De Zweedse gegevensbeschermingsautoriteit IMY heeft een boete van omgerekend 5 miljoen euro opgelegd aan Spotify. De Europese privacywetgeving geeft Europeanen het recht om hun gegevens op te vragen bij bedrijven en organisaties die actief zijn in de EU, en antwoord te geven op de vraag wat er met zijn of haar gegevens gebeurt. De gebeurde onvoldoende.
Dat schrijft de Zweedse privacywaakhond in een persverklaring.
Kwestie kent lange voorgeschiedenis
Voor het begin van deze zaak moeten we terug naar januari 2019. Noyb, een stichting uit Oostenrijk die opkomt voor onze rechten op het gebied van privacy, diende toen verschillende klachten in tegen Spotify. Reden daarvoor was dat de muziekstreamingdienst verzuimde om alle persoonsgegevens en andere informatie van klanten te verstrekken over het gebruik van klantgegevens. De klacht belandde op het bordje van de Zweedse toezichthouder, omdat Spotify zijn hoofdkantoor in Zweden heeft gevestigd.
Vervolgens bleef het vier jaar lang stil en kwam de privacywaakhond niet in actie. Het IMY betoogde dat de klagers zelf geen partij waren in de klachtenprocedure. Daarop besloot Noyb een rechtszaak aan te spannen om de toezichthouder te verplichten om een beslissing te nemen. De rechtbank stelde de Oostenrijkse privacystichting in het gelijk.
Daarop stelde IMY alsnog een onderzoek in naar de klachten van Noyb.
Spotify niet open en eerlijk over gebruik persoonsgegevens
De toezichthouder keek of Spotify gebruikers toegang gaf tot hun persoonsgegevens als ze daar om vroegen. Dit recht, ook wel het recht van inzage genoemd, is vastgelegd in artikel 15 van de Algemene Verordening Gegevensbescherming (AVG).
IMY concludeerde dat de muziekstreamingdienst vertelt welke gegevens het bedrijf verwerkt als klanten daar om vragen. Spotify geeft echter geen antwoord op de vraag hoe het bedrijf deze gegevens gebruikt.
“De informatie die het bedrijf verstrekt over hoe en voor welke doeleinden de persoonsgegevens van individuen worden verwerkt, moet specifieker zijn. De persoon die toegang vraagt tot zijn gegevens moet gemakkelijk kunnen begrijpen hoe het bedrijf deze gegevens gebruikt. Bovendien moeten moeilijk te begrijpen persoonlijke gegevens, zoals gegevens van technische aard, mogelijk niet alleen in het Engels worden uitgelegd, maar ook in de eigen taal van de persoon”, legt de Zweedse toezichthouder uit in een persbericht.
IMY: ‘Informatieverstrekking door Spotify was onduidelijk’
Verder merkt IMY op dat Spotify klantgegevens opslaat in meerdere lagen. De ene laag gaat om algemene gegevens, zoals de luistergeschiedenis over een bepaalde periode en contact- en betaalgegevens. De andere laag bevat meer gedetailleerde gegevens, zoals technische logbestanden die betrekking op de klant.
Volgens de toezichthouder is er niets mis mee om persoonsgegevens in meerdere lagen op te splitten, zolang een bedrijf het recht op inzage niet overtreedt. “Het is belangrijk dat de betrokkene begrijpt welke informatie zich in de verschillende lagen bevindt en hoe deze kan worden opgevraagd. Wij vinden dat Spotify hier voldoende aan heeft gedaan”, aldus de privacywaakhond.
De Zweedse gegevensbeschermingsautoriteit is echter wel van mening dat de door Spotify verstrekte informatie onduidelijk was. Om die reden was het voor klanten en gebruikers moeilijk om na te gaan hoe hun persoonsgegevens werden verwerkt en of dit rechtmatig gebeurde.
Noyb blij met uitspraak Zweedse toezichthouder
Spotify heeft inmiddels maatregelen genomen om te voldoen aan de Europese privacywetgeving. Omdat de toezichthouder de tekortkomingen als ‘gering’ bestempelt, is de boete beperkt gebleven tot 58 miljoen Zweedse kronen (omgerekend zo’n 5 miljoen euro). Het boetebesluit is genomen in samenwerking met andere privacywaakhonden in Europa.
In een reactie laat Noyb weten tevreden te zijn met de uitspraak. De Oostenrijkse privacystichting hoopt wel dat de Zweedse toezichthouder in de toekomst sneller te werk gaat. “We zijn blij dat de Zweedse autoriteit eindelijk actie heeft ondernomen. Het is een basisrecht van elke gebruiker om volledige informatie te krijgen over de gegevens die over hem worden verwerkt. De zaak heeft echter meer dan vier jaar geduurd en we hebben het IMY moeten aanklagen om een beslissing te krijgen. De Zweedse overheid moet absoluut haar procedures versnellen”, zo zegt Stefano Rossetti, privacyadvocaat bij Noyb.
