Cyfrowy Profil Użytkownika

Raport usługi firmy “SPOTIFY”

Prowadzący : mgr inż. Henryk Kułakowski

Jakub Kowalczyk [304168]

Dominik Baczyński [300475]
Kamil Wiłnicki [283422]

1|C yf r owy P ro fil Uży tk ow nik a

Wprowadzenie
Spotify jest szwedzkim serwisem strumieniowym oferującym dostęp do muzyki oraz podcastów na
licencji freemium. Serwis ten oferuje ponad 60 milionów utworów, pochodzących z wytwórni
płytowych i firm medialnych. Oferta freemium oznacza, że podstawowe funkcje usługi są dostępne za
darmo dla wszystkich użytkowników, lecz są one ograniczone reklamami i małą możliwością
personalizacji. Słuchanie offline i bez reklam jest oferowane za pośrednictwem płatnych subskrypcji.
Cała usługa w wersji premium jest wysoko personalizowana i użytkownik może dobierać treści bez
żadnych restrykcji.
Spotify jest dostepne w Polsce od 12 lutego 2013 roku.
Podejście Spotify opiera się głównie na społeczności, która wymienia się playlistami i podcastami.
Wersja darmowa, jak już wcześniej zostało wspomniane, posiada reklamy ograniczające dostęp
użytkowników do strumieniowania muzyki. W wersji tej użytkownik musi być połączony z internetem.
Aplikacja mobilna umożliwia tylko odtwarzanie w trybie losowym, natomiast odtwarzacz internetowy
(na komputerze) pozwala na odtwarzanie muzyki zarówno w trybie standardowym, jak i losowym.
Spotify posiada specyficzny model rozwoju opisany w dokumencie “Scaling Agile @ Spotify Tribes,
Squads, Chapters & Guilds”[1], którego twórcami są H. Kniberg i A. Ivarsson. Model ten w dużym
stopniu przypomina metodologię agile i dzieli on pracowników na podgrupy, które działają w zbliżony
do siebie sposób. Dzięki temu do etapu realizacji dociera wiele pomysłów, które mogą zostać wdrożone
do głównej usługi. Oznacza to jednak, że firma Spotify podejmuje ryzyko popełniania wielu błędów.
Jest to działanie celowe - głównym zamiarem jest popełnianie jak największej ilości błędów, aby je
poprawiać i udoskonalać w ten sposób usługę. Zdaniem twórców wskazanego artykułu udało się to tylko
dlatego, że Spotify już w momencie wprowadzenia tego modelu rozwoju cieszyło się zainteresowaniem,
a obecnie inne firmy próbujące naśladować Spotify pod tym względem nie dają sobie rady z takim
modelem rozwoju.

Rejestracja użytkownika
Zakładając konto w portalu Spotify i tym samym rejestrując się do serwisu, użytkownik musi
zaakceptować wszelkie warunki i postanowienia korzystania z serwisu Spotify [Warunki korzystania z
serwisu - Spotify] [2]. Brak zgody na postanowienia wyżej wymienionego regulaminu jest
równoznaczny z odmową korzystania z usługi Spotify, a także brakiem dostępu do jakichkolwiek treści
umieszczanych na platformie.
Każdy użytkownik korzystający z usługi Spotify w Polsce podlega prawu szwedzkiemu, gdzie panuje
wyłączna jurysdykcja sądu szwedzkiego.
Z chwilą rejestracji w usłudze Spotify gromadzone są wszelakie dane potrzebne do utworzenia konta i
korzystania z usługi. Rodzaj gromadzonych danych zależy od typu “Opcji Usługi”, sposobu tworzenia
konta, kraju oraz od tego, czy do logowania używane są usługi podmiotów trzecich. Mogą one
obejmować:
▪ Nazwę profilu;
▪ Adres e-mail;
▪ Numer telefonu;
▪ Datę urodzenia;
▪ Płeć;
▪ Adres pocztowy;
▪ Kraj;

2|C yf r owy P ro fil Uży tk ow nik a

Niektóre z wyżej wymienionych danych Spotify otrzymuje bezpośrednio od użytkownika z formularza
rejestracyjnego lub strony konta. Poniżej zamieszczono taki formularz dostępny w Polsce. Inne dane,
takie jak kraj, są gromadzone bezpośrednio z urządzenia, na którym użytkownik dokonuje rejestracji.

