Professional Documents
Culture Documents
CPU Spotify
CPU Spotify
CPU Spotify
Rejestracja użytkownika
Zakładając konto w portalu Spotify i tym samym rejestrując się do serwisu, użytkownik musi
zaakceptować wszelkie warunki i postanowienia korzystania z serwisu Spotify [Warunki korzystania z
serwisu - Spotify] [2]. Brak zgody na postanowienia wyżej wymienionego regulaminu jest
równoznaczny z odmową korzystania z usługi Spotify, a także brakiem dostępu do jakichkolwiek treści
umieszczanych na platformie.
Każdy użytkownik korzystający z usługi Spotify w Polsce podlega prawu szwedzkiemu, gdzie panuje
wyłączna jurysdykcja sądu szwedzkiego.
Z chwilą rejestracji w usłudze Spotify gromadzone są wszelakie dane potrzebne do utworzenia konta i
korzystania z usługi. Rodzaj gromadzonych danych zależy od typu “Opcji Usługi”, sposobu tworzenia
konta, kraju oraz od tego, czy do logowania używane są usługi podmiotów trzecich. Mogą one
obejmować:
▪ Nazwę profilu;
▪ Adres e-mail;
▪ Numer telefonu;
▪ Datę urodzenia;
▪ Płeć;
▪ Adres pocztowy;
▪ Kraj;
Aspekt prawny
Przede wszystkim Spotify musi przestrzegać wymagania RODO i w myśl tego rozporządzenia chroni
dane użytkowników. Spotify deklaruje, że odpowiednio sortuje dane za pomocą workflow managera
“Luigi”. W celu ochrony danych zaimplementowane zostały pseudonimizacja (RODO) i szyfrowanie.
Działania firmy zdają się być zgodne z odpowiednimi dokumentami prawnymi regulującymi dostęp i
przechowywanie wrażliwych danych użytkownika.
Wykorzystanie danych
Spotify jasno, choć dość ogólnikowo, określa, jakie dane są wykorzystywane i w jakich celach.
Jako że już wcześniej wymieniono gromadzone dane, tutaj wymienimy tylko cele firmy:
▪ Personalizacja usługi
▪ Poprawa jakości usługi
▪ Rozwój nowych funkcji, technologii i ulepszeń
▪ Cele marketingowe, promocyjne i reklamowe
▪ Przestrzeganie zobowiązań prawnych i wniosków o egzekwowanie prawa
▪ Wypełnienie zobowiązań prawnych z podmiotami zewnętrznymi
▪ Podjęcia działań w przypadku naruszenia praw własności intelektualnej lub udostępniania
nieodpowiednich treści
▪ Ustanawianie, wykonywanie lub obrona roszczeń prawnych
▪ Planowanie biznesowe, raportowanie i prognozowanie
▪ Przetwarzanie płatności
▪ Wykrywanie i zapobieganie oszustwom
▪ Przeprowadzanie badań, konkursów, ankiet i loterii
Wnioski
Spotify oferuje usługę wysoko rozpowszechnioną i potrzebną na całym świecie. Ze względu na
ogólnoświatowy zasięg usługi na firmie Spotify spoczywa odpowiedzialność za ochronę danych
osobowych na wielką skalę. Firma dobrze wywiązuje się z tej odpowiedzialności, a przynajmniej na
poziomie spełniającym minimalne wymogi narzucone przez prawo o ochronie danych osobowych, o
czym może świadczyć m.in. jednoznaczne i kompletne wskazanie celów przetwarzania danych
osobowych.
Rejestracja i proces uwierzytelniania użytkownika są bardzo proste, możliwe jest również użycie konta
z zewnętrznej usługi, np. Google. Rejestracja polega na prostej weryfikacji e-mailem, podając wcześniej
nazwę użytkownika oraz hasło. Rozwiązanie to jest standardowe i raczej nie sprawi problemu
przeciętnemu użytkownikowi, ale przez to nie jest ono ponadprzeciętnie bezpieczne. Spotify
najprawdopodobniej bardziej zależy na łatwości dostępu do serwisu niż na szeroko zakrojonej ochronie
poświadczeń użytkowników.
