Švédsko: Spotify dostalo 5 milionů eur pokutu
Švédský úřad pro ochranu osobních údajů pokutuje Spotify 5 miliony eur kvůli nedostatečným informacím o zpracování údajů, nejasnému popisu shromážděných údajů.
Okolnosti
Švédský úřad pro ochranu osobních údajů (IMY) přezkoumal, jak společnost Spotify zpracovává žádosti uživatelů o právo na přístup k jejich sdíleným údajům. Zjištěné nedostatky způsobily, že IMY udělil společnosti sankci ve výši 58 milionů švédských korun.
V návaznosti na několik stížností jednotlivců na poskytovatele hudebních streamovacích služeb zahájil švédský úřad pro ochranu osobních údajů v roce 2019 první šetření.
Společnost Spotify AB má pobočky a uživatele v několika členských státech EU. Vzhledem k přeshraniční povaze případu použil IMY postupy spolupráce a jednotnosti stanovené v kapitole VII GDPR.
Do tohoto případu byly zapojeny všechny úřady pro ochranu údajů v EU jako dozorové úřady a řízení vedl švédský úřad pro ochranu údajů.
Během šetření tento úřad zjistil několik problémů se zpracováním žádostí o informace a přístup.
Stanovisko
IMY se domnívá, že společnost Spotify zveřejňuje osobní údaje, které zpracovává, když o to jednotlivci požádají, ale že společnost dostatečně jasně neinformuje o tom, jak tyto údaje společnost využívá.
Právo na přístup neposkytuje pouze právo získat kopii vlastních údajů uživatelů, ale také informace o jejich zdroji, příjemcích osobních údajů nebo podrobnosti o mezinárodním předávání údajů. V případě společnosti Spotify nebyly tyto informace poskytnuty v plném rozsahu. Společnost navíc poskytla přístup pouze k "některým" údajům, aniž by subjekt údajů informovala o tom, jak získat zbytek.
Informace, které společnost poskytuje o tom, jak a pro jaké účely s osobními údaji jednotlivců nakládá, by měly být konkrétnější. Pravidelně poskytované informace například neobsahovaly účely zpracování. Pravidelně také chyběly kategorie osobních údajů, kterých se zpracování týká, a kategorie příjemců osobních údajů.
Nepřesné bylo také období, během něhož byly osobní údaje shromažďovány. K dispozici nebyly ani informace o přiměřených zárukách pro předávání osobních údajů do třetích zemí.
Podle zákona o ochraně osobních údajů musí být pro osobu, která žádá o přístup ke svým údajům, snadné pochopit, jak společnost tyto údaje používá. Navíc osobní údaje, které jsou obtížně srozumitelné, například údaje technické povahy, může být nutné vysvětlit nejen v angličtině, ale i v jazyce dané osoby.