Szwedzki Urząd Ochrony Prywatności (IMY) nałożył 58 milionów SEK (ok. 5,4 miliona dolarów) kary na firmę Spotify AB za naruszenia RODO w następstwie złożonych skarg.
IMY otrzymał skargi na postępowanie Spotify wobec wniosków o dostęp do danych składanych od maja 2018 roku, a postępowanie w sprawie korzystania z praw związanych z przetwarzaniem danych rozpoczęło w 2019 roku, zwracając szczególną uwagę na prawo dostępu.
Organ stwierdził, że Spotify dostarcza informacje o korzystaniu z praw dotyczących danych w 21 różnych językach, a język dostarczanych informacji będzie zależał od ustawień językowych używanej przeglądarki. IMY uznał również, że Spotify dostarcza informacje o celu przetwarzania, kategoriach przetwarzanych danych osobowych i źródle danych osobowych, między innymi, w powiadomieniu o prywatności. Co ważne, informacje dotyczące prywatności przekazywane przez Spotify zawierały instrukcje, jak korzystać z prawa dostępu do danych.
Jednak informacje dotyczące prywatności muszą być zredagowane w sposób spełniający wymogi przejrzystości. Dlatego IMY uznało, że Spotify naruszyło artykuł 12(1) RODO.
Dodatkowo, w odniesieniu do celu prawa dostępu IMY stwierdził, że istnieje konieczność dostosowania treści informacji dotyczących artykułów 15(1) i 15(2) RODO, w zależności od wybranych przez podmiot danych usług, takich jak kategorie przetwarzanych danych osobowych, odbiorcy. IMY stwierdził również, że te same wymagania dotyczące dostosowania treści dotyczą przekazywania danych do krajów trzecich oraz stosownych środków ochrony takiego przekazu, zgodnie z artykułem 15(2) RODO.
Informacje udostępniane przez Spotify podmiotom danych nie były wystarczająco precyzyjne. Na przykład, osoby, których dane dotyczą muszą wiedzieć, jak firmy korzystają z ich danych, jak długo ich dane będą przechowywane. W odniesieniu do transferów danych do krajów trzecich, IMY stwierdziło, że podmioty danych muszą otrzymać istotne informacje, które umożliwiają określenie, czy ich dane osobowe zostały przekazane, a jeśli tak, jakie środki ochrony zostały zastosowane.
Z powyższych powodów organ nadzorczy uznał, że Spotify naruszyło przepisy RODO i nałożył nań karę 58 milionów SEK (ok. 5,4 miliona dolarów).