Det var 2023 som Integritetsskyddsmyndigheten (IYM) beslutade att Spotify AB skulle betala en sanktionsavgift på 58 miljoner kronor. Efter en tillsyn av bolaget kom det fram att de inte hade behandlat personuppgifter på ett korrekt sätt enligt EU:s dataskyddsförordning GDPR.
Spotify överklagade då beslutet. Men nu fastslår kammarrätten att bolaget har brutit mot GDPR på flera sätt.
– De måste se till att de har information till oss som använder Spotify. Vilka uppgifter lagrar vi? Hur hämtar vi in dem? På vilket sätt behandlar vi dem? Varför gör vi det? Vem lämnar vi över dem till? Hur länge har vi kvar dem? De har inte varit tillräckligt tydliga med den informationen, säger Peder Liljeqvist.
Hög avgift i svenska mått mätt
Den maximala avgift som kammarrätten av kräva av ett bolag är fyra procent av omsättningen. För Spotifys del skulle det röra sig om fem miljarder.
– Men vi har bedömt att det här är en överträdelse av mindre allvarlighetsgrad och då finns det riktlinjer för vilka belopp man bör lägga sig mellan, säger Peder Liljeqvist.
De 58 miljoner som Spotify nu kommer tvingas böta är totalt en procent av den maximala avgiften. En andel som i sammanhanget alltså ska ses som låg.
– Men för svenska förhållanden så är det ju en väldigt stor sanktionsavgift eftersom det här är ett väldigt, väldigt stort bolag med en väldigt hög årsomsättning.
Påbörjade arbete om förbättrade rutiner
Integritetsmyndigheten genomförde tillsynen efter att flera klagomål kommit fram gällande bolagets hantering av personuppgifter.
Enligt kammarrättens dom har den bristfälliga hanteringen inte pågått under någon längre tid. Genom handlingarna framgår även att Spotify på eget initiativ innan tillsynen inlett ett arbete med att förbättra sina rutiner.
– Så det här är två saker som gör att vi tycker att man ska ligga lågt gällande avgiften.
