Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

Spotify bröt mot GDPR – hänvisning till integritetspolicy inte tillräckligt

Nyheter
Publicerad: 2021-04-14 08:45

Integritetsmyndigheten ger Spotify en reprimand. Anledningen är att bolaget haft otydlig kommunikation med tidigare kund om rätten att fortsätta behandla personuppgifter – att hänvisa till bolagets integritetspolicy räcker inte.

Integritetsskyddsmyndigheten, IMY, inledde ett tillsynsärende beträffande musikstreamingbolaget Spotify efter att ha fått in ett klagomål. Klaganden hade tidigare prenumererat på musiktjänsten och flera gånger begärt att bolaget skulle radera hans kortuppgifter. Spotify hade då förklarat klaganden hade registrerat sig via ett annat bolag och att man därför inte behandlade hans kortuppgifter. 

Fog att behandla personuppgifterna

Det som Spotify behandlar är nämligen inte kortuppgifterna i sig, utan unika identifierare för de betalkort som en kund använder. På så sätt kan bolaget motverka bedrägerier i form av att personer missbrukar de kostnadsfria provperioder.

IMY anser att Spotify hade fog för att behandla personuppgifterna. Enligt EU:s dataskyddsförordning måste tre villkor vara uppfyllda, nämligen att den personuppgiftsansvarige har ett berättigat intresse, att behandlingen är nödvändig för det ändamål som rör det berättigade intresset och att den registrerades intressen inte väger tyngre. 

Berättigat intresse

Att bolaget vill motverka bedrägerier är ett sådant berättigat intresse som avses. Det gäller dock bara om behandlingen är absolut nödvändig, vilket IMY anser att den är.

Gällande den intresseavvägning som ska göras framhåller myndigheten att bolagets intresse väger tungt och att behandlingen är något som klaganden rimligen kan förvänta sig. Dessutom är behandlingen inte särskilt integritetskränkande. Klaganden har därför inte rätt till radering.

Borde ha varit tydligare i sin kommunikation

Däremot borde Spotify ha varit tydligare i sin kommunikation med klaganden, menar myndigheten. Den personuppgiftsansvarige, om denne inte vidtar åtgärder på den registrerades begäran, ska utan dröjsmål informera den registrerade om orsaken till att åtgärder inte vidtagits, och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet.

I det här fallet hade Spotify inte informerat om den rättsliga grunden för behandlingen och hänvisat klaganden till bolagets integritetspolicy. Eftersom beslutet var negativt borde motiveringen ha varit tydligare och det kan inte förväntas av en enskild att hen ska ta del av en integritetspolicy i sen helhet för att dra slutsatser om vilken typ av beslut som bolaget har fattat. Det gäller särskilt när någon rättslig grund inte har angetts. 

IMY konstaterar därför att Spotify har behandlat personuppgifter i strid med Dataskyddsförordningen. Det rör sig dock om en mindre överträdelse och bolaget ges på grund av det en reprimand.


Dela sidan:
Skriv ut:

Fredrika Lageryd
red@dagensjuridik.se