• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma
Späť na Blog
,

Spotify a právo na prístup: Ako nevyhoveli žiadosti o osobné údaje

27. apríla 2026

Späť na Blog

Spotify a jeho porušenie práva na prístup: ako zlyhala odpoveď na žiadosť o údaje

V dnešnej digitálnej ére, kde osobné údaje predstavujú novú menu, sa ochrana súkromia stala kľúčovou prioritou pre milióny používateľov po celom svete. Jedným z najvýznamnejších pilierov európskeho nariadenia GDPR je právo na prístup k údajom, ktoré umožňuje jednotlivcom presne zistiť, aké informácie o nich spoločnosti zhromažďujú a ako s nimi v skutočnosti nakladajú. Nedávny prípad technologického giganta Spotify však ukázal, že aj tie najväčšie globálne platformy môžu pri plnení týchto zákonných povinností fatálne zlyhať. Tento článok sa podrobne zaoberá kontroverziou týkajúcou sa nedostatočnej odpovede Spotify na žiadosti o prístup k údajom, právnymi dôsledkami tohto závažného porušenia a tým, čo tento precedens znamená pre budúcnosť digitálnej transparentnosti. Preskúmame, prečo v očiach regulátorov nestačí len zaslať surové dáta, ale je nevyhnutné poskytnúť používateľom zrozumiteľný kontext.

Právo na prístup k údajom: Viac než len export súboru

Právo na prístup, definované v článku 15 nariadenia GDPR, je základným kameňom kontroly používateľa nad jeho digitálnou stopou. Nejde len o to, aby spoločnosť poslala používateľovi zoznam jeho aktivít. Toto právo zahŕňa povinnosť prevádzkovateľa poskytnúť informácie o účeloch spracúvania, kategóriách dotknutých osobných údajov a príjemcoch, ktorým boli tieto údaje poskytnuté. Spotify, ako líder v oblasti streamovania hudby, disponuje obrovským množstvom citlivých informácií – od hudobného vkusu a polohy až po platobné údaje a interakcie so sociálnymi funkciami.

Mnohé technologické firmy si toto právo vykladajú minimalisticky. Ponúkajú automatizované nástroje na „stiahnutie vašich dát“, ktoré často vygenerujú neprehľadné súbory vo formáte JSON alebo CSV. Problém nastáva v momente, keď tieto súbory obsahujú interné kódy, skratky a štruktúry, ktorým bežný spotrebiteľ nerozumie. Právo na prístup totiž explicitne vyžaduje, aby boli informácie poskytnuté v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme. Spotify v tomto smere dlhodobo zaostávalo, čo viedlo k vlne sťažností.

1. Prípad Noyb verzus Spotify: Chronológia zlyhania

Celý spor odštartovala nezisková organizácia Noyb (None of Your Business), ktorú vedie známy aktivista za ochranu súkromia Max Schrems. Už v roku 2019 bolo podaných niekoľko sťažností na rôzne technologické spoločnosti vrátane Spotify. Používatelia tvrdili, že hoci im Spotify umožnilo stiahnuť si dáta, odpoveď bola neúplná a chýbal v nej potrebný kontext. Spotify na žiadosti reagovalo tak, že poskytlo len surové technické údaje bez vysvetlenia, ako sa s nimi pracuje a komu sú ďalej posúvané.

Prípad sa ťahal niekoľko rokov, pričom hlavným argumentom Spotify bolo, že ich automatizovaný systém je efektívny a dostatočný. Rakúsky a švédsky dozorný orgán však mali iný názor. Vyšetrovanie ukázalo, že Spotify nielenže neposkytlo všetky kategórie údajov, ale vedome ignorovalo požiadavku na vysvetlenie logiky spracúvania dát. Tento prístup bol označený za systémové zlyhanie, ktoré podkopáva samotnú podstatu GDPR.

Prečo automatizované systémy často zlyhávajú

Väčšina veľkých korporácií sa spolieha na automatizáciu, aby znížila náklady na administratívu spojenú s GDPR. V prípade Spotify sa však ukázalo, že:

  • Dáta boli nečitateľné: Používateľ dostal zoznam identifikátorov bez popisu, čo znamenajú.
  • Absencia informácií o zdroji: Nebolo jasné, odkiaľ určité údaje pochádzajú, ak neboli získané priamo od používateľa.
  • Nedostatočná špecifikácia príjemcov: Spotify uvádzalo len všeobecné kategórie príjemcov, čo neumožňovalo používateľovi overiť, kam presne jeho dáta putujú.

Hlavné nedostatky v odpovediach Spotify podľa regulátorov

Regulačné orgány vo svojom rozhodnutí identifikovali tri kľúčové oblasti, v ktorých Spotify pochybilo. Prvým bodom bola zrozumiteľnosť. Ak spoločnosť poskytne dáta v technickom formáte, ktorý vyžaduje programátorské znalosti na dešifrovanie, neplní si svoju zákonnú povinnosť. Používateľ má právo pochopiť, prečo je určitá skladba v jeho histórii spojená s konkrétnym reklamným profilom.

Druhým závažným bodom bola neúplnosť poskytovaných informácií. Spotify v mnohých prípadoch neuviedlo informácie o dobe uchovávania údajov. GDPR jasne stanovuje, že používateľ musí vedieť, ako dlho bude firma jeho informácie držať vo svojich databázach. Ak nie je možné určiť presný čas, musia byť aspoň stanovené kritériá na jeho určenie. Spotify tieto detaily v počiatočných fázach ignorovalo.

