Granskningen av musikstreamingjätten Spotify inleddes efter att Integritetsskyddsmyndigheten, IMY, mottagit klagomål från allmänheten beträffande rätten till tillgång enligt artikel 15 i dataskyddsförordningen, GDPR. Enskilda har mer specifikt rätt att få reda på vilka personuppgifter som en verksamhet hanterar om personen i fråga och att få information om hur dessa uppgifter används.

Utifrån granskningen har IMY kunnat slå fast att Spotify i och för sig lämnar ut de personuppgifter man behandlar när man får begäran om detta. Däremot är man för dålig på att informera om hur uppgifterna används av bolaget.

Spotify borde tydligare ange sina ändamål för behandlingen, vilka kategorier av personuppgifter som behandlingen gäller, vilka kategorier som är mottagare av personuppgifterna, de förutsedda perioder som personuppgifterna kommer att lagras under, varifrån personuppgifterna kommer samt lämpliga skyddsåtgärder när personuppgifter överförs till tredje land.

Bolagets standard att tillhandahålla beskrivningen av uppgifterna i de tekniska loggfilerna på engelska är dessutom inte acceptabelt. Att inte använda den enskildes eget språk innebär nämligen att man inte kan anses ha uppfyllt kraven på att all kommunikation som lämnas till den registrerade ska vara tydlig och begriplig.

Att Spotify valt att dela upp kundernas personuppgifter i olika lager där de uppgifter man bedömt vara av störst intresse för de registrerade – exempelvis kundens kontakt- och betaluppgifter, vilka artister kunden följer och lyssningshistorik för en viss tid – är inte något problem i sig. ”Det kan i vissa situationer tvärtom underlätta för den registrerade att ta till sig informationen om den presenteras uppdelat, i vart fall när det är fråga om en omfattande mängd information”, skriver myndigheten i sitt beslut. Man betonar samtidigt att den personuppgiftsansvarige måste se till att detta inte inskränker rätten till tillgång eller försvårar utövandet av denna.

Sammantaget får bolaget också alltså bakläxa på detta område. Syftet med rätten till tillgång är att man som enskild ska kunna kontrollera att personuppgiftshanteringen är laglig – och en tillräcklig information från företaget är också ofta en förutsättning för att utöva andra rättigheter, som att få felaktiga uppgifter rättade eller borttagna. Den otydliga information som Spotify lämnat har gjort det svårt för enskilda att förstå hur deras personuppgifter behandlas och att kontrollera om hanteringen av deras personuppgifter är laglig.

Spotify har vidtagit flera åtgärder för att tillgodose kraven på enskildas rätt till tillgång och bristerna är enligt IMY inte speciellt allvarliga. Mot bakgrund av detta, antalet registrerade samt bolagets omsättning utfärdare IMY dock en administrativ sanktionsavgift på 58 miljoner kronor för den bristande informationen.