AMES 1
KRÖNIKA Jessica Tornberg Biträdande jurist TYDLIG
HET OCH TRANSPARENS I PERSONUPPGIFTSHANTERINGEN FOTO: PRESSBILD Integritetsskyddsmyndigheten (IMY) har utfärdat en reprimand mot Spotify för otydlig kommunikation med en registrerad. Det var en tidigare Spotify-användare som lämnat in ett klagomål till IMY efter att personen flertalet gånger begärt att Spotify skulle ta bort personens kortuppgifter. Spotify har uppgett sig inte behandla personens kortuppgifter, vilket personen har ifrågasatt eftersom denne inte kunnat registrera sig för en kostnadsfri provperiod med hänvisningen till att kortet redan har använts för tjänsten. Spotify uppger att anledningen till detta är att de använder sig av en algoritm för att se om ett kreditkort har använts för att ta del av tjänsten tidigare, i form av att bolaget i stället behandlar unika identifierare för betalkort eller ”instrument” (till exempel, såsom i detta fall, Paypal). Denna funktion innebär inte att bolaget behandlar kreditkortsnumret eller andra kortdetaljer och syftet med att identifiera tidigare användare är att bolaget ska undvika missbruk av de fria provperioderna. Det är enkelt att starta nya användarkonton med olika uppgifter (såsom till exempel nya e-postadresser) för att kunna nyttja ännu en gratisperiod för varje gång den föregående löpt ut. Spotify menar såldes att det är nödvändigt att kunna identifiera tidigare användares betalningsinformation för att kunna motverka bedrägeri. IMY ansåg att bolaget hade berättigat intresse att behandla uppgifterna och således haft rättslig grund för behandlingen, men varför utfärdade IMY en reprimand? IMY menar att Spotify varit otydlig mot personen och inte kunnat uppfylla de rättigheter som registrerade har enligt förordningen. Spotify hade inte i kommunikationen till personen som klagade informerat om den rättsliga grunden för behandlingen, inte motiverat intressena bakom intresseavvägningen eller informerat om personens möjligheter att klaga till tillsynsmyndighet för det fall att man inte är nöjd med bolagets svar eller hantering. Spotify förklarar detta med att personen dels inte har nämnt i sitt klagomål till bolaget att klagomålet avsåg personuppgiftshantering eller att personen utövande sina rättigheter enligt GDPR, dels att personen i fråga blivit hänvisad till bolagets integritetspolicy och såldes fått information om personuppgiftsbehandlingen. Det var inte tillräckligt att hänvisa till policyn i det här fallet, eftersom bolaget tagit ett individualiserat beslut angående personens klagomål för fortsatt behandling och att personen inte kan förväntats kunna räkna ut vilken typ av beslut som bolaget därmed fattat enbart utifrån policyn. Särskilt eftersom bolaget varken uppgett vilken rättslig grundbehandlingen baserats på eller att klagandens invändning hade avslagits. Vad gäller att personen inte uttryckligen uppgivit i sin klagan till bolaget att det gällde utövande av sina rättigheter enligt GDPR eller att det ens berörde personuppgifter, kan slutsatsen dras att personuppgiftsansvarige själv behöver kunna göra kopplingen till GDPR om en registrad inkommer med förfrågningar som har med personuppgifter att göra. Det innebär att företag som behandlar personuppgifter behöver vara väl insatta i personuppgiftshantering och även behöver tänka på att vara tydlig och transparent i sin hantering. ® VI HAR PLATS FÖR DIG i Söderköping 14 Hyr ett välutrustat kontor Boka en plats i vår öppna yta Ta klivet till digitala möten och event hos oss Boka på cooperatecoffice.se