Πρόστιμο 5 εκατομμυρίων ευρώ στο Spotify για παραβίαση του GDPR
Το Spotify τιμωρείται με πρόστιμο 5 εκατομμυρίων ευρώ για παραβιάσεις του GDPR.
Η υπηρεσία ροής δεν απάντησε σωστά στα αιτήματα για πρόσβαση σε δεδομένα.
Μετά από μια καταγγελία και δικαστική προσφυγή για αδράνεια, η Σουηδική Αρχή Προστασίας Δεδομένων (IMY) επέβαλε πρόστιμο 58 εκατομμυρίων σουηδικών κορωνών (περίπου 5 εκατομμύρια ευρώ) κατά του Spotify. Ενώ οι χρήστες έχουν δικαίωμα πρόσβασης σε όλα τα δεδομένα τους και τις πληροφορίες σχετικά με τη χρήση των δεδομένων τους, το Spotify δεν συμμορφώθηκε πλήρως με αυτήν την υποχρέωση. Το IMY ήταν υπεύθυνο για την υπόθεση επειδή το Spotify έχει την κύρια έδρα του στη Σουηδία. Η καταγγελία noyb συνδυάστηκε με μια καταγγελία που κατατέθηκε στην Ολλανδία από την Bits of Freedom.
Στις 18 Ιανουαρίου 2019 η noyb υπέβαλε μια σειρά καταγγελιών κατά διαφόρων υπηρεσιών ροής, καθώς δεν παρείχαν στους χρήστες έναν εύκολο τρόπο να ασκήσουν το δικαίωμά τους πρόσβασης σύμφωνα με το άρθρο 15 του GDPR. Μία από αυτές τις καταγγελίες υποβλήθηκε στην Αυστρία και αφορούσε την αδυναμία του Spotify να παράσχει όλα τα προσωπικά δεδομένα και πληροφορίες σχετικά με τη χρήση των δεδομένων. Επειδή το Spotity εδρεύει στη Σουηδία, η υπόθεση στάλθηκε στη Σουηδική Αρχή Προστασίας Δεδομένων (IMY).
Η καταγγελία δεν αποφασίστηκε για περισσότερα από τέσσερα χρόνια. Το ΙΜΥ είπε μάλιστα ότι οι καταγγέλλοντες δεν είναι διάδικοι στη διαδικασία. Ως εκ τούτου, στις 22 Ιουνίου 2022 η noyb άσκησε προσφυγή κατά του IMY ενώπιον των σουηδικών δικαστηρίων λόγω έλλειψης απόφασης. Ενώ το IMY αρχικά αντιστάθηκε στην ιδέα ότι πρέπει να αποφασίσει για καταγγελίες, τα σουηδικά δικαστήρια τάχθηκαν στο πλευρό του noyb. Ενώ η υπόθεση βρίσκεται ακόμη ενώπιον του Ανώτατου Διοικητικού Δικαστηρίου, το IMY έχει τώρα εκδώσει απόφαση για την καταγγελία noyb καθώς και για την ευρύτερη προσέγγιση του Spotify για την παροχή πληροφοριών στους χρήστες. Η υπόθεση συνδυάστηκε με μια άλλη καταγγελία από τους συναδέλφους μας στο Bits of Freedom στην Ολλανδία.
Stefano Rossetti, δικηγόρος απορρήτου στο noyb: “Είμαστε χαρούμενοι που βλέπουμε ότι η σουηδική αρχή ανέλαβε επιτέλους δράση. Είναι βασικό δικαίωμα κάθε χρήστη να λαμβάνει πλήρεις πληροφορίες σχετικά με τα δεδομένα που υποβάλλονται σε επεξεργασία σχετικά με αυτόν. Ωστόσο, η υπόθεση χρειάστηκε περισσότερο από 4 χρόνια και έπρεπε να προσφύγουμε στο IMY για να πάρουμε απόφαση. Η σουηδική αρχή πρέπει οπωσδήποτε να επισπεύσει τις διαδικασίες της».
Το δικαίωμα πρόσβασης δεν παρέχει μόνο το δικαίωμα λήψης αντιγράφου των δεδομένων ενός χρήστη, αλλά και πληροφορίες σχετικά με την πηγή τους, τους παραλήπτες των προσωπικών δεδομένων ή λεπτομέρειες σχετικά με τις διεθνείς μεταφορές δεδομένων. Στην περίπτωση του Spotify, αυτές οι πληροφορίες δεν παρασχέθηκαν πλήρως. Επιπλέον, η εταιρεία έδωσε πρόσβαση μόνο σε «ορισμένα» από τα δεδομένα, χωρίς να ενημερώσει το υποκείμενο των δεδομένων για το πώς θα λάβει τα υπόλοιπα. Το IMY διέταξε το Spotify να παράσχει τελικά το πλήρες σύνολο δεδομένων βάσει του άρθρου 58 παράγραφος 2 στοιχείο γ) του GDPR.