Dataskyddsförordningen, GDPR, trädde i kraft 2018 och innebär bland annat att rättigheterna för enskilda stärks. En sådan rättighet är rätten till tillgång som innebär en rätt för enskilda att få reda på vilka personuppgifter som en verksamhet hanterar om personen ifråga och att få information om hur dessa uppgifter används.
IMY har granskat hur Spotify hanterar rätten för enskilda att få tillgång till sina personuppgifter. IMY anser att Spotify lämnar ut de personuppgifter bolaget behandlar när enskilda begär det men att bolaget inte informerar tillräckligt tydligt om hur dessa uppgifter används av bolaget.
– Informationen som bolaget lämnar om hur och för vilka syften enskildas personuppgifter hanteras borde vara mer specifik. Det ska vara lätt för den som begär tillgång till sina uppgifter att förstå hur bolaget använder dessa uppgifter. Dessutom kan personuppgifter som är svåra att förstå, exempelvis de av teknisk karaktär, behöva förklaras inte bara på engelska utan på den enskildes eget språk. I dessa delar har vi sett vissa brister, säger Karin Ekström som är en av de jurister som lett granskningen.
Kunder som har vänt sig till Spotify för att begära tillgång till sina personuppgifter har kunnat välja vilka personuppgifter de vill ha tillgång till genom att Spotify har delat upp kundernas personuppgifter i olika lager. I ett lager finns de uppgifter som Spotify bedömt vara av störst intresse för de registrerade, exempelvis kundens kontakt- och betaluppgifter, vilka artister kunden följer och lyssningshistorik för en viss tid. Vill kunden ha mer detaljerade uppgifter, exempelvis alla tekniska loggfiler som rör kunden, har det också gått att begära ut dessa i ett annat lager.
– Det finns inte något hinder mot att dela upp kopian på personuppgifter i olika lager så länge rätten till tillgång tillgodoses. Det kan i vissa situationer tvärtom underlätta för den registrerade att ta till sig informationen om den presenteras uppdelat, i vart fall när det är fråga om en omfattande mängd information. Det är viktigt att den enskilde förstår vilka uppgifter som finns i de olika lagren och hur de kan begäras. Här anser vi att Spotify har gjort tillräckligt, säger Karin Ekström.
Syftet med rätten till tillgång är att ge enskilda möjlighet att kontrollera att hanteringen av deras personuppgifter är laglig. Att den enskilda får tillräcklig information är ofta en förutsättning för att utöva andra rättigheter, exempelvis rätten att få felaktiga uppgifter rättade eller borttagna. Eftersom den information som Spotify lämnat har varit otydlig har det varit svårt för enskilda att förstå hur deras personuppgifter behandlas och att kontrollera om hanteringen av deras personuppgifter är laglig.
Spotify har vidtagit flera åtgärder i syfte att tillgodose kraven på enskildas rätt till tillgång och bristerna som upptäckts bedöms sammantaget vara av låg allvarlighetsgrad. Mot bakgrund av det och bland annat antalet registrerade och Spotifys omsättning utfärdar IMY en administrativ sanktionsavgift på 58 miljoner kronor mot Spotify för att den information bolaget lämnat till enskilda inte varit tillräckligt tydlig.
Eftersom Spotify har användare i många länder har detta beslut fattats i samarbete med övriga dataskyddsmyndigheter i EU.
För mer information kontakta
Jurist Karin Ekström, telefon 08-657 61 87
Presstjänsten, telefon 08-515 15 415