Förvaltningsrätten meddelade i juni 2024 beslutet att sänka den sanktionsavgift som Spotify var skyldiga att betala från 58 miljoner till 40 miljoner kronor. I det ursprungliga beslutet från integritetsskyddsmyndigheten (IMY) från 2023 beslutade myndigheten att Spotify bröt mot GDPR och påförde en sanktionsavgift om 58 miljoner kronor, vilket förvaltningsmyndigheten sänkte.
IMY ansåg att Spotify, efter klagomål, bröt mot den registrerade rättigheter då de inte lämnade ut tillräckligt med information på ett klart, koncist, begripligt och lättillgängligt sätt. IMY ansåg att de rutiner Spotify hade gällande hantering av de registrerades begäran av personuppgifter och information var bristfälliga. IMY menar att den information som Spotify lämnade ut efter begäran var alltför allmänt hållen vilket ledde till att den registrerade inte kunde få tillräcklig information kring hur just dennes personuppgifter behandlas och till vilka ändamål. Samma information lämnades ut till alla individer som begärde den och informationen var därmed inte individualiserad på ett sätt att kunden kunde förstå vad som gällde för denne. Den registrerade har aktivt behövt leta efter relevant information kring kategorierna av personuppgifter som Spotify behandlar för att förstå den begärda informationen och därmed ansågs det inte vara lättillgängligt.
Förvaltningsrätten håller med IMY om att det har skett en överträdelse från Spotify. Domstolen menar dock att felen anses vara av låg allvarlighetsgrad och att de beror på okunnighet snarare än medvetna brott. Dessutom lägger domstolen vikt vid att Spotify redan innan ärendet började har genomfört tekniska och organisatoriska säkerhetsåtgärder för att förbättra sina rutiner på egen hand. Domstolen anser även att alla överträdelser som IMY nämnde inte föreligger och sänker därav sanktionsavgiften till 40 miljoner kronor.
