logo-print

Επίπληξη στη Spotify για τη μη ικανοποίηση αιτημάτων χρήστη από τη σουηδική αρχή προστασίας δεδομένων

09/03/2022

09/03/2022

Δίκαιο πληροφορικής - E έκδοση
Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Η Σουηδική Αρχή Προστασίας Δεδομένων IMY δημοσίευσε απόφασή της επί υπόθεσης καταγγελίας χρήστη της δημοφιλούς σουηδικής πλατφόρμας Spotify για τη μη ικανοποίηση των δικαιωμάτων πρόσβασης και διόρθωσης του Γενικού Κανονισμού Προστασίας Δεδομένων.

Η καταγγελία είχε υποβληθεί στη Γερμανία και διαβιβάστηκε στην IMY, μέσω του μηχανισμού μιας στάσης, υπό την ιδιότητά της ως επικεφαλής εποπτικής αρχής.

Η καταγγέλλουσα ζήτησε από τη Spotify την αλλαγή της διεύθυνσης κατοικίας, που είχε δηλώσει στον λογαριασμό της (Family Account) και έλαβε αρνητική απάντηση. Σύμφωνα με την απάντηση που έλαβε από το τμήμα εξυπηρέτησης πελατών, η αλλαγή διευθύνσεων των λογαριασμών δεν είναι δυνατή, ενώ η ενδεικνυόμενη λύση θα ήταν η διαγραφή του υπάρχοντος λογαριασμού και η δημιουργία ενός νέου.

Η καταγγέλλουσα άσκησε δικαίωμα διόρθωσης προσωπικών δεδομένων, βάσει του άρθρου 16 ΓΚΠΔ, αλλά και δικαίωμα πρόσβασης. Κανένα από τα αιτήματά της δεν ικανοποιήθηκε, για το λόγο αυτό απευθύνθηκε στην εποπτική αρχή του τόπου κατοικίας της.

Η Spotify, κληθείσα από τη Σουηδική Αρχή, ισχυρίστηκε ότι:

α) ως προς το αίτημα διόρθωσης

Η εταιρεία έλαβε το αίτημα της καταγγέλλουσας για επικαιροποίηση της διεύθυνσης κατοικίας της και της απάντησε την επόμενη ημέρα. Σύμφωνα με την απάντηση, η επικαιροποίηση αυτή δεν ήταν τεχνικά δυνατή, το πρόβλημα όμως θα μπορούσε να λυθεί με τη δημιουργία ενός νέου λογαριασμού με τη σωστή διεύθυνση. Η εταιρεία θα αναλάμβανε να δημιουργήσει τον λογαριασμό αυτό δωρεάν και να μεταφέρει όλο το περιεχόμενο του προϋπάρχοντος (playlists, ακόλουθοι, πληροφορίες λογαριασμού) σε αυτόν. Η πρότασή της αυτή δεν έγινε αποδεκτή.

Έκτοτε, η Spotify δημιούργησε μια νέα έκδοση των Οικογενειακών Λογαριασμών, επιτρέποντας πλέον στους χρήστες την αλλαγή της διεύθυνσής τους. Η νέα έκδοση αυτή τέθηκε σε εφαρμογή στις 18 Σεπτεμβρίου 2019, ενώ η καταγγέλλουσα διόρθωσε τη διεύθυνσή της στις 17 Οκτωβρίου του ίδιου έτους.

Ως προς την υποχρέωση του άρθρου 12 παρ.2 ΓΚΠΔ για τη διευκόλυνση της άσκησης των δικαιωμάτων των υποκειμένων, η εταιρεία ισχυρίστηκε πως έκανε ό,τι ήταν αναγκαίο για την ικανοποίηση του αιτήματος, ήδη από την 26η Δεκεμβρίου 2018, αφού εξήγησε στην καταγγέλλουσα πως η επικαιροποίηση δεν ήταν τεχνικά δυνατή, ενώ παράλληλα πρότεινε και εναλλακτική λύση.

β) ως προς το δικαίωμα πρόσβασης

Η Spotify έλαβε το αίτημα πρόσβασης στις 26 Δεκεμβρίου 2018. Το τμήμα εξυπηρέτησης πελατών απάντησε την ίδια ημέρα, παραπέμποντας την καταγγέλλουσα στο Privacy Centre της εταιρείας. Το Privacy Centre είναι μια online υπηρεσία, που παρέχει γενικές πληροφορίες για την επεξεργασία προσωπικών δεδομένων των χρηστών, αλλά και για τον τρόπο άσκησης των δικαιωμάτων τους, μέσω υπερσυνδέσμου στο εργαλείο «Κατεβάστε αντίγραφο των δεδομένων σας». Παρόλα αυτά, η καταγγέλλουσα δεν έκανε χρήση του εργαλείου αυτού, ούτε και υπέβαλε νέο αίτημα πρόσβασης.

