Sanktionsavgift på 58 miljoner kronor mot Spotify för överträdelser av GDPR
Integritetsskyddsmyndigheten (IMY) meddelar att den granskning som genomförts mot Spotify avseende hur bolaget hanterar kunders rätt att få tillgång till sina personuppgifter utmynnat i att bolaget brister i fråga om denna rättighet. Beslutet är av betydelse för framtida informationshantering då det härmed blivit tydligare vad IMY samt övriga dataskyddsmyndigheter inom EU förväntar sig i nämnt hänseende.
Granskningen har föranletts av enskilda klagomål som lämnats in från registrerade i olika medlemsstater om att Spotify inte uppfyller den informationsskyldighet bolaget måste efterfölja enligt art. 12-15 GDPR. I korthet anger nämnda bestämmelser de förutsättningar som måste gälla för att syftet med informationsskyldigheten ska uppfyllas, nämligen att den vars personuppgifter registrerats ska kunna bedöma huruvida behandlingen av dessa är laglig. IMY förklarar i beslutet att Spotifys rutiner för att säkerställa det angivna syftet varit bristfälliga, i huvudsak eftersom dessa i flera hänseenden varit för generella i fall där enskilda begärt ut information om behandlingen av deras personuppgifter.
Beslutet kan sägas innebära ett förtydligande om vad företag bör ha i åtanke vid omfattande personuppgiftsbehandling samt vikten av att inte underskatta informationsskyldigheten. Särskilt bör personuppgiftsansvariga göra sitt yttersta för att se till att den egna informationen är tillräcklig för att enskilda ska förstå huruvida behandlingen är laglig. I anslutning härtill är det av vikt att beakta intresset av:
ett lätt tillgängligt språk, vilket även innebär att informationen kan behöva anpassas för respektive registrerad person som begär ut information,
en pedagogisk kategorisering av vilka personuppgifter som behandlas i vilket syfte,
vikten av att skilja på generell information som alla kan ta del av om personuppgifter och sådan precis information som behövs i fall där enskilda begär information om behandlingen av deras personuppgifter samt
att underlätta för den enskilde att kunna få information om behandlingen av dennes personuppgifter, exempelvis genom att göra det möjligt för denne att endast behöva höra av sig till den personuppgiftsansvarige vid ett enskilt tillfälle för att kunna tillhandahållas önskad information.
Spotify kommer att överklaga beslutet.