Spotify og persónuvernd

[appel]

Nú er ég doldið nýbúinn að uppgötva þetta "social" dæmi í spotify, hef lítið kært mig um að vita hvað aðrir eru að spila eða láta aðra vita hvað ég er að spila, það gæti verið viðkvæmt fyrir suma Þannig að ég hef ekki virkjað þessa social media tengingu í spotify og ég er með allar persónuverndarstillingar í botni.

En svo kemur í ljós að það eru hellings upplýsingar um mig publicly aðgengilegar á spotify, þrátt fyrir þetta. Það er hægt að sjá ýmislegt sem mér datt ekki í hug að væri hægt að sjá um mig.

Ég get leitað að hvaða íslendingi sem er (flestir skráðir undir nafni) og séð hvað viðkomandi er að spila, playlista, hvað var spilað síðast, hverja viðkomandi er að "followa" og einnig séð hverjir eru að followa viðkomandi, og þannig séð persónulegt tengslanet. Þannig er default stillingin.

T.d. fletti ég upp bróður mínum, gat séð allt það sem hann er með, séð konu hans og börn og hvað þau eru að spila ásamt tengslaneti þeirra.

Hvað finnst mönnum um þetta? Er þetta ekki skólabókardæmi um GDPR brot?


Ég veit að sumir segja bara "æi mér er sama þó einhver sjái að ég sé að spila metallica"... en þetta gæti verið viðkvæmara en það. Það eru t.d. margar audio books á Spotify sem fjalla um hin og þessi málefni og þá væri hægt að bókstaflega sjá hvað viðkomandi er að leigja sér á bókasafninu ef svo má að orði koma.
Yfirmaður þinn gæti séð þig vera að spila mikið "How to get a better job!", eða maki þinn "How to get a new girlfriend!" ... þið skiljið, þetta skilur eftir sig ýmsa brauðmola um ætlun, tónlistasmekk, áhugasvið, það sem þú ert að læra og plön ... eitthvað sem þú gerðir ráð fyrir að séu prívat upplýsingar.
Annað dæmi er um kannski samkynhneigðan einstakling í skápnum og er að followa fullt af svona gay artistum... þá væri hægt að draga einhverja ályktun út frá því.
Þú vilt ekki að spotify exposi hlustunarsögu þína frekar en youtube exposi áhorfssögu þína.

Það að spotify exposi svona er skandall.

[mikkimás]

Ert *þú* búinn að staðfesta að hægt sé að skoða hlustunarsögu *þína* þrátt fyrir að *þú* sért með allar privacy settings í botni?

[appel]

Ert *þú* búinn að staðfesta að hægt sé að skoða hlustunarsögu *þína* þrátt fyrir að *þú* sért með allar privacy settings í botni?

spotify.png (9.3 KiB) Skoðað 1459 sinnum

[mikkimás]

Og það er sem sagt hægt að skoða hlustunarsögu þína þrátt fyrir þessar stillingar?

[appel]

Og það er sem sagt hægt að skoða hlustunarsögu þína þrátt fyrir þessar stillingar?

Það er hægt að sjá hvaða artista ég er að followa. Það er hægt að draga ályktanir um ýmislegt út frá því.

Prófaði að gamni að followa svona "self help audio book" og það kom fram í prófílnum mínum sem er publicly accessible, líka til svona "narcotics anonymous" og "alcoholic anonymous" sem þú getur bætt við, það kemur fram í public prófílnum þínum.... ekki mjög anonymous það

[wicket]

Nei þetta er ekki brot á persónuverndarlögum. Þú samþykkir skilmála Spotify og þar með gefurðu leyfi fyrir X,Y og Z. GDPR er ekki galdrapilla sem verndar þig, þú getur alltaf afsalað þér hlutum innan GDPR laganna með því að samþykkja t.d. skilmála þjónustuveitanda. Á meðan að þjónustuveitandi hefur skráð samþykki þitt fyrir því er það gilt, samþykki skilmála er sannanlega skráð samþykki skv. lögunum.

Þetta er meira að segja mjög skýrt hjá Spotify, eiginlega bara óvenju skýrt miðað við flest annað. 6. grein persónuverndarskilmála Spotify segir í fyrstu málsgrein :

Publicly available information

The following personal data will always be publicly available on the Spotify Service: your name and/or username, profile picture, who you follow and who follows you on the Spotify Service, your recently played artists, and your public playlists.
Nánar : https://www.spotify.com/us/legal/privac ... 1602603053

[appel]

Nei þetta er ekki brot á persónuverndarlögum. Þú samþykkir skilmála Spotify og þar með gefurðu leyfi fyrir X,Y og Z. GDPR er ekki galdrapilla sem verndar þig, þú getur alltaf afsalað þér hlutum innan GDPR laganna með því að samþykkja t.d. skilmála þjónustuveitanda. Á meðan að þjónustuveitandi hefur skráð samþykki þitt fyrir því er það gilt, samþykki skilmála er sannanlega skráð samþykki skv. lögunum.