Περαιτέρω, η εταιρεία παραδέχθηκε πως η απλή παραπομπή στο Privacy Centre δεν ήταν σύμφωνη με τις διαδικασίες που έχει θεσπίσει και υιοθετήσει, σύμφωνα με τις οποίες, ο εκπρόσωπός της έπρεπε να έχει απαντήσει επί του αιτήματος, αντί να παραπέμψει σε μια Πολιτική. Η αμέλεια αυτή αποδόθηκε στο ότι το αρμόδιο τμήμα εξυπηρέτησης πελατών ήταν απασχολημένο με την απάντηση στο αίτημα διόρθωσης και δεν αντελήφθη πως είχε υποβληθεί και αίτημα πρόσβασης. Εν τέλει, η Spotify επικοινώνησε με την καταγγέλλουσα στις 3 Ιουνίου 2021, ενημερώνοντάς την πως τα προσωπικά της δεδομένα ήταν διαθέσιμα για κατέβασμα.

​Η απόφαση της Σουηδικής Αρχής

Η IMY έκρινε πως η Spotify παραβίασε σειρά υποχρεώσεών της για την ικανοποίηση αιτημάτων των υποκειμένων. Ειδικότερα,

α) Η Spotify δεν χειρίστηκε το αίτημα πρόσβασης, με τον τρόπο που απαιτεί ο Γενικός Κανονισμός. Η παραπομπή σε μια online υπηρεσία δεν είναι επαρκής ως απάντηση, ενώ το γεγονός πως η ίδια η εταιρεία επικοινώνησε εκ νέου τον Ιούνιο του 2021 για να χορηγήσει τα δεδομένα υποδεικνύει πως το αίτημα ικανοποιήθηκε με καθυστέρηση. Κατά τούτο, η εταιρεία παραβίασε τα άρθρα 12 παρ.3 και 15 ΓΚΠΔ.

β) Η Spotify δεν χειρίστηκε το αίτημα διόρθωσης χωρίς καθυστέρηση και δεν διευκόλυνε την άσκηση του δικαιώματος της καταγγέλλουσας.

Όταν η καταγγέλλουσα ζήτησε την αλλαγή της διεύθυνσης κατοικίας της, στις 25 Δεκεμβρίου 2018, η εταιρεία δεν είναι τεχνικό τρόπο επίλυσης του ζητήματος, παρά μόνο με τη δημιουργία νέου λογαριασμού. Ωστόσο, η λύση που προσφέρθηκε, ήτοι η δημιουργία νέου λογαριασμού και η μεταφορά των σχετικών πληροφοριών, δεν ήταν επαρκής ώστε να θεωρηθεί ως ικανοποίηση του δικαιώματος διόρθωσης ή διευκόλυνση στην άσκηση αυτού. Επισημαίνεται ότι η διόρθωση αυτή, η οποία κατέστη δυνατή μετά την νέα έκδοση της εφαρμογής, έγινε εν τέλει από την ίδια την καταγγέλλουσα. Για τους λόγους αυτούς, η Spotify παραβίασε τα άρθρα 12 παρ.2 και 16 ΓΚΠΔ.

Με βάση τα ανωτέρω και λαμβάνοντας υπόψιν αφενός το μέγεθος της ζημίας που προκλήθηκε στο υποκείμενο, αφετέρου τη μη ύπαρξη άλλων καταγγελιών, η IMY έκρινε πως πρόκειται για παραβάσεις ελάσσονος σημασίας, κατά την αιτιολογική 148, και αποφάσισε να απευθύνει επίπληξη.

Αθέτηση ρήτρας παρεκτάσεως αποκλειστικής διεθνούς δικαιοδοσίας και αποζημιωτική ευθύνη - Σειρά Μελέτες ΕΡΜΕΚ Νο 8

ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΟΝΟΜΙΚΟ ΔΙΕΘΝΕΣ ΔΙΚΑΙΟ

Δίκαιο Δημοσίων Συμβάσεων Δ έκδοση

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΔΗΜΟΣΙΕΣ ΣΥΜΒΑΣΕΙΣ

ΔΗΜΗΤΡΙΟΣ ΡΑΙΚΟΣ

send