Lexnova Nyheter

Sveriges största juridiska nyhetstjänst – bevakning av rättsfall, lagstiftning och förarbeten inom alla rättsområden och instanser.

  • Rättsfall

GDPR-avgift mot Spotify på 58 miljoner fastställs av kammarrätten

Trots att kammarrätten anser att Spotify begått färre överträdelser än vad tidigare instanser kommit fram till, bedöms GDPR-bristerna som tillräckligt allvarliga för att fastställa Integritetsskyddsmyndighetens sanktionsavgift om 58 miljoner kronor.

Granskningen av musikstreamingjätten Spotify inleddes efter att Integritetsskyddsmyndigheten, IMY, mottagit klagomål från allmänheten beträffande rätten till tillgång enligt artikel 15 i dataskyddsförordningen, GDPR. Enligt bestämmelsen har enskilda rätt att få reda på vilka personuppgifter som en verksamhet hanterar om personen i fråga och att få information om hur dessa uppgifter används.

Utifrån granskningen har IMY kunnat slå fast att Spotify i och för sig lämnar ut de personuppgifter man behandlar när man får begäran om detta. Däremot är man för dålig på att informera om hur uppgifterna används av bolaget.

Spotify borde tydligare ange sina ändamål för behandlingen, vilka kategorier av personuppgifter som behandlingen gäller, vilka kategorier som är mottagare av personuppgifterna, de förutsedda perioder som personuppgifterna kommer att lagras under, varifrån personuppgifterna kommer samt lämpliga skyddsåtgärder när personuppgifter överförs till tredje land.

Bolagets standard att tillhandahålla beskrivningen av uppgifterna i de tekniska loggfilerna på engelska är dessutom inte acceptabel. Att inte använda den enskildes eget språk innebär nämligen att man inte kan anses ha uppfyllt kraven på att all kommunikation som lämnas till den registrerade ska vara tydlig och begriplig.

Att Spotify valt att dela upp kundernas personuppgifter i olika lager där de uppgifter man bedömt vara av störst intresse för de registrerade – exempelvis kundens kontakt- och betaluppgifter, vilka artister kunden följer och lyssningshistorik för en viss tid – är inte något problem i sig. ”Det kan i vissa situationer tvärtom underlätta för den registrerade att ta till sig informationen om den presenteras uppdelat, i vart fall när det är fråga om en omfattande mängd information”, skrev myndigheten i sitt beslut. Man betonar samtidigt att den personuppgiftsansvarige måste se till att detta inte inskränker rätten till tillgång eller försvårar utövandet av denna.

Sammantaget fick bolaget också alltså bakläxa på detta område. Syftet med rätten till tillgång är att man som enskild ska kunna kontrollera att personuppgiftshanteringen är laglig – och en tillräcklig information från företaget är också ofta en förutsättning för att utöva andra rättigheter, som att få felaktiga uppgifter rättade eller borttagna. Den otydliga information som Spotify lämnat har gjort det svårt för enskilda att förstå hur deras personuppgifter behandlas och att kontrollera om hanteringen av deras personuppgifter är laglig.

Spotify har vidtagit flera åtgärder för att tillgodose kraven på enskildas rätt till tillgång och bristerna är enligt IMY inte speciellt allvarliga. Mot bakgrund av detta, antalet registrerade samt bolagets omsättning utfärdade IMY dock en administrativ sanktionsavgift på 58 miljoner kronor för den bristande informationen.

Förvaltningsrätten i Stockholm ansåg i likhet med IMY att Spotifys beskrivning av vilka personuppgifter som behandlas varit bristfällig. I beskrivningen finns dock en länk till bolagets integritetspolicy, som innehåller kompletterande beskrivningar av de kategorier som behandlas. Användaren har dock varit tvungen att aktivt leta efter relevant information i policyn och bristerna läks därför inte av länken. Bolaget har alltså överträtt GDPR i denna del. Domstolen ansåg dock att Spotify hade lämnat tillräcklig information om lagringsperioder samt skyddsåtgärder när personuppgifter överförs till tredjeland.

