top of page
Vyhledat

Spotify neplnilo právo na přístup k osobním údajům

  • Obrázek autora: Josef Bátrla
    Josef Bátrla
  • 2. 7.
  • Minut čtení: 5

Řídíte se při plnění GDPR příkladem velkých společností? Platforma Spotify opět ukázala, že to není vždy dobrý nápad. Za porušení práva uživatelů na přístup k osobním údajům čelí pokutě 130 milionů korun. Co byste měli o případu vědět?

ree

Organizace NOYB (None of Your Business) slaví další vyhraný případ – tentokrát si „vzala na paškál“ hudební streamovací službu. Celosvětově známá platforma pro streamování hudby, kterou mnozí z nás denně používáme k poslechu hudby či podcastů, čelí pokutě za nedostatečné plnění povinností vyplývajících z GDPR. Platforma Spotify totiž nezvládla naplnit jednu z klíčových povinností GDPR, tedy umožnit uživatelům zjistit, jaké osobní údaje o nich vlastně zpracovává.


Případ se táhl déle než čtyři roky a začal již v roce 2019 stížností na to, že společnost Spotify systematicky a opakovaně nevyhovovala žádostem uživatelů o přístup k jejich osobním údajům, čímž porušovala povinnost, kterou GDPR ukládá každému správci. Vyšetřování vedl švédský dozorový úřad a vzhledem ke komplikovanosti celého případu, včetně odvolávání ze strany Spotify, se spor postupně dostal až před švédský odvolací správní soud. Ten teprve nedávno vyslovil finální verdikt, kterým potvrdil, že společnost Spotify skutečně neplnila své povinnosti v souladu s GDPR. Pojďme se na tento případ podívat podrobněji.


Pozadí případu

Případ začal v roce 2019, kdy nezisková organizace NOYB, zaměřující se na vymáhání práv na soukromí, podala na Spotify stížnost. Uživatelé Spotify si stěžovali zejména na to, že po zaslání žádosti o přístup ke svým osobním údajům dle čl. 15 GDPR neobdrželi jasnou a úplnou odpověď.


Ačkoliv byly stížnosti původně podány v Rakousku, Nizozemsku a Dánsku, případ nakonec skončil u švédského dozorového úřadu jako vedoucího dozorového úřadu v souladu s čl. 60 GDPR. Společnost Spotify má totiž své hlavní sídlo v rámci EU právě ve Švédsku.


V návaznosti na tyto stížnosti zahájil švédský dozorový úřad šetření z moci úřední a provedl audit týkající se toho, jak společnost Spotify vyřizuje žádosti o přístup od svých uživatelů.


Šetření u švédského dozorového úřadu

Švédský dozorový úřad v průběhu šetření zjistil, že Spotify sice poskytuje uživatelům informace o zpracování jejich osobních údajů, pokud o to uživatelé požádají, avšak tyto informace neposkytuje jasným a úplným způsobem. Spotify jakožto správce osobních údajů totiž musí zabezpečit, aby uživatelé měli k dispozici informace o tom, jak jsou jejich osobní údaje využívány, a tyto informace musejí být srozumitelné. Dále je nutné uživatelům vysvětlit obtížněji srozumitelné technické informace, a to nejen v angličtině, ale i v rodném jazyce uživatele. Dle GDPR totiž uživatelé musejí rozumět, co se s jejich osobními údaji vlastně děje. Právě v těchto oblastech shledal švédský dozorový úřad informace poskytované uživatelům na základě žádosti o přístup za nedostatečné.


Spotify dle švédského dozorového úřadu neposkytovalo uživatelům na základě žádosti o přístup jasné a úplné informace. Správce totiž používal vágní a nepřesné pojmy k popisu doby uchovávání údajů a zárukám pro předávání osobních údajů do třetích zemí. Informace poskytované uživatelům ze strany Spotify tak byly zahaleny v jakési jazykové mlze, což švédský dozorový úřad považoval za porušení čl. 15 odst. 1 písm. d) a čl. 15 odst. 2 GDPR.


Podrobné popisy osobních údajů v technických souborech byly navíc pro uživatele dostupné pouze v angličtině. Švédský dozorový úřad tak došel k závěru, že poskytovaným technickým informacím nemůže porozumět každý, a tedy že společnost Spotify porušila i čl. 12 odst. 1 GDPR.