Mimo stosunkowo obszernych informacji na stronie internetowej serwisu w określonych przypadkach
udawało się wykazać brak pełnej transparentności zakresie przechowywania danych osobowych i
przekazywania ich podmiotom trzecim. To może prowadzić do nadużyć, szczególnie związanych z
wykorzystaniem danych do celów zarobkowych bez świadomości użytkownika, na przykład poprzez
sprzedaż całych baz danych innym firmom.
Większość rodzajów danych przetwarzanych przez Spotify wydaje się mieć solidne uzasadnienie w
kontekście funkcjonalności serwisu. Dane gromadzone za pomocą żyroskopu i akcelerometru budzą w
nas największe wątpliwości co do ich przydatności w serwisie strumieniującym muzykę i podcasty.
Sugestie
Prostota zastosowanego rozwiązania na potrzeby uwierzytelniania użytkownika oznacza wiele
możliwości zwiększenia bezpieczeństwa poświadczeń. Można by to osiągnąć na przykład poprzez
wprowadzenie logowania za pomocą biometrii odcisku palca, co z powodzeniem jest stosowane w wielu
innych najbardziej popularnych serwisach. Aby jakikolwiek sposób ochrony przed wyłudzeniem danych
był skuteczny, Spotify musiałoby ograniczyć użytkownikom możliwość korzystania z opcji
zapamiętania loginu i hasła, co jednak jest bardzo wygodne, bo pozwala ominąć proces logowania przy
każdym załączeniu aplikacji. Biometria odcisku palca jest jednym z najmniej czasochłonnych sposobów
uwierzytelniania, co mogłoby ułatwić przekonanie użytkowników do porzucenia opcji zapamiętywania
loginu i hasła.
Naszym zdaniem, firma mogłaby być jeszcze bardziej otwarta w kwestii opisu wykorzystywanych
danych, a szczególnie informacji o adresach zamieszkania, kodach pocztowych i numerach telefonów
komórkowych. Szczególnie ważne byłoby, aby użytkownik czuł się dobrze poinformowany o tym,
komu dokładnie i po co takie dane są przekazywane dalej. Ten sam problem dotyczy danych
otrzymywanych przez Spotify od podmiotów trzecich, które nie zostały wprowadzone przez
użytkownika podczas rejestracji lub zakupu planu subskrypcji.
Zbieranie szczegółowych informacji o urządzeniach wykorzystanych przez użytkownika nie wydaje się
niezbędne do korzystania z usługi, ponieważ plany subskrypcji “Duo” oraz “Family”, gdzie mogłoby to
mieć znaczenie, ograniczają liczbę kont użytkowników, a nie liczbę urządzeń, z których można
korzystać. Idealnie byłoby ograniczyć te dane do niezbędnego minimum, na przykład do unikalnego
identyfikatora sprzętowego nieprzekazującego w sobie cech urządzenia. W praktyce, zdając sobie
sprawę z tego, że tego typu dane są przydatne do profilowania klientów, naszym zdaniem należałoby
przynajmniej odpowiednio uzasadnić cele przetwarzania tego typu danych.
Powołując się na opisany wcześniej eksperyment organizacji NOYB, można zasugerować, aby
automatyczny system obsługi wniosków o dostęp do danych zwracał informacje nie w formie
nieprzetworzonego tekstu maszynowego, który jest niezrozumiały dla przeciętnego użytkownika, a w
formie czytelnego raportu tekstowego. Takie działanie byłoby w interesie firmy, ponieważ
ograniczyłoby podstawy do składania skarg przez użytkowników powołujących się na artykuł 15
RODO.
10 | C y f r o w y P r o f i l U ż y t k o w n i k a