SpotifyがGDPRルールに違反し、ユーザーデータアクセスに対して804億ルピアの罰金を科せられた

ジャカルタ - スウェーデンのプライバシー保護当局(IMY)は、プラットフォームが欧州連合(EU)におけるユーザーのデータアクセス権を侵害したと主張して、一般データ保護規則(GDPR)の下でSpotifyに罰金を科しました。

IMYは、Spotifyがユーザーの個人データにアクセスする権利をどのように処理するかを発見しました。

IMYの評価によると、Spotifyはユーザーが要求したときに同社が処理した個人データを公開したが、このデータがプラットフォームによってどのように使用されているかを十分に明確に通知しなかったという。

「ユーザーの個人データがどのような目的でどのように処理されるかについて、会社から提供される情報は、より具体的である必要があります。データへのアクセスを要求する人々は、会社がこのデータをどのように使用しているかを理解しやすくなければなりません」と、IMYの監督を率いる法律顧問の1人であるKalin Ek スは、6月14日水曜日に引用された声明で述べました。

「さらに、技術的な性質上、理解するのが難しい個人データは、英語だけでなく、ユーザー自身の母国語でも説明する必要があるかもしれません」と彼は付け加えました。

Ek によると、Spotifyにアクセスして個人データへのアクセスを要求したユーザーは、音楽ストリーミングアプリが顧客の個人データを別のレイヤーに分割しているため、どの個人データにアクセスするかを選択できます。

1つのレイヤーには、Spotifyがそのようなユーザーにとって最も魅力的であると言う情報、たとえば、顧客の連絡先や支払いの詳細、どのアーティストが顧客をフォローしているか、一定期間のリスニング履歴が含まれています。

「顧客がより詳細な情報、たとえば顧客に関連するすべての技術的なログファイルを望む場合は、他のレイヤーで要求することもできます」とEk氏は述べています。

Ek 氏は、アクセス権の目的は、ユーザーが法に従って個人データの処理が合法であることを確認する機会を提供することであると説明しました。

情報を受け取るユーザーは、誤った情報を修正または削除する権利などの他の権利を行使するための前提条件であることがよくあります。

Spotifyが提供する情報は不明瞭であるため、ユーザーは個人データの処理方法を理解し、個人データの取り扱いが法律で有効であるかどうかを確認することは困難です。

「ユーザーがさまざまなレイヤーにある情報と、その情報をどのように要求できるかを理解することが重要です。ここではSpotifyで十分だと信じています」とEk氏は述べています。

Spotifyによると、 ek コルクはユーザーのアクセス権要件を満たすためにいくつかの措置を講じており、見つかった欠陥は全体的に真剣さの低いレベルであると考えられていた。

「これに関連して、IMYはSpotifyに対して540万ドルの行政罰金を科したが、それはユーザーに十分に明確な情報を提供しなかったからだ」とEk氏は述べた。