Tretím pilierom kritiky bolo právo na vysvetlenie v súvislosti s automatizovaným rozhodovaním. Algoritmy Spotify, ktoré odporúčajú hudbu, sú založené na profilovaní. Používatelia majú právo vedieť, aká logika stojí za týmito odporúčaniami, najmä ak tieto procesy ovplyvňujú ich používateľskú skúsenosť. Spotify sa snažilo tieto algoritmy chrániť ako obchodné tajomstvo, čo však narazilo na práva jednotlivcov na transparentnosť.

Právne dôsledky a udelená pokuta

Výsledkom dlhoročného sporu bolo prelomové rozhodnutie švédskeho úradu pre ochranu údajov (IMY), ktorý v roku 2023 udelil Spotify pokutu vo výške 58 miliónov švédskych korún (približne 5 miliónov eur). Hoci sa táto suma môže zdať v porovnaní s miliardovými obratmi spoločnosti nízka, jej symbolický význam je obrovský. Ide o jasný signál, že prístup k údajom nemôže byť len formálnym zaškrtnutím políčka v nastaveniach profilu.

Rozhodnutie rakúskeho Najvyššieho správneho súdu

Okrem finančnej sankcie vo Švédsku muselo Spotify čeliť aj tlaku z Rakúska. Rakúsky súd potvrdil, že používatelia majú právo na kópiu údajov, ktorá je identická s tým, čo vidí samotný spracovateľ. To znamená, že ak Spotify interne používa určité označenia na analýzu nálady používateľa podľa počúvanej hudby, tieto informácie nesmú byť pred používateľom v rámci žiadosti o prístup zamlčané. Tento verdikt zásadne rozširuje rozsah toho, čo všetko musia firmy sprístupniť.

Čo si z tohto prípadu môžu odniesť iné firmy?

Prípad Spotify slúži ako dôležitý návod pre všetky spoločnosti pôsobiace na európskom trhu. Príprava na žiadosti o prístup k údajom by nemala byť len technickou záležitosťou IT oddelenia, ale mala by zahŕňať aj právnu a komunikačnú zložku.

Kľúčové odporúčania pre správnu prax:

  • Vrstvené informácie: Poskytnite používateľovi stručný prehľad (dashboard) a zároveň možnosť stiahnuť si detailný technický log.
  • Slovník pojmov: Ak export obsahuje interné ID kódy alebo technické názvy polí, priložte k nim zrozumiteľnú legendu.
  • Konkrétnosť nadovšetko: Namiesto fráz ako „zdieľame údaje s marketingovými partnermi“ uveďte konkrétne spoločnosti alebo aspoň veľmi presné podkategórie.
  • Pravidelný audit: Pravidelne kontrolujte, či vaše exportné nástroje skutočne sťahujú všetky údaje, ktoré o používateľovi zhromažďujete, vrátane metaúdajov a lokalizačných dát.

Zhrnutie a záverečné zhodnotenie precedensu Spotify

Prípad porušenia práva na prístup zo strany Spotify predstavuje dôležitý míľnik v interpretácii nariadenia GDPR. Ukazuje nám, že v digitálnom priestore už nestačí len nominálne dodržiavanie pravidiel, ale vyžaduje sa skutočná a hlboká transparentnosť. Spotify zlyhalo v tom najzákladnejšom – v komunikácii s používateľom spôsobom, ktorý by mu umožnil pochopiť zmysel a rozsah spracúvania jeho súkromných informácií. Zaslanie surového súboru plného nezrozumiteľných kódov bez vysvetlenia účelu, príjemcov či doby uchovávania je dnes v očiach dozorných orgánov považované za závažné porušenie zákona. Pre používateľov je tento rozsudok víťazstvom, pretože potvrdzuje, že majú právo vidieť „pod kapotu“ algoritmov a procesov, ktoré formujú ich digitálnu realitu.

Zároveň tento prípad vysiela jasné varovanie všetkým technologickým spoločnostiam: automatizácia nesmie byť ospravedlnením pre netransparentnosť. Firmy musia investovať nielen do technológií na zber dát, ale aj do systémov, ktoré umožnia tieto dáta zrozumiteľne interpretovať ich majiteľom – teda nám, používateľom. V konečnom dôsledku tento spor posilnil postavenie jednotlivca voči digitálnym gigantom a nastavil novú latku pre to, ako má vyzerať férový prístup k osobným údajom v 21. storočí. Pre čitateľov je to dôležité pripomenutie, že ich práva nie sú len na papieri a že dôsledné vyžadovanie transparentnosti má zmysel a prináša reálne zmeny v praxi globálnych korporácií.

Kategórie:
Témy

autor

/ Blog /

Súvisiace články

Prekliatie talentovaných: Ako váš vnútorný sabotér ticho ničí každú šancu na úspech, ktorú dostanete

autor

26. mája 2026

, ,
Vaši zamestnanci: Najslabší článok alebo nepriestrelný štít? Prečo je vzdelaný používateľ jedinou cestou k bezpečnejšej organizácii

autor

26. mája 2026

, ,
Vaša najväčšia bezpečnostná diera nesedí za počítačom, ale v kancelárii: Ako tréning zastaví phishing a ransomvér.

autor

26. mája 2026

, ,
Tikajúca bomba na obecnom úrade: Prečo sú malé obce pre kybernetických útočníkov atraktívnejšie než veľké korporácie?

autor

26. mája 2026

, ,
Prečo hackeri milujú slovenské obce? Pravda o tom, prečo za úniky dát nemôže váš IT-čkár, ale starosta.

autor

26. mája 2026

, ,
Zahrávate sa s likvidačnou pokutou? Tieto údaje hostí v hoteli sú z pohľadu GDPR najväčším rizikom

autor

26. mája 2026

Odoberajte novinky od osobnyudaj.sk

Vaša e-mailová adresa je u nás v bezpečí, prečítajte si naše podmienky zpracovania osobných údajov.