Rätten delade dock IMY:s bedömning att den information som användarna fått på sitt lokala språk inte varit tillräckligt omfattande för att förstå personuppgifterna i de tekniska loggfilerna.

Det fanns fog för att påföra bolaget en sanktionsavgift. Dock ska överträdelsen som gäller loggfilerna inte beaktas, eftersom Spotify på eget initiativ har vidtagit omfattande åtgärder. Det är också ostridigt att den detaljerade beskrivningen har varit tillräcklig för att en registrerad ska kunna förstå uppgifterna i loggfilerna. Bolaget har även bistått den registrerade med att översätta informationen. Dessutom har det saknats rättslig vägledning vid tidpunkten för överträdelserna.

Mot bakgrund av att bolaget på ett allmänt plan hade vidtagit åtgärder för att åtgärda personuppgiftsbristerna ansåg förvaltningsrätten att överträdelserna var av låg allvarlighetsgrad. Med beaktande av Spotifys höga omsättning fanns det därför skäl att justera utgångspunkten för beräkningen av sanktionsavgiften nedåt. Vidare förelåg vissa förmildrande omständigheter, vilket också IMY har ansett.

Sanktionsavgiften bestämdes till 40 miljoner kronor Att IMY.s handläggningstid uppgått till cirka fyra år bedömdes inte innebära en kränkning av bolagets rättigheter enligt Europakonventionen.

Kammarrätten i Stockholm går på IMY:s linje och fastställer den beslutade sanktionsavgiften.

Domstolen finner att Spotify har överträtt dataskyddsförordningen genom att inte på ett tydligt och lättillgängligt sätt lämnat den information som är nödvändig för att den registrerade ska kunna ta tillvara sina rättigheter enligt förordningen,

Bolaget anses vidare inte ha lämnat information om lagringsperioder och kriterier för fastställande av dessa. Spotify anses inte heller ha lämnat tillräcklig information om lämpliga skyddsåtgärder vid överföring av personuppgifter till ett tredje land eller en internationell organisation.

Kammarrätten anser i likhet med underinstanserna att det finns förutsättningar för att döma ut en sanktionsavgift.

Det följer av artikel 83.5 i GDPR att sanktionsavgifter gällande företag kan uppgå till 20 miljoner euro eller fyra procent av den globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Årsomsättningen för Spotifys moderbolaget för 2022 var cirka 132 miljarder kronor. Maximibeloppet som IMY i teorin har kunnat besluta om uppgick alltså till 5,28 miljarder kronor.

Domstolen bedömer att det är fråga om överträdelser av lägre allvarlighetsgrad. Det innebär att startbeloppet för sanktionsavgiften bör fastställas till mellan noll och tio procent av det tillämpliga maximibeloppet.

Enligt kammarrätten saknar antalet överträdelser i avgörande betydelse för beräkningen av sanktionsavgiftens storlek.

”Att förvaltningsrätten funnit att Spotify gjort sig skyldigt till färre överträdelser än vad IMY bedömt i sitt beslut, och att kammarrätten nu kommit fram till att en av förvaltningsrätten konstaterad överträdelse inte inneburit en överträdelse, innebär därmed inte att en sänkning av den påförda sanktionsavgiften måste göras”, skriver domstolen.

Vidare är kammarrätten inte bunden av att IMY medgett en möjlig sänkning av avgiftsbeloppet avseende överträdelsen gällande de tekniska loggfilerna.

Enligt rätten är det rimligt att Spotify påförs en sanktionsavgift om i vart fall 58 miljoner kronor, som är det maximala beloppet enligt processramen i målet. IMY:s överklagande ska därför bifallas. 

Ladda ner dokument

Namn Storlek Ladda hem

4512-24.pdf

1 MB
Instans
Kammarrätterna
Rättsområden
IT-rätt, Compliance - konsumentskydd, Förvaltningsrätt, Personuppgifter och integritet, Tillstånd och tillsyn

Denna nyhet är en del av tjänsten Lexnova Nyheter

Vill du ta del av mer av vårt premiuminnehåll med över 100 000 artiklar?

Skapa ett abonnemang
för 1 499 kr/mån

Kom igång
Läs mer

Relaterade

Visa alla