De boete
De Zweedse privacytoezichthouder (Integritetsskyddsmyndigheten) heeft de muziek streamingsdienst Spotify een boete van bijna 5 miljoen euro opgelegd. De reden voor de boete is een schending van het inzagerecht.
Recht op inzage
Het recht op inzage houdt in dat personen inzicht moeten krijgen in de persoonsgegevens die van hen verwerkt worden indien zij daar om verzoeken. Wanneer je als bedrijf een inzageverzoek krijgt, ben je onder meer verplicht om aan te geven voor welke doeleinden je de gegevens verwerkt, welke categorieën persoonsgegevens je hierbij precies gebruikt en met welke ontvangers of welke categorieën van ontvangers deze gegevens gedeeld worden.
Het recht op inzage is belangrijk voor burgers. Door inzicht te verkrijgen in de persoonsgegevens die er van hen verwerkt worden, kan een burger nagaan of zijn gegevens wel terecht verwerkt worden en up-to-date zijn. Is dit niet het geval, dan kun je andere rechten uitoefenen, zoals het recht op rectificatie of verwijdering (het recht op vergetelheid).
Spotify
Naar aanleiding van een klacht van Max Schrems heeft de Zweedse toezichthouder onderzoek gedaan naar de werkwijze van Spotify als het gaat om inzageverzoeken. Uit dit onderzoek is gebleken dat Spotify personen die een inzageverzoek deden op de hoogte stelde van de persoonsgegevens die er verwerkt werden, maar dat Spotify daarbij niet duidelijk maakt op welke manier zij deze persoonsgegevens precies gebruikt. Hierdoor is de Zweedse toezichthouder van mening dat Spotify het recht op inzage heeft geschonden. De tekortkoming zag voornamelijk op het verstrekken van informatie die niet eenvoudig te begrijpen was voor burgers. Daarnaast is het zo dat de uitleg van welke gegevens er verwerkt worden in de moedertaal van de verzoeker verstrekt dient te worden, indien het gaat om technische verwerkingen van de betreffende gegevens. Ook hierin is Spotify tekortgeschoten.
Spotify verstrekte de informatie in verschillende delen. Dit is volgens de Zweedse toezichthouder wel toegestaan. Het gaat er namelijk om dat wordt voldaan aan het inzageverzoek. Bovendien kan het verschaffen van de gegevens in verschillende delen er juist voor zorgen dat de informatie overzichtelijker en begrijpelijker is voor de verzoeker.
Take-away
De belangrijkste les uit deze boete, is dat de informatie die je dient te verschaffen bij een inzageverzoek gedetailleerd moet zijn én dat je het tegelijkertijd op een begrijpelijke manier verschaft aan de verzoeker. Het inzagerecht staat namelijk niet voor niets ten dienste van de burger.
Vragen over het behandelen van een inzageverzoek?
Krijgt jouw organisatie wel eens een inzageverzoek? Wil je meer informatie over hoe je een inzageverzoek het beste kunt behandelen? Neem dan contact met ons op via info@privacyoaches.nl
Tip: lees ook onze blog over de reikwijdte van een inzageverzoek in het licht van de ‘Österreichische Post’ uitspraak van het Hof van Justitie van de Europese Unie.