Lexnova Nyheter

Sveriges största juridiska nyhetstjänst – bevakning av rättsfall, lagstiftning och förarbeten inom alla rättsområden och instanser.

Klarnas miljonavgift för brott mot GDPR sätts ned efter överklagande

Integritetsskyddsmyndigheten hade fog för att utfärda en miljonavgift mot fintechjätten Klarna för bristande information om behandling av personuppgifter, bekräftar förvaltningsrätten. Domstolen anser dock inte att bristerna är lika allvarliga som myndigheten bedömt och sätter därför ned sanktionsavgiften från 7,5 till 6 miljoner kronor.

Fintechjätten Klarna tillhandahåller tjänster som innebär kreditgivning men också rena betalningsinitieringstjänster och kontoinformationstjänster. Man tillhandahåller i dagsläget betalningslösningar till cirka 90 miljoner konsumenter i fler än 200 000 butiker i 17 länder. De tjänster man tillhandahåller är beroende av att man behandlar en mycket stor mängd personuppgifter. 

Integritetsskyddsmyndigheten, IMY, beslutade efter en av hur Klarna på sin webbplats informerar om hur personuppgifterna behandlas enligt dataskyddsförordningen att ge bolaget får underkänt på flera punkter.

Tillsynen inleddes redan i mars 2019 och bolaget har kontinuerligt ändrat den personuppgiftsinformation man publicerat på sin hemsida. Det myndigheten slog ned på i sitt beslut var informationen i den form den såg ut under våren 2020.

Då lämnade Klarna ingen information om för vilket ändamål och med stöd av vilken rättslig grund som personuppgifter behandlades i en av bolagets tjänster. Den information som funnits avseende vilka som var mottagare av olika kategorier av personuppgifter när uppgifter delas med svenska respektive utländska kreditupplysningsföretag har också varit ofullständig och missvisande.

Dessutom har det inte funnits någon information om till vilka länder utan EU/EES som personuppgifter förs över – eller om var och hur man som enskild kan få information om de skyddsåtgärder som gäller för överföringen till tredje land. Klarnas information om de registrerades rättigheter har också varit bristfällig, bland annat med avseende på rätten till radering av uppgifter, rätten om dataportabilitet och rätten att göra invändningar mot hur de egna personuppgifterna behandlas.

För de konstaterade bristerna i förhållande till dataskyddsförordningen påfördes Klarna en administrativ sanktionsavgift på 7,5 miljoner kronor. Bolaget hade enligt IMY inte uppfyllt den grundläggande principen om öppenhet och de registrerades rättigheter avseende information.

IMY betonade att höga krav ska ställas på ett stort företag med så omfattande integritetskänslig personuppgiftsbehandling att tillhandahålla koncis, begriplig, lättillgänglig samt klar och tydlig information. Det var också försvårande att överträdelserna rört artiklar som är centrala för att den registrerade ska ha möjlighet att kunna ta till vara sina rättigheter enligt dataskyddsförordningen och att den information som tillhandahålls i dataskyddsinformationen berör ett mycket stort antal registrerade samt att överträdelsen pågått under en längre tid. Klarna hade samtidigt ändrat och förbättrat den information som finns på hemsidan.

Sanktionsavgiften kunde med hänsyn till detta stanna vid 7,5 miljoner kronor, att jämföra med det maximala sanktionsbelopp på 404 miljoner som IMY hade kunnat döma ut baserat i bolagets årsomsättning.

Klarna överklagade beslutet och får nu delvis rätt i Förvaltningsrätten i Stockholm.

Bolaget har i sitt överklagande bland annat gjort gällande att sanktionsavgiften avsett brott mot icke-bindande riktlinjer och att detta är strid med grundläggande svensk och europeisk rätt. Enligt Klarna finns det inte heller stöd för att påföra sanktionsavgift.

Förvaltningsrätten delar IMY:s slutsats att de registrerade personerna inte har fått tillräcklig information om hur och för vilka ändamål vissa personuppgifter behandlas. De registrerade har inte heller fått tillräcklig information om sina rättigheter. Det finns också stöd i dataskyddsförordningen för att påföra sanktionsavgift med anledning av dessa brister.

Domstolen anser dock inte att det finns stöd för att Klarna har brustit i sin informationsskyldighet i den utsträckning om IMY har gjort gällande. Överträdelsen är dock enligt förvaltningsrätten inte lika allvarlig som myndigheten bedömt och förvaltningsrätten väljer därför att sätta ned sanktionsavgiften till 6 miljoner kronor.

Att handläggningstiden vid IMY uppgått till sammanlagt tre års tid utgör – till skillnad från vad Klarna gjort gällande – inte skäl att sätta ned avgiften, anser förvaltningsrätten.


Ladda ner dokument

Namn Storlek Ladda hem

7679_22.pdf

2 MB
Instans
Förvaltningsrätterna
Rättsområden
Compliance - finansiella bolag, IT-rätt, Kredit, finans- och bankrätt, Compliance - konsumentskydd, Konsumenträtt, Personuppgifter och integritet, Tillstånd och tillsyn