Rysunek 1. Formularz rejestracyjny

3|C yf r owy P ro fil Uży tk ow nik a

Logowanie
Logowanie do Usługi Spotify jest realizowane poprzez podanie w standardowym formularzu logowania
poufnych personalnych danych użytkownika, takich jak e-mail lub nazwa użytkownika oraz hasło do
konta. To użytkownik jako właściciel danych odpowiada za każde ich użycie, włącznie z użyciem
nieupoważnionym.
Poza opisaną wyżej metodą autoryzacji użytkownika, Spotify wspiera również logowanie się do serwisu
przy pomocy kont firm trzecich, takich jak Facebook, Apple, czy Google. Zastrzega przy tym, iż nie
ponosi odpowiedzialności za dane użytkowników w tym przypadku.
Podczas każdego logowania Spotify gromadzi dodatkowe dane techniczne o urządzeniu, takie jak:
▪ adres IP,
▪ identyfikator urządzenia,
▪ typ połączenia sieciowego,
▪ operator komórkowy,
▪ wydajność sieci,
▪ typ przeglądarki,
▪ język,
▪ system operacyjny,
▪ nieprecyzyjna lokalizacja (wynikająca z danych technicznych potrzebnych do poprawnej
weryfikacji podejrzanego ruchu na platformie, np. z adresu IP).

Rysunek 2. Formularz logowania

4|C yf r owy P ro fil Uży tk ow nik a

Plany Subskrypcyjne
Firma Spotify działa zarówno w modelu B2C, jak i B2B, ponieważ oferuje usługę premium dla
użytkowników, a jednocześnie podpisuje wiele kontraktów z innymi firmami, oferując im swoje usługi
(co wskazuje również na B2B).
Spotify ze względu na rozpowszechnienie na całym świecie dobiera stawki miesięcznych opłat za usługę
na podstawie kraju, w którym znajduję się użytkownik.
W tej chwili Spotify oferuje dwa typy usług: freemium oraz premium.
Freemium jest pełne ograniczeń, takich jak: reklamy podczas odtwarzania muzyki, brak możliwości
słuchania offline, niższa jakość dźwięku oraz wyłącznie losowe odtwarzanie na aplikacjach mobilnych.
Spotify oferuje aktualnie (tj. w styczniu 2022 roku) następujące plany rozliczeń miesięcznych:
- Individual 19,99 zł / miesiąc - za jedno konto.
- Duo 24,99 zł / miesiąc - za dwa konta.
- Family 29,99 zł / miesiąc - do 6 kont
- Student 9,99 zł / miesiąc - 1 konto
Plan “Individual” to bazowa wersja miesięcznej subskrypcji.
Warunkiem planu “Duo” jest mieszkanie obu użytkowników pod jednym adresem. Spotify przy
aktywacji planu prosi obu użytkowników o podanie miejsca zamieszkania i następnie sprawdza
poprawność informacji za pomocą “Map Google”. Następują też dodatkowe prośby o potwierdzenie
miejsca zamieszkania w losowych momentach podczas korzystania z usługi (bardzo rzadko).
Warunkiem planu “Family” jest, tak samo jak w planie “Duo”, mieszkanie pod tym samym adresem.
Podczas aktywacji użytkownik jest proszony o podanie adresu zamieszkania i informacja ta jest
weryfikowana tak samo jak w powyższym przypadku.
W przypadku planów “Duo” i “Family” Spotify wspomina o konieczności przynależności obu
użytkowników do jednej rodziny, choć w żaden sposób nie jest to weryfikowane. Spotify też zastrzega
sobie prawo do natychmiastowego zawieszenia konta w razie niespełnienia warunków planów.
Aby skorzystać z planu “Student”, użytkownik musi udowodnić, że jest studentem. Spotify dokonuje
weryfikacji za pomocą usługi firmy zewnętrznej “SheerID”. Możliwe jest też zweryfikowanie przez
przesłanie zdjęcia ważnej legitymacji studenckiej lub innego dokumentu potwierdzającego bycie
studentem na jednej z uczelni z listy zweryfikowanych placówek oświatowych. Po pomyślnym
zweryfikowaniu użytkownika plan “Student” jest dostępny dla niego przez 12 miesięcy. Jeśli
użytkownik po upłynięciu 12 miesięcy w analogiczny sposób nie udowodni, że nadal znajduje się na
liście studentów uczelni, zostanie przeniesiony na plan “Individual”.

