Sanktionsavgift mot Klarna

Den svenska Integritetsskyddsmyndigheten («IMY») meddelade den 29 mars 2022 beslut i ett tillsynsärende mot Klarna Bank AB («Klarna») efter en granskning av hur Klarna informerar om personuppgiftsbehandling på sin hemsida. Det mycket omtalade beslutet resulterade i en administrativ sanktionsavgift om 7,5 miljoner kronor.

I beslutet konstaterade IMY att Klarna inte informerat om ändamålen med sin personuppgiftsbehandling, vilken rättslig grund som använts till stöd för behandlingen eller till vilka kreditupplysningsföretag personuppgifterna lämnats ut. Klarna kritiserades också för att inte ha lämnat information om till vilka länder utanför EU/EES som personuppgifterna överfördes och om vilka skyddsåtgärder som tillämpades vid en sådan överföring. Klarna bedömdes även ha lämnat ofullständig information om hur länge personuppgifterna lagrades och de kriterier som användes för att fastställa lagringsperioderna. Slutligen konstaterade IMY att Klarna hade lämnat bristfällig information om de registrerades rättigheter, bland annat avseende rätten till radering av uppgifter.

Kraven på öppenhet och transparens är centrala för beslutet. I beslutet slår IMY fast att kravet på öppenhet innebär att en integritetspolicy ska innehålla information som bl.a. tydligt visar vilka personuppgifter som kan komma att delas med andra aktörer, vilka dessa aktörer är och vilka rättigheter som de registrerade har på ett sätt som gör det möjligt för den registrerade att förstå vad rättigheterna faktiskt innebär och när de kan göras gällande. Om personuppgifter överförs till ett tredje land utanför EU/EES ska det även anges till vilka länder personuppgifterna överförts, vilka skyddsåtgärder som vidtagits och hur de registrerade kan få tillgång till handlingar som visar vilka skyddsåtgärder som har vidtagits. Det är alltså inte tillräckligt att i en integritetspolicy generellt ange att personuppgifter kan komma att delas med mottagare i tredje land.

Vid bestämmandet av sanktionsavgiftens storlek tog IMY bl.a. hänsyn till att överträdelserna avsåg artiklar som är centrala för att den registrerade ska ha möjlighet att tillvarata sina rättigheter enligt GDPR, att överträdelsen berörde ett mycket stort antal registrerade och att överträdelsen hade pågått under en längre tid. Även faktumet att Klarna hade ändrat och förbättrat informationen om sin personuppgiftsbehandling under tillsynsperioden beaktades. Klarna har överklagat IMY:s beslut, så frågan om Klarnas personuppgiftsbehandling och den utdömda sanktionsavgiften är ännu inte slutligt avgjord.

Av intresse är även att IMY den 16 maj 2022 meddelade att de inleder en ytterligare tillsyn mot Klarna. Denna gång ska tillsynen avse Klarnas checkout-tjänst efter att klagomål inkommit till IMY avseende att tjänsten hämtar och fyller i personuppgifter efter att köparen endast fyllt i någon viss personuppgift.

Tillsynsärende mot Verisure Sverige AB

IMY meddelade den 22 april 2022 att de inleder en tillsyn av larmbolaget Verisure Sverige AB («Verisure») för att utreda de uppgifter som förekommit i media och klagomål som riktats från kunder om att anställda hos Verisure i samband med inkomna larm har delat filmmaterial och bilder mellan sig utan att det varit befogat. Det ska även ha förekommit att bilder sparats ner på anställdas egna hårddiskar.

IMYs tillsyn ska dels ta sikte på att utreda vad som har hänt, men också på vilka tekniska säkerhetsåtgärder Verisure har i form av behörighetsstyrning och loggar och vilka instruktioner som ges till de anställda om hur bildmaterial får hanteras. I samband med att IMY offentliggjorde tillsynen uttalade IMY att det är viktigt för larmbolag som erbjuder hemlarm med kamerabevakning att tillhandahålla tydliga rutiner och regler för anställda om hur de får hantera bildmaterialet.

IMY:s beslut i ovan tillsynsärenden visar på vikten av att säkerställa att integritetspolicyer är korrekt utformade och kompletta samt vikten av att ha tydliga rutiner och regler för anställdas behandling av personuppgifter, särskilt i integritetskänsliga sammanhang.

Domar från Kammarrätten i Stockholm gällande sanktionsavgifter

Kammarrätten i Stockholm har den 16 maj 2022 meddelat dom i fem mål i vilka de upphäver förvaltningsrättens och IMY:s beslut att fem sjukhus och regioner ska betala sanktionsavgifter (mål nr. 4471-21, 4511-21, 4540-21, 4548-21 och 4611-21).

Kammarrätten anser att det ska ställas höga krav på IMY:s bevisning för att beslut om sanktionsavgift ska kunna fattas vid tillsynsärenden. Enligt kammarrätten har IMY inte bevisat att de aktuella sjukhusen och regionerna brustit i sina skyldigheter enligt GDPR när det gäller att säkerställa en lämplig säkerhetsnivå vid tilldelning av behörigheter i journalsystemen. Mot bakgrund av detta har det inte funnits skäl att påföra sanktionsavgifter och dessa upphävdes därmed

Kammarrättens avgöranden tydliggör att höga beviskrav ska uppställas för IMY:s beslut om påförande av administrativa sanktionsavgifter.