Πέντε εκατομμύρια ευρώ πρόστιμο επιβλήθηκε στο Spotify από την Σουηδική Αρχή Προστασίας του Απορρήτου (ΙΜΥ) για παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR).
Λόγω καταγγελιών που έλαβε η Σουηδική Αρχή για την Προστασία του Απορρήτου (IMY) κατά του Spotify AB σχετικά με το δικαίωμα πρόσβασης, η IMY προέβη σε έλεγχο του τρόπου με τον οποίο το Spotify χειρίζεται το δικαίωμα των χρηστών να έχουν πρόσβαση στα προσωπικά τους δεδομένα.
Η IMY διαπίστωσε ότι το Spotify παρέχει σε ιδιώτες τα προσωπικά δεδομένα που επεξεργάζεται η εταιρεία όταν αυτοί το ζητούν. Επίσης, το Spotify παρέχει επίσης πληροφορίες στο άτομο που ζητά πρόσβαση σχετικά με τον τρόπο με τον οποίο το Spotify χρησιμοποιεί αυτά τα δεδομένα και αυτές οι πληροφορίες πρέπει να είναι εύκολα κατανοητές. Επιπλέον, προσωπικά δεδομένα που είναι δύσκολο να κατανοηθούν, όπως αυτά τεχνικής φύσης, μπορεί να χρειαστεί να εξηγούνται όχι μόνο στα αγγλικά αλλά στη μητρική γλώσσα του χρήστη. Σε αυτά τα σημεία η IMY διαπίστωσε ορισμένες ελλείψεις κατά τον έλεγχο του Spotify.
Οι ελλείψεις που διαπιστώθηκαν θεωρούνται χαμηλού επιπέδου σοβαρότητας. Υπό το πρίσμα αυτο και, μεταξύ άλλων, ληφθέντος υπόψη του αριθμού των εγγεγραμμένων χρηστών και του κύκλου εργασιών του Spotify, η IMY επέβαλε διοικητικό πρόστιμο σχεδόν 5 εκατομμυρίων ευρώ (58 εκατομμύρια SEK) κατά του Spotify επειδή δεν παρείχε επαρκώς σαφείς πληροφορίες σε ιδιώτες.
Η Σουηδική Αρχή ειδικότερα εντόπισε ελλείψεις που σχετίζονται με τις πληροφορίες σύμφωνα με το άρθρο 15.1 a-h και 15.2 του GDPR που πρέπει να παρέχονται στο άτομο που υποβάλλει το αίτημα και με την περιγραφή των δεδομένων στα τεχνικά αρχεία καταγραφής που παρέχονται από το Spotify. Η IMY επέβαλε διοικητικό πρόστιμο 58 εκατομμυρίων SEK κατά του Spotify επειδή δεν παρείχε επαρκώς σαφείς πληροφορίες σε ιδιώτες. Η απόφαση σε αυτό το μέρος περιλαμβάνει παραβάσεις των άρθρων 12.1, 15.1 a-d, g και 15.2 του GDPR.
Η Αρχή διαπίστωσε περαιτέρω ότι το Spotify είχε αποτύχει στον χειρισμό των αιτημάτων για πρόσβαση που αφορούσαν σε δύο από τις τρεις καταγγελίες που εξετάστηκαν. Η απόφαση για αυτό το μέρος περιλαμβάνει παραβίαση των άρθρων 12.1, 12.3, 15.3 και 15.1 a-h και 15.2 του GDPR. Σε σχέση με αυτές τις παραβάσεις, η ΙΜΥ εξέδωσε επίπληξη και διαταγή συμμόρφωσης με το αίτημα πρόσβασης ενός καταγγέλλοντος.