Gå til innhold

Lov&Data

2/2024: Personvern
25/06/2024

Kammarrätten ålägger Klarna Bank AB en sanktionsavgift om 7,5 miljoner kronor för bristande dataskyddsinformation

Av Fatima Abdillahi Farah, Thesis Trainee i Advokatfirman Delphi.

Texten "Delphi" i svart i vinkel på vit bakgrund, digital illustration.

Kammarrätten i Stockholm meddelade den 11 mars 2024 sin dom avseende Klarna Bank AB:s (Klarna) efterlevnad av informationskravet i dataskyddsförordningen (”GDPR”).

En hand som håller i en mobiltelefon som visar en rosa logotyp med bokstaven "K" och texten "Klarna." ovan, på rosa bakgrund, digital illustration.

Illustrasjon: Thiago Prudencio/SOPA Images/LightRocket via Getty Images) sopa images/lightrocket via getty images

Bakgrunden till domen är att IMY i samband med ett tillsynsärende påförde Klarna en sanktionsavgift om 7,5 miljoner kronor för överträdelse av en rad bestämmelser i GDPR. IMY riktade kritik mot Klarna för att ha lämnat ofullständig och bristande information och i vissa fall helt utelämnat dataskyddsinformation. Bland annat ansåg IMY att Klarna åsidosatt informationskravet genom att inte uppge vilka tredjeländer som varit mottagare av personuppgifter. Beslutet överklagades av Klarna till förvaltningsrätten, som sänkte sanktionsavgiften till 6 miljoner kronor. Domen överklagades så småningom även till kammarrätten. I domen fastställer kammarrätten IMY:s sanktionsavgift om 7,5 miljoner kronor, men håller inte helt med om IMY:s bedömning i alla delar.

En av frågorna som domstolen ställdes inför var om informationen som Klarna lämnat om de registrerades rättigheter uppfyllde kraven i GDPR. Enligt artikel 13.2 i GDPR är den personuppgiftsansvarige skyldig att lämna information om den registrerades rätt att bland annat begära tillgång till, rättelse eller radering av personuppgifter. I den delen fastslår kammarrätten att GDPR endast ställer krav på att den personuppgiftsansvarige informerar de registrerade om förekomster av vissa rättigheter. Till skillnad från både IMY och förvaltningsrätten bedömer Kammarrätten alltså inte att Klarna varit skyldiga att närmare beskriva dessa rättigheter.

Vad gäller frågan om personuppgiftsansvariga är skyldiga att informera om vilka specifika tredjeländer som personuppgifter har överförts till gör domstolen en liknande bedömning som ovan: GDPR ställer inte krav på att personuppgiftsansvariga behöver lämna information om vilka specifika tredjeländer som personuppgifter överförs till, utan det räcker med att endast nämna att det sker tredjelandsöverföringar.

Vidare ställdes frågan om Klarna varit skyldiga att ange vilka svenska respektive utländska kreditupplysningsbyråer som varit mottagare av personuppgifter. I den delen konstaterar kammarrätten att inget i ordalydelsen i artikel i 13.1 e) i GDPR tyder på att det finns en skyldighet att särskilja svenska och utländska kreditupplysningsbyråer.

Kammarrätten slår dock fast att Klarna överträtt informationskravet i artikel 12.1 i vissa delar. Domstolen anger att informationen som lämnats rörande ändamålet med personuppgiftsbehandlingen varit både svårtillgänglig och otydlig. Vidare anger kammarrätten att informationen om rätten till dataportabilitet som fastställs i artikel 20 i GDPR lämnats på ett sådant sätt att det är svårt att förstå att det är separat rättighet. Detta främst eftersom terminologin som Klarna använt sig av är otydligt utifrån terminologin som används i GDPR.

Artikel 5.1 a) i GDPR föreskriver, bland annat, att personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade. Till skillnad från både IMY och förvaltningsrätten anser kammarrätten inte att Klarnas överträdelser av informationskravet varit av den omfattning och karaktär att den generella principen om öppenhet åsidosatts.

Domen visar att på mer nyanserad och mindre sträng bedömning av både informationskravet och den grundläggande principen om öppenhet i GDPR. Kammarrättens tolkning av informationskravet innebär att det inte finns en skyldighet att lämna så pass detaljerad information som IMY och förvaltningsrätten har ansett. Rent praktiskt innebär det att personuppgiftsansvariga inte behöver djupdyka i vad varje rättighet innebär i sina integritetspolicyer och dylikt. I stället räcker det med att informera om förekomsten av de rättigheter som följer av GDPR, så länge den informationen är tydlig, lättillgänglig och separerar olika rättigheter från varandra.

Trots detta ålägger kammarrätten en lika hög sanktionsavgift som IMY för de överträdelser som Klarna anses gjort sig skyldiga till, med hänvisning till att sanktionsavgiften ska framstå som en effektiv, proportionell och avskräckande åtgärd. I sammanhanget kan tilläggas att den europeiska dataskyddsstyrelsen, EDPB, kommit med nya riktlinjer om hur administrativa sanktionsavgifter vid överträdelser av GDPR ska beräknas sedan IMY:s ursprungliga beslut i ärendet.

Fatima Abdillahi Farah
Fatima Farah, portrett