek İdari Mahkemesi önünde derdest durumda. Ancak IMY artık Spotify’ın ifşa uygulamasına ilişkin kararını verdi.
Tüm veriler hakkında bilgi yok
Noyb, müzik hizmetini kişisel verilerin kaynağı ve alıcıları veya uluslararası aktarımların ayrıntıları hakkında kapsamlı bilgi sağlamamakla suçladı. Ayrıca Spotify, ilgili kişilere eksiksiz bir pakete nasıl erişebileceklerini açıklamadan yalnızca belirli bir veri seçimi hakkında bilgi verdi. IMY şimdi sağlanan bilgilerin “daha spesifik” olması gerektiğini vurguluyor. Verilerine erişim talep eden kişinin, şirketin bu bilgileri nasıl kullandığını anlaması kolay olmalıdır. Ayrıca, örneğin teknik niteliği nedeniyle anlaşılması zor olan kişisel veriler, yalnızca İngilizce olarak değil, mümkünse başvuru sahibinin ana dilinde de açıklanmalıdır.
Spotify ile erişim haklarını kullanan müşteriler, kişisel verilerine erişmek istedikleri farklı seviyeleri seçebilirler. Bir düzey, operatörün en ilginç bulduğu bilgileri içerir. Buna müşteri iletişim ve ödeme bilgileri, belirli sanatçılar için tercihler ve belirli bir süre için oynatma listesi dahildir. Kullanıcı, günlük dosyaları gibi daha ayrıntılı bilgiler istiyorsa, farklı bir sorgu düzeyine geçmeleri gerekir. Veri koruma otoritesine göre, bu bölünmenin önünde hiçbir engel yok. İlgilenen bir müşterinin ayrıntılarla hemen boğulmaması da yararlı olabilir. Ancak ilke olarak, tüm veri seti kurtarılabilir olmalıdır.
IMY’ye göre Spotify, bireyin erişim hakkı gereksinimlerini tam olarak karşılamak için şimdi birkaç adım attı. Bulunan kusurlar bile ciddi değildi. Para cezası belirlenirken bu durum dikkate alınmıştır. Spotify’ın birçok ülkede kullanıcısı olduğu için karar, AB’deki diğer veri koruma yetkilileriyle işbirliği içinde alındı. Noyb, öncelikle kararla etkilenenlerin haklarının tam olarak uygulanıp uygulanamayacağını ayrıntılı olarak incelemek istiyor. Aktivistler şimdiden emin: “İsveç makamları prosedürlerini kesinlikle hızlandırmalı”.
(aks)
Haberin Sonu
Avukat Max Schrems tarafından yönetilen Avusturya veri koruma derneği Noyb başladı. 18 Ocak 2019’da kuruluş, çeşitli akış hizmeti sağlayıcılarına karşı bir dizi GDPR tabanlı şikayette bulundu. Bunlardan biri Spotify ile ilgiliydi. Davadan sonra uzun süre hiçbir şey olmadı. Haziran 2022’de Noyb, İsveç mahkemelerinde IMY’ye haksız yere ölüm davası açtı. Veri koruma aktivistleri birkaç davada haklı çıktılar, ancak konu hala İsveç Yüksek İdari Mahkemesi önünde derdest durumda. Ancak IMY artık Spotify’ın ifşa uygulamasına ilişkin kararını verdi.
Tüm veriler hakkında bilgi yok
Noyb, müzik hizmetini kişisel verilerin kaynağı ve alıcıları veya uluslararası aktarımların ayrıntıları hakkında kapsamlı bilgi sağlamamakla suçladı. Ayrıca Spotify, ilgili kişilere eksiksiz bir pakete nasıl erişebileceklerini açıklamadan yalnızca belirli bir veri seçimi hakkında bilgi verdi. IMY şimdi sağlanan bilgilerin “daha spesifik” olması gerektiğini vurguluyor. Verilerine erişim talep eden kişinin, şirketin bu bilgileri nasıl kullandığını anlaması kolay olmalıdır. Ayrıca, örneğin teknik niteliği nedeniyle anlaşılması zor olan kişisel veriler, yalnızca İngilizce olarak değil, mümkünse başvuru sahibinin ana dilinde de açıklanmalıdır.
Spotify ile erişim haklarını kullanan müşteriler, kişisel verilerine erişmek istedikleri farklı seviyeleri seçebilirler. Bir düzey, operatörün en ilginç bulduğu bilgileri içerir. Buna müşteri iletişim ve ödeme bilgileri, belirli sanatçılar için tercihler ve belirli bir süre için oynatma listesi dahildir. Kullanıcı, günlük dosyaları gibi daha ayrıntılı bilgiler istiyorsa, farklı bir sorgu düzeyine geçmeleri gerekir. Veri koruma otoritesine göre, bu bölünmenin önünde hiçbir engel yok. İlgilenen bir müşterinin ayrıntılarla hemen boğulmaması da yararlı olabilir. Ancak ilke olarak, tüm veri seti kurtarılabilir olmalıdır.
IMY’ye göre Spotify, bireyin erişim hakkı gereksinimlerini tam olarak karşılamak için şimdi birkaç adım attı. Bulunan kusurlar bile ciddi değildi. Para cezası belirlenirken bu durum dikkate alınmıştır. Spotify’ın birçok ülkede kullanıcısı olduğu için karar, AB’deki diğer veri koruma yetkilileriyle işbirliği içinde alındı. Noyb, öncelikle kararla etkilenenlerin haklarının tam olarak uygulanıp uygulanamayacağını ayrıntılı olarak incelemek istiyor. Aktivistler şimdiden emin: “İsveç makamları prosedürlerini kesinlikle hızlandırmalı”.
(aks)
Haberin Sonu