人気の音楽ストリーミング プラットフォームである Spotify は火曜日、発行済みスウェーデンでは、欧州連合内のユーザーのデータ アクセス権を侵害したとして、5,800 万スウェーデン クローナ (約 540 万ドル) の行政罰金が科せられました。
2018 年に施行された一般データ保護規則 (GDPR) によると、ユーザーはアクセスする権利を持っています。これは、企業が当該個人に関してどのような個人データを扱っているかを調べ、その方法に関する情報を受け取る権利があることを意味します。このデータが使用されます。
しかし、スウェーデンプライバシー保護庁(IMY)は監査中にSpotifyが欧州のGDPR第15条に違反していると認定した。 Spotify は、個人からの要求に応じて、同社が処理する個人データを公開していることが判明しました。しかし、収集されたデータが同社によってどのように使用されたかについての明確かつ包括的な情報は提供されていませんでした。
IMYは、Spotifyは「個人の個人データがどのように、どのような目的で扱われるか」について、より透明性を高めるべきだと強調した。明確さの欠如により、ユーザーは自分の個人データがどのように処理されるかを理解し、自分の個人データの取り扱いが合法であるかどうかを評価することが困難になりました。
「スウェーデンのプライバシー保護庁(IMY)は、Spotify のアクセス要求を処理するための一般的な手順を調査し、GDPR の第 15.1 条と第 15.2 条に従って要求を行った個人に提供されるべき情報に関連するいくつかの欠点を発見しました。 Spotify が提供するテクニカル ログ ファイル内のデータの説明との関係。 IMYは、この点に関して十分に明確な情報を個人に提供しなかったとして、Spotifyに対して5,800万スウェーデンクローナの行政罰金を課した。この決定には、GDPR の第 12.1 条、第 15.1 条、g および第 15.2 条への違反が含まれています。」規制当局は声明で述べた。
「IMYの調査には、3つの異なる苦情で何が起こったのかについての調査も含まれており、ここでIMYは、調査された苦情のうち2件に関連するアクセス要求の処理にSpotifyが失敗していたことが判明した。」この部分の決定には、GDPR の第 12.1 条、第 12.3 条、第 15.1 条、第 15.3 条、第 15.1 条および第 15.2 条への違反が含まれています。これらの侵害に関して、IMYは懲戒処分を行います。」
規制当局はまた、特定された欠陥は「深刻度が低い」とみなされ、罰金はSpotifyの収益とユーザー数を考慮して課されたと述べた。
Spotify には多くの国にユーザーがいるため、上記の決定は EU 内の他のデータ保護当局と協力して行われました。
Spotifyに対する今回の判決は、2019年初めに非営利のプライバシー・デジタル著作権団体noybが音楽ストリーミングプラットフォームに対して申し立てを行ってから4年以上経ってから出た。
で苦情noybが提出したこの団体は、Spotifyが要求されたすべての個人データ、その情報源に関する情報、個人データの受信者、またはGDPR第15条に基づく国際データ転送の詳細をユーザーに提供しなかったと主張した。
当初の訴状はオーストリアで提出されたが、Spotifyはスウェーデンに拠点を置いていたため、訴訟はIMYに送られた。また、同じ問題に関連してオランダで提起された苦情も、スウェーデンの訴訟に統合された。しかし、IMY では事件は 4 年間にわたって停滞した。
その結果、2022年6月22日、noybは判決の欠如を理由にスウェーデン裁判所にIMYに対して訴訟を起こした。最後に、最初の訴訟が提起されてから 4 年以上が経過した後、IMY は Spotify に対し、GDPR 第 58 条 (2) (c) に基づいて完全なデータセットを申立人に提供するよう命令しました。
「スウェーデン当局がついに行動を起こしたことを嬉しく思います。自分に関して処理されるデータに関する完全な情報を取得することは、すべてのユーザーの基本的な権利です。しかし、訴訟には 4 年以上かかり、判決を得るために IMY を訴訟する必要がありました。スウェーデン当局は間違いなく手続きをスピードアップする必要がある」とnoybのプライバシー弁護士ステファノ・ロセッティ氏は声明で述べた。
SpotifyはIMYの調査結果を拒否し、EUのGDPR罰金に応じて控訴する予定だ。
「Spotify は個人データの処理方法に関する包括的な情報をすべてのユーザーに提供します。スウェーデン DPA は調査中に、改善が必要と思われる当社のプロセスのごく一部の領域のみを発見しました。しかし、当社はこの決定に同意せず、控訴する予定です」と同社は声明で述べた。
IMY制裁を考慮してSpotifyがユーザーデータアクセス要求への対応プロトコルを変更するかどうかとの質問に対し、Spotifyの広報担当者は、現時点で確認できることは何もないと答えた。ただし、透明性を高めるためにプロセスを継続的に見直し、改善していることには言及しました。