Zjištěné problémy považoval švédský dozorový úřad za nedostatky s nízkou úrovní závažnosti, avšak s ohledem na vysoký počet registrovaných uživatelů a obrat společnosti Spotify udělil platformě správní pokutu ve výši téměř 58 milionů švédských korun (téměř 130 milionů korun českých) za to, že neposkytla uživatelům dostatečně jasné informace.

Mlžit se nevyplácí, informace musíte poskytnout ve srozumitelné a úplné formě

Odvolací řízení

Společnost Spotify s rozhodnutím švédského dozorového úřadu nesouhlasila a obrátila se na švédský odvolací správní soud, který však zjištění švédského dozorového úřadu z velké části potvrdil. Nesouhlasil ale s tím, že by došlo k porušení čl. 12 odst. 1 GDPR. Soud k tomu uvedl, že společnost Spotify se žádného porušení poskytováním technických informací pouze v angličtině nedopustila. Správce totiž infomoval subjekty údajů o tom, že mohou požadovat překlad těchto informací, pokud informacím v angličtině nerozumějí. Soud taktéž poukázal na to, že informace na „vyšší úrovni“ byly poskytnuty ve vlastním jazyce uživatelů.


Soud tak dal Spotify za pravdu v tom, že překlady technických informací do všech jazyků uživatelů nejsou nutné a postačí je přeložit pouze na žádost uživatele. V ostatním však potvrdil, že platforma Spotify se porušení GDPR skutečně dopustila a že si zaslouží pokutu.


Švédský odvolací správní soud rozhodl o snížení pokuty na 40 milionů švédských korun (téměř 90 milionů korun českých). Švédský dozorový úřad však toto rozhodnutí napadl a tvrdil, že původní uložená pokuta byla přiměřená. Soud nakonec pokutu stanovenou švédským dozorovým úřadem v původní výši 58 milionů švédských korun (téměř 130 milionů korun českých) potvrdil. Ačkoliv shledal méně porušení GDPR než švédský dozorový úřad, uvedl, že dle článku 83 GDPR musejí být pokuty ukládány na základě celkového jednání správce a závažnosti protiprávního jednání. Švédský odvolací správní soud proto objasnil, že nižší počet protiprávních jednání není sám o sobě důvodem pro snížení pokuty, a to ani u společnosti Spotify.


Zároveň soud nařídil, aby společnost Spotify do jednoho měsíce od nabytí právní moci rozhodnutí řádně odpověděla na žádosti stěžovatelů.

Pozor, i právníci chybují v GDPR dokumentaci

Velké firmy jako vzor v plnění GDPR?

I když sami autoři tohoto článku jsou právníci, je třeba zdůraznit, že právničina paradoxně do plnění povinností v rámci GDPR příliš nepatří. Případ společnosti Spotify tak poukazuje na to, že ani platformy s miliony uživateli a celosvětovým dosahem nejsou imunní vůči chybám při plnění zásadních povinností dle GDPR. Velikost a globální dosah platformy nezaručuje automaticky správné a zákonné zacházení s osobními údaji. GDPR stanovuje jasná pravidla pro zacházení s osobními údaji, která platí pro všechny správce bez ohledu na jejich postavení na trhu. Jedním z těchto esenciálních pravidel je to, že jakákoliv informace od správce musí být skutečně srozumitelná a pochopitelná pro každého – což však právnický text nutně být nemusí. A právě v okamžiku, kdy každý plní své povinnosti způsobem „když to dělají velké firmy, proč bych to nedělal já“, narážíme na možný kámen úrazu.


Důležité je také poukázat na to, že žádosti uživatelů o přístup se nevyplatí ignorovat, a to zejména, když jde o jejich právo vědět, co se děje s jejich osobními údaji. Nestačí poskytovat pouze mlhavé informace o tom, jak je s jejich osobními údaji nakládáno, musejí být splněny všechny požadavky GDPR. Jednou provždy – odpověď musí být konkrétní, srozumitelná a úplná tak, aby uživatel skutečně pochopil, jaké údaje o něm správce zpracovává, proč, jak dlouho a komu je předává.


 
 
 

Komentáře

Sdělení pro spotřebitele: Případné spory z poskytování právních služeb můžete řešit mimosoudně prostřednictvím České advokátní komory v souladu se zákonem č. 634/1992 Sb., o ochraně spotřebitele. Další informace včetně postupu naleznete zde  

© 2020 - 2022 by Josef Bátrla.

bottom of page