Aspekt prawny
Przede wszystkim Spotify musi przestrzegać wymagania RODO i w myśl tego rozporządzenia chroni
dane użytkowników. Spotify deklaruje, że odpowiednio sortuje dane za pomocą workflow managera
“Luigi”. W celu ochrony danych zaimplementowane zostały pseudonimizacja (RODO) i szyfrowanie.
Działania firmy zdają się być zgodne z odpowiednimi dokumentami prawnymi regulującymi dostęp i
przechowywanie wrażliwych danych użytkownika.

5|C yf r owy P ro fil Uży tk ow nik a

Spotify deklaruje przestrzeganie zgodności z innymi aktami prawnymi oprócz RODO, takimi jak:
- California Online Privacy Protection Act (CalOPPA)
- Children’s Online Privacy Protection Act (COPPA)
- Family Eductational Rights and Privacy Act (FERPA)
- Student Online Personal Information Protection Act (SOPIPA)
Spotify jako globalna korporacja posiada zautomatyzowany system obsługi wniosków użytkowników o
dostęp do swoich danych. Skutkiem ubocznym takiego rozwiązania może być spełnienie jedynie
minimalnych wymagań narzuconych przez regulacje prawne, bez uwzględnienia potrzeb konkretnego
wnioskodawcy. W 2018 roku austriacka organizacja pozarządowa NOYB w ramach eksperymentu
sprawdzającego zastosowanie artykułu 15 RODO (dotyczącego prawa dostępu do danych) wysłała
zapytania o dostęp do danych osobowych oraz o zakres ich przetwarzania do 10 dużych korporacji z
branży multimedialnej, w tym do Spotify. [3] Eksperyment wykazał, że odpowiedź otrzymana od
Spotify została dostarczona w nieprzetworzonym formacie maszynowym niezrozumiałym dla
przeciętnego użytkownika, chociaż zawierała większość informacji żądanych przez organizację.
Innym ważnym aspektem zarządzania danymi ze strony Spotify jest zapewnienie zgodności
oferowanych treści z prawami autorskimi. Wielkość oferowanej biblioteki utworów i podcastów
najprawdopodobniej wymusza z wykorzystanie dużych zasobów na ten cel. W związku z wykryciem
naruszenia praw autorskich Spotify zastrzega sobie prawo do zmiany nazwy użytkownika oraz zdjęcia
profilowego bez podania powodu lub powiadomienia o naruszeniu. Spotify może monitorować,
analizować oraz usuwać twórczość użytkowników również bez podania powodu lub powiadomienia.
Firma jasno określa, że przez udostępnianie treści udziela się Spotify licencji do dystrybucji i
przetwarzania owej twórczości.

Przechowywanie danych przez firmę

Firma w chwili rejestracji pobiera dane na temat:
▪ Nazwy profilu
▪ Adresu e-mail
▪ Daty urodzenia
▪ Płci
▪ Adresu pocztowego
▪ Numeru telefonu
▪ Kraju
Gromadzone podczas korzystania z usługi są:
▪ Historia wyszukiwarki
▪ Utworzone playlisty
▪ Odtwarzane utwory i podcasty
▪ Biblioteka użytkownika
▪ Interakcje z innymi użytkownikami
▪ Adres IP, dane plików cookie
▪ Informacje o wykorzystywanych przez użytkownika urządzeniach (system operacyjny,
identyfikatory, typ połączenia, typ przeglądarki, operator).
▪ Informacje na temat urządzeń i aplikacji podmiotów trzecich.
▪ Nieprecyzyjna lokalizacja
▪ Dane gromadzone za pomocą akcelerometru lub żyroskopu (dotyczy urządzeń mobilnych).

