Klarna Bank AB får betala 7,5 miljoner kronor i sanktionsavgift efter ett nytt beslut från Integritetsskyddsmyndigheten, IMY

Författare:

|

Datum:

|

Efter en tillsyn av Klarna Bank AB som inleddes i mars 2019 konstaterar IMY att informationen om bolagets personuppgiftshantering under perioden 17 mars 2020 fram till 26 juni 2020 strider mot dataskyddsförordningen på flera sätt. De artiklar som aktualiseras i beslutet är bland annat 5.1 a, 5.2, 12.1 och 13.1 c, 13.1 e, 13.1 f och 13.2 a i dataskyddsförordningen.

IMY:s grunder för beslutet
För det första slår IMY fast att det inte fanns tydlig information om ändamål samt relevant rättslig grund för personuppgiftsbehandling avseende personuppgifter i tjänsten ”Min ekonomi”. För det andra fanns otydligheter kring vilka svenska och utländska kreditupplysningsföretag som fick tillgång till olika kategorier av personuppgifter.

För det tredje ansåg IMY att information om tredjelandsöverföringar samt skyddsåtgärderna kopplat till dessa var bristfällig. Vidare menar IMY att informationen om de registrerades rättigheter var ofullständig och att principen om öppenhet utifrån detta inte uppfylldes. Bland sådana rättigheter nämns exempelvis rätten att få sina personuppgifter raderade och rätten till dataportabilitet.

Val av påföljd och sanktionsavgiftens storlek
Eftersom överträdelserna är sådana som avses i art. 83.5 dataskyddsförordningen konstaterade IMY att sanktionsavgiftens värde kunde uppgå till 20 miljoner euro eller till 4 % av den totala globala omsättningen under föregående budgetår, beroende på vilket av dessa värden som är högst. Enligt IMY:s beräkningar, som baserades på moderbolaget Klarna Holding AB:s årsredovisning år 2020 var det maximala beloppet som kunde dömas ut 404 miljoner kronor dvs. ca 40,4 miljoner euro.

I sin bedömning tog IMY hänsyn till att Klarna hanterar stora mängder personuppgifter eftersom 90 miljoner konsumenter använder sig av deras betalningslösningar. En försvårande omständighet i fallet var att överträdelserna gällde grundläggande och centrala bestämmelser i dataskyddsförordningen såsom bestämmelser om de registrerades rättigheter. En förmildrande omständighet är å andra sidan att Klarna under tiden som granskningen har pågått kontinuerligt förbättrat informationen. Klarna anser att dessa förbättringar och deras omfattning gör IMY:s beslut irrelevant.

Klarna anser att beslutet är otydligt och avser att överklaga
I sitt svar till IMY kritiserar Klarna beslutet för att vara otydligt och uttrycker ett missnöje med IMY:s förklaringar. Vidare önskar Klarna mer vägledning från IMY för att säkerställa att de lever upp till IMY:s krav och undviker framtida överträdelser. Klarna uppger även att de tänker överklaga beslutet.

Läs mer här:

Sanktionsavgift mot Klarna efter granskning

Beslut efter tillsyn enligt dataskyddsförordningen – Klarna Bank AB

Klarna straffas med mångmiljonbelopp