W czerwcu 2023 r. Spotify – szwedzki serwis strumieniowy oferujący dostęp do muzyki oraz podcastów – został ukarany administracyjną karą pieniężną w wysokości ponad 5 mln Euro przez szwedzki organ ochrony danych osobowych. Kara została nałożona za naruszenie kilku norm wynikających z RODO, ale najważniejsze znaczenie miały braki w przekazywaniu użytkownikom informacji dotyczących celów i zasad przetwarzania ich danych osobowych (art. 13-15 RODO).
Postępowanie przed szwedzkim organem nadzorczym wywołane zostało przez NYOB – austriacką organizację non-profit założoną przez aktywistę Maximiliana Schremsa. Jest on odpowiedzialny za szereg skarg i postępowań m.in. przeciwko amerykańskim gigantom jak Facebook czy Google. Jego działania doprowadziły m.in. do uchylenia tzw. Privacy Shield, a więc mechanizmu legalizującego przez wiele lat transfer danych osobowych między Unią Europejską a Stanami Zjednoczonymi. Tym razem na celowniku NYOB znalazł się szwedzki serwis Spotify.
Sprawdź jak wdrożyć RODO w twojej organizacji
Platforma została ukarana przede wszystkim za nieprawidłowe oraz niepełne udzielanie użytkownikom informacji dotyczących celów i zasad przetwarzania ich danych osobowych. Obowiązek taki wynika
z art. 15 RODO, zgodnie z którym administrator danych powinien udzielić wnioskującemu informacji czy przetwarza jego dane osobowe, a jeżeli tak – jakie dane są przetwarzane, skąd zostały pozyskane, jakie są cele przetwarzania, komu dane zostały udostępnione (także w kontekście transferu danych poza Europejski Obszar Gospodarczy), przez jaki czas administrator będzie takie dane przetwarzał. Administrator powinien również poinformować wnioskującego o potencjalnym zautomatyzowanym przetwarzaniu danych, czy prawie do żądania od sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych oraz do wniesienia sprzeciwu wobec takiego przetwarzania
czy prawie wniesienia skargi do organu nadzorczego.
W praktyce uchybienia po stronie Spotify dotyczyły braków i błędów w informacjach zawartych
w polityce prywatności i cookies serwisu. Nie dawały one użytkownikom pełnych i wyczerpujących informacji, wymaganych przez przepisy. Nie wskazywały także, w jaki sposób użytkownik może skorzystać z uprawnień wynikających z art. 15 ust. 1 lit. a-d oraz lit. g RODO oraz art. 15 ust. 2 RODO. Jak wskazał szwedzki organ nadzorczy, naruszenie dotyczyło także art. 12 ust. 1 RODO, a więc przepisów o przejrzystej i jasnej komunikacji z użytkownikami.
Chociaż kara nałożona na Spotify nie jest rekordowo wysoka, to powinna stanowić ostrzeżenie dla przedsiębiorców, którzy w codziennej działalności przetwarzają dane osobowe konsumentów. Brak terminowej realizacji żądania dostępu do danych (art. 15 RODO), czy niepełna informacja zawarta
w politykach prywatności czy klauzulach informacyjnych może bowiem spowodować podjęcie działań przez organ nadzorczy. A one, w efekcie, doprowadzić mogą do nałożenia na przedsiębiorcę kary pieniężnej. Oprócz konsekwencji finansowych rodzi to także skutki wizerunkowe – żadna firma nie chciałaby przecież, aby do powszechnej świadomości klientów dotarła informacja, że ich dane osobowe nie są bezpieczne i nie są przetwarzane w sposób niezgodny z przepisami prawa. Warto więc cyklicznie weryfikować prawidłowość procesów informacyjnych oraz dbać o rzetelne reagowanie na żądania osób fizycznych.