6|C yf r owy P ro fil Uży tk ow nik a

Dodatkowe dane, które użytkownik może udostępnić:
▪ Dane głosowe
▪ Imię i nazwisko
▪ Typ karty płatniczej (kredytowa/debetowa)
▪ Kod pocztowy
▪ Numer telefonu
▪ Szczegóły dotyczące zakupów i historia płatności
▪ Dane gromadzone za pomocą konkursów, ankiet i loterii
Dane pozyskiwane z podmiotów trzecich:
▪ Dane z innych serwisów umożliwiających logowanie w Spotify za pomocą ich kont (Facebook,
Apple, Google)
▪ Dane gromadzone przez media społecznościowe
▪ Urządzenia do których podłączone jest konto Spotify (smartwatch, konsola, telefon, samochód)
▪ Dane od asystenta głosowego
▪ Dane uzyskane od partnerów reklamowych i marketingowych:
- Identyfikator plików cookie
- Identyfikator urządzeń mobilnych
- Adres e-mail
- Wnioski (spostrzeżenia związane z zainteresowaniami i preferencji użytkownika)
Większość danych gromadzonych przez Spotify ma sens w kontekście funkcjonalności serwisu. Jako
przykład warto tutaj przytoczyć skargę obywatela Danii do Szwedzkiego Urzędu Ochrony Prywatności
(IMY) z 2018 roku, która wskazywała na nadużycie ze strony firmy Spotify w zakresie przechowywania
danych dotyczących karty płatniczej mimo wycofania się użytkownika z płatnych subskrypcji. [4] IMY
odrzucił skargę argumentując, że przechowywanie tych danych jest elementem zapobiegającym
wyłudzeniom darmowych okresów próbnych dla płatnych subskrypcji i Spotify ma prawo w ten sposób
ograniczać proceder wielokrotnego wykorzystywania okresu próbnego przez tę samą osobę, który jest
sprzeczny z regulaminem korzystania z serwisu.

Wykorzystanie danych
Spotify jasno, choć dość ogólnikowo, określa, jakie dane są wykorzystywane i w jakich celach.
Jako że już wcześniej wymieniono gromadzone dane, tutaj wymienimy tylko cele firmy:
▪ Personalizacja usługi
▪ Poprawa jakości usługi
▪ Rozwój nowych funkcji, technologii i ulepszeń
▪ Cele marketingowe, promocyjne i reklamowe
▪ Przestrzeganie zobowiązań prawnych i wniosków o egzekwowanie prawa
▪ Wypełnienie zobowiązań prawnych z podmiotami zewnętrznymi
▪ Podjęcia działań w przypadku naruszenia praw własności intelektualnej lub udostępniania
nieodpowiednich treści
▪ Ustanawianie, wykonywanie lub obrona roszczeń prawnych
▪ Planowanie biznesowe, raportowanie i prognozowanie
▪ Przetwarzanie płatności
▪ Wykrywanie i zapobieganie oszustwom
▪ Przeprowadzanie badań, konkursów, ankiet i loterii