Þetta er meira að segja mjög skýrt hjá Spotify, eiginlega bara óvenju skýrt miðað við flest annað. 6. grein persónuverndarskilmála Spotify segir í fyrstu málsgrein :

Publicly available information

The following personal data will always be publicly available on the Spotify Service: your name and/or username, profile picture, who you follow and who follows you on the Spotify Service, your recently played artists, and your public playlists.
Nánar : https://www.spotify.com/us/legal/privac ... 1602603053

Í wikipedia grein um GDPR kemur þetta fram:
If informed consent is used as the lawful basis for processing, consent must have been explicit for data collected and each purpose data is used for (Article 7; defined in Article 4).[12][13] Consent must be a specific, freely-given, plainly-worded, and unambiguous affirmation given by the data subject; an online form which has consent options structured as an opt-out selected by default is a violation of the GDPR, as the consent is not unambiguously affirmed by the user.
https://en.wikipedia.org/wiki/General_D ... Regulation

Það er ekkert opt-out fyrir þetta. Minn skilningur á GDPR er að userinn hefur stjórn á þessu. En spotify leyfir ekkert opt out á þessu, sem er óskiljanlegt því þetta eru ekki gögn sem spotify er bara að vinnsla með, heldur gera opinber undir nafni!

[mjolkurdreytill]

GDPR Article 15 Information


https://support.spotify.com/us/article/ ... formation/

[appel]

Það þarf engan persónuverndarsérfræðing til að átta sig á því að það að gera opinber notkunargögn á einhverri þjónustu hlýtur að vera brot á persónuvernd. Sérstaklega þegar það er ekkert opt-out um slíkt. Spotify er í eðli sínu bara tónlistaveita einsog bókasafn er bókaveita, ekki samfélagsmiðlaþjónusta þar sem þú póstar einhverju og þar með gerir það opinbert. Heldur er Spotify að gera notkunargögn um þig opinber þrátt fyrir að hafa ekki fengið upplýst samþykki fyrir því né að bjóða upp á opt-out möguleika fyrir því.

Sambærilegt væri að youtube væri að sýna hvað þú værir subscribed fyrir, eða Netflix að sýna opinberlega hvaða seríur þú ert með á þínum favorites lista. Þetta eru persónuleg notkunargögn sem segja til um smekk þinn eða annað, kemur bara engum öðrum við.

To be able to demonstrate compliance with the GDPR, the data controller must implement measures which meet the principles of data protection by design and by default. Article 25 requires data protection measures to be designed into the development of business processes for products and services. Such measures include pseudonymising personal data, by the controller, as soon as possible (Recital 78). It is the responsibility and the liability of the data controller to implement effective measures and be able to demonstrate the compliance of processing activities even if the processing is carried out by a data processor on behalf of the controller (Recital 74).[7]

Það er ekki hægt að fela svona í einhverri klausa í löngum skilmálatexta, GDPR tekur á því og segir að það þurfi upplýst samþykki fyrir sérhverjum svona lið.

[dori]

Mér finnst alveg ótrúlega fyndið að þetta skuli ennþá vera partur af Spotify. Það er örugglega agnarsmátt hlutfall notendanna þeirra sem raunverulega vilja þetta en svona eru fyrirtæki sem voru að vaxa fullt í kringum 2010, þá átti allt að vera "social network" eitthvað.

Ég myndi helst vilja hafa slökkt á öllu þessu drasli en það er eins og appel bendir á eiginlega ekki hægt að loka alveg fyrir það.

[tdog]

Þitt opt-out er hreinlega að hætta að nota þjónustuna.

Þú hefur val um að nota þjónustu sem skv. skilmálum sem þú samþykkir þegar þú býrð til aðgang, deilir upplýsingum. Ef þú fílar það ekki getur þú bara hætt að nota þjónustuna.

[mikkimás]

Þitt opt-out er hreinlega að hætta að nota þjónustuna.

Þú hefur val um að nota þjónustu sem skv. skilmálum sem þú samþykkir þegar þú býrð til aðgang, deilir upplýsingum. Ef þú fílar það ekki getur þú bara hætt að nota þjónustuna.

Rétt, en...

Kannski er ég blindur, en ég sé engan möguleika til að afvirkja eða eyða Spotify aðgang.

[appel]

Þitt opt-out er hreinlega að hætta að nota þjónustuna.

Þú hefur val um að nota þjónustu sem skv. skilmálum sem þú samþykkir þegar þú býrð til aðgang, deilir upplýsingum. Ef þú fílar það ekki getur þú bara hætt að nota þjónustuna.

Þú misskilur hvað ég er að reyna segja. Þetta snýst ekki um að maður geti bara alltaf hætt að nota spotify, að ég velji þetta með því að nota spotify.

Þetta er brot á GDPR, hvort sem þér finnst þetta í lagi eða ekki. Því það er ekkert val um að slökkva á þessu, og þetta eru notkunargögn um notendur undir nafni. Það er bara skýrt í mínum huga að þetta er GDPR brot.

Það er nefnilega ekki hægt að fela svona í einhverjum skilmálatexta, svona þarf að vera með opt-in möguleika.

[audiophile]

Mér finnst alveg ótrúlega fyndið að þetta skuli ennþá vera partur af Spotify. Það er örugglega agnarsmátt hlutfall notendanna þeirra sem raunverulega vilja þetta en svona eru fyrirtæki sem voru að vaxa fullt í kringum 2010, þá átti allt að vera "social network" eitthvað.

Ég myndi helst vilja hafa slökkt á öllu þessu drasli en það er eins og appel bendir á eiginlega ekki hægt að loka alveg fyrir það.

Ég var einmitt búinn að steingleyma þessum fídus þar til um daginn þegar ég notaði Spotify í PC tölvu í fyrsta skipti í milljón ár. Hef nánast einungis notast við það í síma og man einmitt hvað þetta þótti flott að geta sýnt öðrum hvað maður var nú að hlusta á töff tónlist