Szwedzki organ nadzorczy (IMY) udzielił nagany firmie Spotify AB nagany za naruszenie art. 12 ust. 2, art. 12 ust. 3, art. 15 i art. 16 RODO. IMY wszczął dochodzenie w następstwie skargi. Skarżący twierdził, że administrator odmówił mu dokonania aktualizacji danych adresowych. Według Spotify zmiana danych nie była możliwa bez usunięcia konta i założenia nowego. Skarżący chciał również skorzystać z prawa dostępu. Spotify nie sprostało obowiązkom administratora także i w tym przypadku.
Skarżący złożył wniosek o dostęp do danych w grudniu 2018 r. Spotify udzieliło odpowiedzi na to zapytanie dopiero w czerwcu 2021 r. IMY stwierdził, że Spotify nie sprawował właściwej kontroli technicznej nad kontem w celu zapewnienia użytkownikowi możliwości dokonania zmian dotyczących go danych.
Podejmując decyzję o nałożeniu nagany na Spotify, IMY uwzględnił następujące czynniki łagodzące:
- naruszenie dotyczyło jednej osoby,
- dane osobowe nie miały charakteru wrażliwego,
- administrator nie został wcześniej ukarany za naruszenie RODO,
- Spotify ostatecznie dokonał aktualizacji danych i zmienił swoje procedury tak, aby na przyszłość osobom, których dane dotyczą korzystanie z ich praw.