7|C yf r owy P ro fil Uży tk ow nik a

Spotify informuje też, komu udostępnia gromadzone dane:
▪ Usługodawcom
▪ Podmiotom zajmującym się przetwarzaniem płatności
▪ Partnerom reklamowym
▪ Partnerom marketingowym
▪ Badaczom akademickim
▪ Innym spółkom grupy Spotify
▪ Organy ścigania i inne organy
▪ Nabywcy spółek Spotify
Wszystkie te informacje są wykorzystywane przez firmę przede wszystkim w celach zarobkowych.
Można też jednak znaleźć zastosowanie na przykład w celu identyfikacji użytkownika. Pomoc
techniczna Spotify jest bardzo rozbudowana i umożliwia stosunkowo łatwe odzyskanie lub
zablokowanie konta przejętego w nieuprawniony sposób. Dzięki rozległej bazie danych przez nich
gromadzonej pracownicy Spotify mogą na wiele sposobów zidentyfikować prawowitego posiadacza
konta. Gromadzone informacje są też używane przez organy ścigania, m.in. w celu przechwytywania
przestępców.
Spotify gromadzi ogromną ilość danych, które mogą być przekazywane podmiotom trzecim. Informacje
o tym, gdzie trafiają dane wrażliwe użytkownika powinny być dla niego szczególnie interesujące. Na
swojej stronie internetowej Spotify wymienia partnerów handlowych, z którymi następuje wymiana
informacji w celach marketingowych. Przekazywanie takich danych może zachodzić w obie strony, a w
konsekwencji Spotify może otrzymać wybrane dane osobowe nie bezpośrednio od użytkownika, a od
serwisu partnerskiego. Niestety, wcześniej wspomniany eksperyment przeprowadzony przez NOYB
pokazał, że nawet na wniosek organizacji nie zostały przekazane informacje o celach przekazywania
informacji podmiotom trzecim, ani o źródłach informacji o użytkowniku, których nie dostarczył on sam.

Wnioski
Spotify oferuje usługę wysoko rozpowszechnioną i potrzebną na całym świecie. Ze względu na
ogólnoświatowy zasięg usługi na firmie Spotify spoczywa odpowiedzialność za ochronę danych
osobowych na wielką skalę. Firma dobrze wywiązuje się z tej odpowiedzialności, a przynajmniej na
poziomie spełniającym minimalne wymogi narzucone przez prawo o ochronie danych osobowych, o
czym może świadczyć m.in. jednoznaczne i kompletne wskazanie celów przetwarzania danych
osobowych.
Rejestracja i proces uwierzytelniania użytkownika są bardzo proste, możliwe jest również użycie konta
z zewnętrznej usługi, np. Google. Rejestracja polega na prostej weryfikacji e-mailem, podając wcześniej
nazwę użytkownika oraz hasło. Rozwiązanie to jest standardowe i raczej nie sprawi problemu
przeciętnemu użytkownikowi, ale przez to nie jest ono ponadprzeciętnie bezpieczne. Spotify
najprawdopodobniej bardziej zależy na łatwości dostępu do serwisu niż na szeroko zakrojonej ochronie
poświadczeń użytkowników.
Mimo stosunkowo obszernych informacji na stronie internetowej serwisu w określonych przypadkach
udawało się wykazać brak pełnej transparentności zakresie przechowywania danych osobowych i
przekazywania ich podmiotom trzecim. To może prowadzić do nadużyć, szczególnie związanych z
wykorzystaniem danych do celów zarobkowych bez świadomości użytkownika, na przykład poprzez
sprzedaż całych baz danych innym firmom.
Większość rodzajów danych przetwarzanych przez Spotify wydaje się mieć solidne uzasadnienie w
kontekście funkcjonalności serwisu. Dane gromadzone za pomocą żyroskopu i akcelerometru budzą w
nas największe wątpliwości co do ich przydatności w serwisie strumieniującym muzykę i podcasty.

8|C yf r owy P ro fil Uży tk ow nik a

Firma zabezpieczyła się przed problemami związanymi z prawami autorskimi poprzez zastrzeżenie
sobie praw do usunięcia kont i treści nawet bez podania powodu. Dzięki temu administratorzy mogą
szybko pozbyć się użytkowników naruszających zasady korzystania z serwisu. Otwiera to możliwości
do potencjalnych nadużyć, ale takie postępowanie mogłoby negatywnie wpłynąć na reputację serwisu
zarówno wśród użytkowników, jak i wśród artystów i wytwórni muzycznych. Przegląd opinii
dostępnych w internecie nie wykazał istnienia skarg o usuniętych kontach nierozstrzygniętych wcześniej
przez pomoc techniczną Spotify.
Podsumowując, można stwierdzić, że Spotify jako globalna korporacja prawidłowo wypełnia
podstawowe obowiązki związane z ochroną danych osobowych. Informacje podawane na stronach
internetowych serwisu wydają się wyczerpywać zakres informacji wymagany przez regulacje prawne,
takie jak RODO. Ewentualne problemy z transparentnością przedsiębiorstwa ujawniają się dopiero przy
bardziej szczegółowych zapytaniach o przetwarzanie danych. Może to świadczyć o tym, że firmie zależy
przede wszystkim na utrzymaniu ogólnego zaufania użytkowników do serwisu, a niekoniecznie na
dogłębnej ochronie danych osobowych użytkowników w szczególnych przypadkach. Zaufanie do
Spotify jest niewątpliwie potwierdzone przez popularność serwisu na całym świecie, ale wiąże się to z
ogromną odpowiedzialnością za ochronę danych osobowych użytkowników.

