Onlangs werd duidelijk dat Spotify de mogelijkheid test om advertenties die gebruikers niet interessant vinden, onbeperkt te kunnen overslaan. Maar zo weet de streamingdienst juist ook welke reclame gebruikers wél willen horen. Een mooie aanleiding om eens goed in het privacybeleid van Spotify te duiken.
Als een organisatie persoonsgegevens gebruikt, moet voor elk soort gebruik van die gegevens een grondslag bestaan. Zonder rechtsgrond mogen gegevens niet worden gebruikt. De AVG kent zes mogelijke grondslagen, waaronder toestemming, uitvoering van een overeenkomst waar je partij van bent of op basis van het gerechtvaardigd belang van de organisatie.
In een apart hoofdstuk heeft Spotify op heldere wijze in een tabel de verwerkingsdoeleinden en daarnaast de relevante rechtsgrond(en) en de gebruikte categorieën van persoonsgegevens op een rij gezet. Je vindt het Spotify-privacybeleid hier.
De vraag die rijst is of dit overzicht van verwerkingen compleet is. Verderop in het privacybeleid van Spotify benoemt Spotify duidelijk de categorieën van partijen aan wie Spotify gegevens verstrekt. Zo deelt Spotify persoonsgegevens van gebruikers bijvoorbeeld met zogenoemde ‘Spotify Partners en Academische onderzoekers’. Op welke rechtsgronden deze verstrekkingen plaatsvinden, wordt niet gespecificeerd.
Bewaartermijnen
Op grond van de AVG dient Spotify gebruikers te informeren over de bewaartermijnen van persoonsgegevens of – indien dat niet mogelijk is – de criteria om die periode te bepalen. Spotify doet dat als volgt:
Het lijkt dus niet mogelijk om concrete bewaartermijnen te geven. De opslagperiode of de criteria om die te bepalen zouden altijd zodanig moeten worden geformuleerd dat de gebruiker op basis van zijn of haar eigen situatie kan beoordelen wat de bewaartermijn voor specifieke gegevens/doeleinden is. Het is niet voldoende dat Spotify in algemene zin verklaart dat persoonsgegevens zo lang worden bewaard als nodig is voor het rechtmatige doel van de verwerking.
Want hoelang worden gegevens nu daadwerkelijk bewaard als ze worden bewaard ‘voor legitieme en essentiële zakelijke doeleinden, zoals het in werking houden van de Spotify Service, het nemen van op gegevens gebaseerde zakelijke beslissingen over nieuwe functies’? Spotify zou hier de verschillende opslagperioden voor verschillende categorieën van persoonsgegevens en/of verschillende verwerkingsdoeleinden moeten vermelden.
Delen met andere landen
Spotify informeert gebruikers dat zij persoonsgegevens wereldwijd deelt met andere bedrijven in de Spotify-groep. Dit betreft de bedrijven in de volgende landen: Australië, Oostenrijk, België, Brazilië, Canada, Denemarken, Duitsland, Finland, Frankrijk, Groot-Brittannië, Hongkong, Italië, Japan, Luxemburg, Mexico, Nederland, Polen, Singapore, Spanje, Zweden, Zwitserland, Taiwan, Turkije en de Verenigde Staten.
Daarnaast kan Spotify persoonsgegevens doorgeven aan dienstverleners in andere landen dan het land van verblijf van gebruikers. “Uw persoonsgegevens kunnen zodoende onderworpen zijn aan andere privacywetgeving dan die in uw land van verblijf”, aldus Spotify. Welke derde landen dit dan zijn, meldt Spotify niet.
Het verstrekken van persoonsgegevens die zijn verzameld binnen de EU naar landen buiten de EU is alleen toegestaan indien de AVG dit toelaat en gebruik is gemaakt van de bijbehorende mechanismen, zoals het adequaatheidsbesluit, de bindende bedrijfsvoorschriften en de standaardbepalingen inzake gegevensbescherming. Spotify dient in aanvulling op het bovenstaande het toepasselijke artikel van de AVG dat de doorgifte en het gebruik van de bijbehorende mechanismen toestaat te specificeren.
Ook dient informatie te worden verstrekt over de plaats waar of de wijze waarop het desbetreffende document kan worden ingezien of verkregen, bijvoorbeeld door een link naar het toegepaste mechanisme (bijvoorbeeld de standaard EU-contractclausules die Spotify noemt) te plaatsen.
Conclusie
Het privacybeleid van Spotify is geschreven in duidelijke en eenvoudige taal, waarbij ingewikkelde zinnen en taalstructuren zijn vermeden. Hoewel wellicht niet compleet, zijn de doeleinden van en de rechtsgrond voor de verwerking van persoonsgegevens duidelijk en simpel beschreven. Daarnaast bevat het privacybeleid een inhoudsopgave die in één oogopslag duidelijk maakt welke informatie waar te vinden is.
Het privacybeleid van Spotify lijkt een volledig en helder overzicht te bieden van het gebruik van persoonsgegevens. Daarbij is de taal van het privacystatement simpel en duidelijk en wordt juridisch taalgebruik vermeden. Spotify dient op enkele punten gebruikers nog wel nadere informatie te verstrekken.
Tekst: Lora Mourcous (SOLV advocaten)