Η Σουηδική Αρχή Προστασίας Προσωπικών Δεδομένων, ξεκίνησε έρευνες στο Spotify μετά από πολυάριθμες καταγγελίες σχετικά με την αναποτελεσματική ανταπόκριση του στα αιτήματα των υποκειμένων.
Πιο συγκεκριμένα, τα παράπονα των φυσικών προσώπων έκαναν αναφορά στο δικαίωμα πρόσβασης του άρθρου 15 του GDPR. To εν λόγω δικαίωμα παρέχει στο υποκείμενο των δεδομένων τη δυνατότητα να ζητά από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσο ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και αν ναι, να του παρέχει πληροφορίες σχετικά με τους σκοπούς επεξεργασίας, τις σχετικές κατηγορίες δεδομένων προσσωπικού χαρακτήρα, τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν, το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και γενικά κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους. Σε περίπτωση δε που τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτη χώρα ή σε διεθνή οργανισμό, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται για τις κατάλληλες εγγυήσεις σχετικά με τη διαβίβαση. Τέλος, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία το οποίο να μην επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.
Η Αρχή ζήτησε από το Spotify να απαντήσει σχετικά με το πως εξάγει ένα αρχείο καταγραφής δεδομένων και να περιγράψει λεπτομερώς τον τρόπο με τον οποίο χειρίζεται τα αιτήματα άσκησης δικαιωμάτων των υποκειμένων, ποιες πληροφορίες τους παρέχει ακριβώς, τι πληροφορίες περιλαμβάνει το αντίγραφο που τους δίνει και πώς αυτές οι πληροφορίες παρουσιάζονται στο υποκείμενο.
Το δικαίωμα πρόσβασης επομένως μπορεί να προκαλέσει δυσκολίες ανταπόκρισης σε έναν οργανισμό που διατηρεί μεγάλο όγκο προσωπικών δεδομένων και μάλιστα σε πολλά διαφορετικά σημεία. Στην περίπτωση του Spotify που χειρίζεται έναν αρκετά μεγάλο όγκο δεδομένων διαφορετικών χρηστών, είναι πολύ σημαντικό να έχει τη δυνατότητα εξαγωγής των αιτούμενων στοιχείων με ευχείριστο τρόπο.
O Υπεύθυνος επεξεργασίας έχει 30 μέρες προθεσμία απάντησης στα αιτήματα των υποκειμένων με περιθώριο επέκτασης 2 μηνών εφόσον αιτιολογήσει το λόγο αδυναμίας έγκαιρης απάντησης. Οι Υπεύθυνοι επξεργασίας θα πρέπει να τηρούν ακριβές και ενημερωμένο αρχείο σχετικά με το ποιος υπέβαλε το αίτημα και τι αλλαγές αιτήθηκε και παράλληλα να καταγράφουν τον τρόπο με τον οποίο χειρίστηκαν το αίτημα.
Αυτή η διαδικασία μπορεί εκ πρώτης όψεως να φαίνεται απλή, ωστόσο η εφαρμογή της θα παρουσιάσει δυσκολίες αν δεν υπάρχει ήδη στον οργανισμό μία πολιτική διαχείρισης αιτημάτων η οποία θα επεξηγεί με ευσύνοπτο και κατανοητό τρόπο τις οδηγίες εκτέλεσης αλλά και ένας Υπέθυνος Προστασίας Δεδομένων (DPO) που θα είναι ο πλεόν αρμόδιος για την αποδοτικότερη διαχείριση τους.
πηγή: www.datainspektionen.se