Sugestie
Prostota zastosowanego rozwiązania na potrzeby uwierzytelniania użytkownika oznacza wiele
możliwości zwiększenia bezpieczeństwa poświadczeń. Można by to osiągnąć na przykład poprzez
wprowadzenie logowania za pomocą biometrii odcisku palca, co z powodzeniem jest stosowane w wielu
innych najbardziej popularnych serwisach. Aby jakikolwiek sposób ochrony przed wyłudzeniem danych
był skuteczny, Spotify musiałoby ograniczyć użytkownikom możliwość korzystania z opcji
zapamiętania loginu i hasła, co jednak jest bardzo wygodne, bo pozwala ominąć proces logowania przy
każdym załączeniu aplikacji. Biometria odcisku palca jest jednym z najmniej czasochłonnych sposobów
uwierzytelniania, co mogłoby ułatwić przekonanie użytkowników do porzucenia opcji zapamiętywania
loginu i hasła.
Naszym zdaniem, firma mogłaby być jeszcze bardziej otwarta w kwestii opisu wykorzystywanych
danych, a szczególnie informacji o adresach zamieszkania, kodach pocztowych i numerach telefonów
komórkowych. Szczególnie ważne byłoby, aby użytkownik czuł się dobrze poinformowany o tym,
komu dokładnie i po co takie dane są przekazywane dalej. Ten sam problem dotyczy danych
otrzymywanych przez Spotify od podmiotów trzecich, które nie zostały wprowadzone przez
użytkownika podczas rejestracji lub zakupu planu subskrypcji.
Zbieranie szczegółowych informacji o urządzeniach wykorzystanych przez użytkownika nie wydaje się
niezbędne do korzystania z usługi, ponieważ plany subskrypcji “Duo” oraz “Family”, gdzie mogłoby to
mieć znaczenie, ograniczają liczbę kont użytkowników, a nie liczbę urządzeń, z których można
korzystać. Idealnie byłoby ograniczyć te dane do niezbędnego minimum, na przykład do unikalnego
identyfikatora sprzętowego nieprzekazującego w sobie cech urządzenia. W praktyce, zdając sobie
sprawę z tego, że tego typu dane są przydatne do profilowania klientów, naszym zdaniem należałoby
przynajmniej odpowiednio uzasadnić cele przetwarzania tego typu danych.
Powołując się na opisany wcześniej eksperyment organizacji NOYB, można zasugerować, aby
automatyczny system obsługi wniosków o dostęp do danych zwracał informacje nie w formie
nieprzetworzonego tekstu maszynowego, który jest niezrozumiały dla przeciętnego użytkownika, a w
formie czytelnego raportu tekstowego. Takie działanie byłoby w interesie firmy, ponieważ
ograniczyłoby podstawy do składania skarg przez użytkowników powołujących się na artykuł 15
RODO.

9|C yf r owy P ro fil Uży tk ow nik a

Źródła

[1] http://www.agileleanhouse.com/lib/lib/People/HenrikKniberg/SpotifyScaling.pdf [dostęp 5.01.2022]

[2] https://www.spotify.com/pl/legal/end-user-agreement/ [dostęp 5.01.2022]

[3]https://noyb.eu/en/netflix-spotify-youtube-eight-strategic-complaints-filed-right-access [dostęp: 5.01.2022]

[4] https://www.imy.se/tillsyner/spotify/ [dostęp: 5.01.2022]

10 | C y f r o w y P r o f i l U ż y t k o w n i k a