Fysiske personers har ret til at få indsigt i oplysninger om sig selv samt en række

yderligere oplysninger, herunder  bl.a. om formålet med behandlingen, hvem  oplysninger deles med og  det tidsrum oplysninger opbevares i. Integritetsskyddsmyndigheten (IMY) i Sverige har pålagt Spotify en sanktionsafgift på SEK 58.000.000 for ikke at håndtere indsigtsretten efter GDPR korrekt. 

Sagens baggrund

Organisationen noyb klagde i januar 2019 over Spotifys håndtering af indsigtsanmodninger efter artikel 15 i GDPR.

Da Spotify er etableret i Sverige, har sagen være behandlet af det svenske tilsyn. I lyset af sagens grænseoverskridende karakter har alle EU’s databeskyttelsesmyndigheder været såkaldte berørte tilsynsmyndigheder, og IMY har anvendt mekanismerne for samarbejde og ensartethed, som findes i kapitel VII i GDPR. Med henvisning til mekanismerne for samarbejde og ensartethed, og behovet for en harmoniseret klagebehandling inden for EU, udvidede IMY i november 2020 sit igangværende generelle tilsyn til også at omfatte, hvad der er gjort i konkrete personers klagesager.

I forhold til Spotifys generelle rutiner for håndtering af indsigtsanmodninger konkluderer IMY, at Spotify - i perioden fra og med den 16. november 2021 til og med den 16. maj 2022 – i den information, som skal gives i henhold til artikel 15, stk. 1, og 15, stk. 2, i GDPR, ikke gav tilstrækkeligt klare oplysninger om:

• formålene med behandlingen
• kategorier af personoplysninger, som behandlingen vedrører
• kategorier af modtagere af personoplysningerne
• de påtænkte opbevaringsperioder, hvor personoplysninger vil blive opbevaret, eller, hvis dette ikke er ikke muligt, de kriterier, der anvendes til at bestemme dette tidsrum
• kilden til personoplysninger
• de fornødne garantier, når personoplysninger overføres til tredjelande.
  

IMY bemærker endvidere, at Spotify i perioden fra og fra den 11. juni 2019 til og med den 16. maj 2022 ved som standard at give beskrivelsen af dataene i tekniske logfiler på engelsk ikke har overholdt kravene om, at al kommunikation til den registrerede i henhold til artikel 15 i GDPR skal være klar og forståelig på den måde, der er fastsat i artikel 12, stk. 1, i GDPR.

IMY konkluderer derfor, at Spotify har behandlet personoplysninger i strid med art. 12, stk. 1, 15, stk. 1, litra a-d, 15, stk. 1, litra g, og artikel og 15, stk. 2, i GDPR.

IMY beslutter i medfør af artikel 58, stk. 2, og artikel 83 i GDPR, at Spotify for disse brister skal betale en sanktionsafgift på SEK 58.000.000 (otteoghalvtreds millioner).

IMY’s vurdering af konkrete klagesager

IMY bemærker med hensyn til klage 1, at Spotify i sin behandling af klagerens begæring om indsigt fremsat den 27. maj 2018 har behandlet personoplysninger i strid med

• 12, stk. 3, i GDPR, idet kopien af personoplysninger er udleveret for sent,
• 12, stk. 1, artikel 15, stk. 1, og artikel 15, stk. 3, i GDPR ved at den kopi af personoplysninger, som Spotify udleverede, ikke gav alle klagerens personoplysninger i en forståelig form.
  

IMY bemærker med hensyn til klage 2, at Spotify i sin behandling af klagerens begæring om indsigt fremsat den 10. oktober 2018 har behandlet personoplysninger i strid med

• 15, stk. 1, og 15, stk. 3, i GDPR ved at den kopi af personoplysninger, som Spotify udleverede, ikke gav adgang til alle personoplysninger, som Spotify behandlede om klageren
• 15, stk. 1, litra a) - h), og artikel 15, stk. 2, i GDPR ved ikke at have givet nogen af de oplysninger, der er angivet i disse bestemmelser.
  

IMY udtaler kritik af Spotify for manglerne i klage 1 og 2 henhold til artikel 58, stk. 2, litra b) i GDPR.

I klagesag 2 pålægger IMI i henhold til artikel 58, stk. 2, litra c) Spotify senest en måned efter afgørelsen er blevet endelig at imødekomme klagerens anmodning om indsigt, med forbehold af eventuelle gældende undtagelser i artikel 15, stk. 4, i GDPR, og kapitel 5 i databeskyttelsesloven i Sverige, give klageren indsigt i alle personoplysninger, som Spotify behandler om klageren ved at forsyne klageren med en kopi af personoplysningerne, jf. art. 15, stk. 3, samt give information i henhold til art. 15, stk. 1, litra a) – h) og  15, stk. 2.

Spotify har udtalt, at de vil påklage beslutningen.

Om sprog siger IMY i afgørelsen

Som standard giver Spotify kun den detaljerede beskrivelse af oplysninger om de tekniske logfiler på engelsk. Hverken art. 12, stk. 1, eller artikel 15 i GDPR indeholder et udtrykkeligt krav om hvilket sprog personoplysninger eller en beskrivelse heraf skal gives til den registrerede.

IMY er imidlertid af den opfattelse, at det følger af formålet med retten til indsigt og kravene om klarhed i art.  12, stk. 1, at registrerede skal kunne indhente oplysningerne på et sprog, som de behersker, i det mindste, når den dataansvarlige retter sine aktiviteter mod lande, hvor dette udgør et officielt sprog. Det betyder, at den dataansvarlige skal tage tilstrækkelige foranstaltninger til at sikre, at den registrerede forstår oplysningerne.

