Integritetsskyddsmyndigheten (“IMY”) har den 24 mars 2021 beslutat att Spotify AB har behandlat personuppgifter i strid med artikel 12.4 dataskyddsförordningen (“GDPR”) genom att bolaget i sitt svar till klaganden inte på ett klart och tydligt sätt redogjort för vilka uppgifter som behandlas, att uppgifterna behandlas med stöd av ett berättigat intresse och vad det berättigade intresset är samt inte informerat om möjligheten att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning.
IMY konstaterar dock att Spotify har påvisat avgörande berättigade skäl för att behandla klagandens personuppgift i form av en unik betalningsinstrument-identifierare och därför inte varit skyldigt att radera uppgiften med anledning av klagandens invändning mot behandlingen.
IMY ger Spotify en reprimand enligt artikel 58.2 b GDPR för den konstaterade överträdelsen.