Spotify krijgt boete van € 5 miljoen voor overtreding GDPR

This page has been translated automatically. Read the original or leave us a message if something is not right.
Data Subject Rights
 /  13 June 2023
Spotify

Spotify krijgt boete van € 5 miljoen voor GDPR-overtredingen.
Streamingdienst beantwoordde verzoeken om toegang tot gegevens niet naar behoren.

Na een noyb-klacht en een rechtszaak over inactiviteit heeft de Zweedse gegevensbeschermingsautoriteit (IMY) een boete van 58 miljoen Zweedse kronen (ongeveer € 5 miljoen) opgelegd aan Spotify. Hoewel gebruikers recht hebben op toegang tot al hun gegevens en informatie over het gebruik van hun gegevens, heeft Spotify deze verplichting niet volledig nageleefd. Het IMY was met de zaak belast omdat Spotify zijn hoofdvestiging in Zweden heeft. De noyb-klacht werd gevoegd met een klacht die in Nederland was ingediend door Bits of Freedom.

Klacht. Op 18 januari 2019 heeft noyb een aantal klachten ingediend tegen verschillende streamingdiensten, omdat zij gebruikers geen gemakkelijke manier boden om hun recht op toegang uit te oefenen op grond van artikel 15 GDPR. Een van deze klachten werd ingediend in Oostenrijk en betrof het verzuim van Spotify om alle persoonsgegevens en informatie over het gebruik van de gegevens te verstrekken. Omdat Spotify in Zweden is gevestigd, werd de zaak doorgestuurd naar de Zweedse autoriteit voor gegevensbescherming (IMY).

Rechtszaak tegen IMY. Meer dan vier jaar werd er geen uitspraak gedaan over de klacht. Het IMY zei zelfs dat de klagers geen partij zijn in de procedure. Op 22 juni 2022 spande noyb daarom een rechtszaak aan tegen het IMY bij de Zweedse rechter over het uitblijven van een beslissing. Hoewel het IMY zich aanvankelijk verzette tegen het idee dat het over klachten moest beslissen, kozen de Zweedse rechtbanken de kant van noyb. Hoewel de zaak nog in behandeling is bij de hoogste administratieve rechtbank, heeft het IMY nu een beslissing genomen over de klacht van noyb en over Spotify's bredere aanpak van het verstrekken van informatie aan gebruikers. De zaak werd gevoegd met een andere klacht van onze collega's van Bits of Freedom in Nederland.

Stefano Rossetti, privacy advocaat bij noyb:"We zijn blij dat de Zweedse autoriteit eindelijk actie heeft ondernomen. Het is een basisrecht van elke gebruiker om volledige informatie te krijgen over de gegevens die over hem worden verwerkt. De zaak heeft echter meer dan 4 jaar geduurd en we hebben het IMY moeten aanklagen om een beslissing te krijgen. De Zweedse overheid moet absoluut haar procedures versnellen."

Recht op toegang. Het recht op toegang geeft niet alleen recht op een kopie van de eigen gegevens van gebruikers, maar ook op informatie over de bron, ontvangers van persoonlijke gegevens of details over internationale gegevensoverdrachten. In het geval van Spotify werd deze informatie niet volledig verstrekt. Bovendien gaf het bedrijf slechts toegang tot "een deel" van de gegevens, zonder de betrokkene te informeren over hoe hij de rest kon krijgen. IMY heeft Spotify op grond van artikel 58, lid 2, onder c) GDPR bevolen om eindelijk de volledige set gegevens te verstrekken.

noyb zal de beslissing nu in detail beoordelen om te zien of het IMY de rechten van de gebruikers volledig heeft gehandhaafd.