Spotify leverer den overvejende andel af de oplysninger, der leveres til registrerede i henhold til artikel 15 i GDPR, herunder en generel beskrivelse af, hvad de tekniske logfiler kan indeholde, baseret på sprogindstillingerne i den enkeltes webindstillinger, dvs. det lokale sprog. Desuden giver Spotify klare oplysninger på det lokale sprog om muligheden for at anmode om oversættelse af beskrivelsen af de tekniske logfiler i filen "Read Me First" for hver anmodning om indsigt. Disse oplysninger findes også på det lokale sprog på websiden "Forstå mine data".

Spotify har således taget omfattende foranstaltninger til at give oplysninger på et sprog, som den registrerede skal være i stand til at forstå. Spotify har dog redegjort for betydelige vanskeligheder med at oversætte beskrivelsen af oplysningerne i de tekniske logfiler på alle lokale sprog i lande, som de retter deres aktiviteter mod. Vanskelighederne skyldes den konstante ændringer i dataene i de tekniske logfiler og det forhold, at mange tekniske begreber er vanskelige at oversætte fra engelsk.

IMY bemærker dog, at Spotify har oplyst, at de på anmodning af en registreret har mulighed for at oversætte beskrivelsen af dataene i de tekniske logfiler til et lokalt sprog i det omfang, de tekniske termer kan oversættes.

Fordi en oversættelse derfor er mulig i praksis, mener IMY, at en sådan oversættelse bør kunne fremskaffes, selv inden der er fremsat anmodning om oversættelse fra en registreret. Spotifys erklærede vanskeligheder med at oversætte beskrivelsen, herunder at det kan være nødvendigt at oversætte flere gange hver måned, og de ekstra ressourcer, dette kræver, kan heller ikke retfærdiggøre, at beskrivelsen som standard gives på engelsk.

I betragtning af formålet med retten til indsigt er det vigtigt, at registrerede forstår, hvilke af deres personoplysninger der er blevet behandlet i de tekniske logfiler, hvilket forudsætter en forståelig beskrivelse af indholdet.

IMY finder derfor, at Spotify skulle have givet beskrivelsen på det lokale sprog allerede i forbindelse med, at de tekniske logfiler blev leveret til den registrerede, i det mindste i det omfang dette var nødvendigt for at forstå dataene i de tekniske logfiler.

På den baggrund mener IMY, at Spotify ikke har taget tilstrækkelige skridt til at sikre, at den registrerede forstår beskrivelsen af oplysningerne i de tekniske logfiler, når disse oplysninger som standard kun udleveres på engelsk. Den information, som Spotify udleverer, lever derfor på dette punkt ikke op til kravene om, at alle meddelelser til den registrerede i henhold til artikel 15 i GDPR skal være klar og forståelig på den måde, der er fastsat i artikel 12, stk. 1, i GDPR Det forhold, at en registreret har mulighed for at vende tilbage til Spotify for at anmode om en oversættelse fjerner ikke denne mangel.

Kommentarer

 Af afgørelsen fra IMY kan vi blandt andet udlede følgende:

1. Du kan have en lagdelt tilgang til dit svar på anmodninger om indsigt, forudsat at det fra starten er klart, hvilke oplysninger der er omfattet af hvilken del, og at hele processen er let og brugervenlig.
2. Dit svar på indsigtsanmodningen skal være specifikt og skræddersyet til den specifikke person. Du kan ikke bare henvise til din privatlivspolitik.
3. Du skal levere dataene på en måde, som folk forstår.  

Selv om Spotify havde arbejdet med deres opfyldelse af indsigtsretten og var kommet ganske langt, var IMY ikke tilfreds med alle detaljer i, hvordan virksomheden besvarede indsigtsanmodninger.

IMY fremhæver:

• at  der har manglet oplysninger i svarene,
• at dette har kunnet påvirke et stort antal registrerede,
• at overtrædelserne har stået på i lang tid, og
• at manglerne i oplysningerne gjorde det vanskeligt for registrerede at udnytte deres andre rettigheder efter GDPR.

Der er derfor ikke tale om mindre overtrædelser, og Spotify bør pålægges en sanktionsafgift for overtrædelserne.

Som en formildende omstændighed lægger IMY bl.a. vægt på muligheden for, at registrerede kan kontakte Spotifys kundeservice gennem flere forskellige kanaler for at få yderligere individualiseret information. Desuden har Spotify i juni 2022 oplyst, at selskabet har ajourført oplysningerne i informationerne i henhold til artikel 15, bl.a. for at den registrerede skal forstå den specifikke behandling af personoplysninger, der gælder for deres unikke brug af Spotify-tjenesten. Hvad angår bristerne vedrørende Spotifys valg af sprog til beskrivelse af dataene i det tekniske logfiler er det også af betydning, at registrerede har haft mulighed for at henvende sig til Spotify for at få beskrivelsen oversat eller forklaret på sit lokale sprog, samt at Spotify gav klare oplysninger om denne mulighed i filen "Read Me First", der leveres samtidig med, at oplysningerne gives til den registrerede.

Ved fastsættelsen af den administrative bøde for Spotify til 58000 000 SEK har IMY taget hensyn til overtrædelsernes grovhed, skærpende og formildende omstændigheder og den høje omsætning i forhold til de observerede overtrædelser. 

IMY har på den baggrund bedømt, at beløbet, som svarer til ca. en procent af det maksimalt mulige sanktionsbeløb, der kan fastsættes i sagen, er effektivt, forholdsmæssigt og afskrækkende i den foreliggende sag.

 .........................................

Dette er en nyhedstekst, som fremhæver udvalgte elementer fra en afgørelse eller vejledning mv. For den fulde forståelse henvises til indholdet af afgørelsen eller vejledningen og evt. professionel rådgivning.