Lexnova Nyheter

Sveriges största juridiska nyhetstjänst – bevakning av rättsfall, lagstiftning och förarbeten inom alla rättsområden och instanser.

Miljonsmäll för Klarna – men bristfällig personuppgiftsinformation har rättats till

Klarna ska betala mångmiljonböter med anledning av den bristfälliga information som man haft på sin hemsida så vitt rör bolagets behandling av personuppgifter, efter ett beslut från Integritetsskyddsmyndigheten. Bolaget har dock redan förbättrat informationen och avgiften blir avsevärt lägre än det omsättningsbaserade maxbeloppet.

Miljonsmäll för Klarna – men bristfällig personuppgiftsinformation har rättats till

Fintechjätten Klarna tillhandahåller tjänster som innebär kreditgivning men också rena betalningsinitieringstjänster och kontoinformationstjänster. Man tillhandahåller i dagsläget betalningslösningar till cirka 90 miljoner konsumenter i fler än 200 000 butiker i 17 länder. De tjänster man tillhandahåller är beroende av att man behandlar en mycket stor mängd personuppgifter. 

Integritetsskyddsmyndigheten, IMY, har granskat hur bolaget på sin webbplats informerar om hur personuppgifterna behandlas enligt dataskyddsförordningen – och det står nu klart att bolaget får underkänt på flera punkter.

Tillsynen inleddes redan i mars 2019 och bolaget har kontinuerligt ändrat den personuppgiftsinformation man publicerat på sin hemsida. Det myndigheten nu slår ned på är informationen i den form den såg ut under våren 2020.

Då lämnade Klarna ingen information om för vilket ändamål och med stöd av vilken rättslig grund som personuppgifter behandlades i en av bolagets tjänster. Den information som funnits avseende vilka som var mottagare av olika kategorier av personuppgifter när uppgifter delas med svenska respektive utländska kreditupplysningsföretag har också varit ofullständig och missvisande.

Dessutom har det inte funnits någon information om till vilka länder utan EU/EES som personuppgifter förs över – eller om var och hur man som enskild kan få information om de skyddsåtgärder som gäller för överföringen till tredje land. Klarnas information om de registrerades rättigheter har också varit bristfällig, bland annat med avseende på rätten till radering av uppgifter, rätten om dataportabilitet och rätten att göra invändningar mot hur de egna personuppgifterna behandlas.

För de konstaterade bristerna i förhållande till dataskyddsförordningen påförs Klarna nu en administrativ sanktionsavgift på 7,5 miljoner kronor. Bolaget har enligt IMY inte uppfyllt den grundläggande principen om öppenhet och de registrerades rättigheter avseende information.

IMY betonar att höga krav ska ställas på ett stort företag med så omfattande integritetskänslig personuppgiftsbehandling att tillhandahålla koncis, begriplig, lättillgänglig samt klar och tydlig information. Det är också försvårande att överträdelserna rör artiklar som är centrala för att den registrerade ska ha möjlighet att kunna ta till vara sina rättigheter enligt dataskyddsförordningen och att den information som tillhandahålls i dataskyddsinformationen berör ett mycket stort antal registrerade samt att överträdelsen pågått under en längre tid. Klarna har samtidigt ändrat och förbättrat den information som finns på hemsidan.

Sanktionsavgiften kan med hänsyn till detta stanna vid 7,5 miljoner kronor, att jämföra med det maximala sanktionsbelopp på 404 miljoner som IMY hade kunnat döma ut baserat i bolagets årsomsättning.


Ladda ner dokument

Namn Storlek Ladda hem

2019_4062.pdf

1 MB
Instans
Övriga instanser
Rättsområden
Compliance - finansiella bolag, Kredit, finans- och bankrätt, Compliance - konsumentskydd, Personuppgifter och integritet, Tillstånd och tillsyn