Integritetsskyddsmyndigheten (IMY) har granskat hur Spotify hanterar kunders rätt att få tillgång till sina personuppgifter. De brister som upptäckts gör att IMY utfärdar en sanktionsavgift på 58 miljoner kronor mot bolaget.
Av beslutet framgår att dataskyddsförordningen (GDPR) trädde i kraft 2018 och innebär bland annat att rättigheterna för enskilda stärks. En sådan rättighet är rätten till tillgång som innebär en rätt för enskilda att få reda på vilka personuppgifter som en verksamhet hanterar om personen ifråga och att få information om hur dessa uppgifter används.
IMY har granskat hur Spotify hanterar rätten för enskilda att få tillgång till sina personuppgifter. IMY anser att Spotify lämnar ut de personuppgifter bolaget behandlar när enskilda begär det men att bolaget inte informerar tillräckligt tydligt om hur dessa uppgifter används av bolaget.
Kunder som har vänt sig till Spotify för att begära tillgång till sina personuppgifter har kunnat välja vilka personuppgifter de vill ha tillgång till genom att Spotify har delat upp kundernas personuppgifter i olika lager. I ett lager finns de uppgifter som Spotify bedömt vara av störst intresse för de registrerade, exempelvis kundens kontakt- och betaluppgifter, vilka artister kunden följer och lyssningshistorik för en viss tid. Vill kunden ha mer detaljerade uppgifter, exempelvis alla tekniska loggfiler som rör kunden, har det också gått att begära ut dessa i ett annat lager.
Syftet med rätten till tillgång är att ge enskilda möjlighet att kontrollera att hanteringen av deras personuppgifter är laglig. Att den enskilda får tillräcklig information är ofta en förutsättning för att utöva andra rättigheter, exempelvis rätten att få felaktiga uppgifter rättade eller borttagna. Eftersom den information som Spotify lämnat har varit otydlig har det varit svårt för enskilda att förstå hur deras personuppgifter behandlas och att kontrollera om hanteringen av deras personuppgifter är laglig.
Spotify har vidtagit flera åtgärder i syfte att tillgodose kraven på enskildas rätt till tillgång och bristerna som upptäckts bedöms sammantaget vara av låg allvarlighetsgrad. Mot bakgrund av det och bland annat antalet registrerade och Spotifys omsättning utfärdar IMY en administrativ sanktionsavgift på 58 miljoner kronor mot Spotify för att den information bolaget lämnat till enskilda inte varit tillräckligt tydlig.
Eftersom Spotify har användare i många länder har detta beslut fattats i samarbete med övriga dataskyddsmyndigheter i EU.