Lavin av GDPR-anmälningar – streamingjättar riskerar miljardböter

gdpr streaming sevicesAtt den nya EU-gemensamma dataskyddslagstiftningen GDPR skulle leda till en mindre störtflod av anmälningar var kanske någorlunda väntat. Men att det under de drygt 250 dagar som gått sedan GDPR trädde i kraft redan lämnats in 95 180 klagomål, torde nog överträffa de flestas förväntningar (eller farhågor). 

I en nyligen publicerad skrivelse berättar EU-kommissionen att majoriteten av de nära hundratusen anmälningarna som lämnats in till medlemsländernas tillsynsmyndigheter var relaterade till telemarketing, olika marknadsföringskampanjer och videoövervakning. Totalt inleddes 255 större granskningar av de nationella tillsynsmyndigheterna. I EU-kommisionens uttalande skriver man:

”Vi börjar redan se de positiva effekterna av de nya reglerna. Medborgarna har blivit mer medvetna om vikten av dataskydd och deras rättigheter. Och de utövar nu dessa rättigheter, som de nationella dataskyddsmyndigheterna ser i sitt dagliga arbete.”

Kraftig incidentrapportering

En annan central aspekt av GDPR är förstås kraven på organisationer att rapportera allvarliga incidenter, som dataintrång där personuppgifter äventyrats, inom 72 timmar. Detta krav har lett till att hela 41 502 sådana incidentrapporter lämnats in. Den massiva inrapporteringen kan tyda på att företag väljer att ta det säkra före det osäkra och därför rapporterar även mindre incidenter och incidenter som inte omfattas av GDPR. (Datainspektionen påpekade under hösten att de såg denna trend i Sverige). Med största säkerhet är det hotet om stora bötesbelopp som lett till den utbredda oron, i kombination med att många organisationer faktiskt fortfarande inte har full koll på vad som gäller kring GDPR.

Många internetjättar anmälda

Som vi tidigare skrivit om har införandet av GDPR gett amerikanska internetaktörer en hel del huvudbry. Ett tydligt exempel på hur kraften i GDPR kan användas för att skydda personuppgifter och integritet hos europeiska medborgarna, var när den franska tillsynsmyndigheten CNIL (Commission Nationale de l’informatique et des Libertés) för någon vecka sedan gav Google en böteslapp på 50 miljoner euro för att sökjätten inte på ett tillräckligt tydligt sätt bett om användarnas samtycke till att deras data används för anpassning av annonser – och för att Google brustit i sin transparens och information om hur dessa data används.

Google-ägda YouTube är också målet för ett GDPR-klagomål som inlämnats av NOYB (Not Of Your Business), en icke-vinstdrivande europeisk organisation som driver integritetsfrågor, för ett så kallat ”right to access”-brott som beskrivs i GDPR:s artikel 15. ”Right to access”-artikeln ger i korthet alla EU-medborgare ”rätten att få en kopia av alla rådata som ett företag har om användaren, samt ytterligare information om källorna och mottagarna av uppgifterna, syftet till varför uppgifterna bearbetas samt information om de länder där data lagras och hur länge dessa data lagras.”

Streamingtjänster brister i transparensen

NOYB har också anmält Amazon Prime, Apple Music, Spotify, DAZN, Flimmit, SoundCloud och Netflix av samma anledning. Efter att ha testat huruvida de åtta streamingbolagen uppfyllde ”right to access”-kravet kunde NOYB konstatera att inget av dem gjorde det på ett tillfredsställande sätt.

NOYB:s chef Max Schrems skrädde inte med orden i samband med att anmälningarna lämnades in:

”Många tjänster skapar automatiserade system för att svara på åtkomstförfrågningar, men de tillhandahåller ofta inte ens en bråkdel av alla de data som varje användare har rätt till. I de flesta fall har användarna bara rådata, men till exempel ingen information om vem dessa data har delats med. Detta leder till strukturella kränkningar av användarnas rättigheter, eftersom dessa system är byggda för att hålla tillbaka relevant information.”

Av de streamingtjänster som kontaktades under NOYB:s test var DAZN och SoundCloud de enda som helt och hållet ignorerade förfrågningarna. De som svarade lämnade enligt NOYB ut data som var antingen ofullständiga eller oförståeliga, till exempel i fråga om bakgrundsinformationen kring rådata, eller som helt saknades. Endast Netflix och Flimmit kunde ge delar av bakgrundsinformationen i sina svar.

Om alla åtta bolagen skulle fällas skulle det teoretiskt kunna medföra en total böteslapp på 18,8 miljarder euro (varav Youtube skulle få stå för 3,87 miljarder av dem, och Amazon för 6,31 miljarder).

Vi har som sagt förmodligen bara sett början av GDPR:s fulla slagstyrka – och vi på bloggen lär få anledning att återkomma till frågan. Här i Sverige utreder till exempel Datainspektionen huruvida Google brutit mot GDPR i ett antal av sina tjänster.

Den här artikeln är skriven utav Binero och hämtad från Klicka här för att gå till orginal

Du kanske gillar

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More