Din varukorg är för närvarande tom!
Klarnas sanktionsavgift sänktes till 6 miljoner kronor efter ett överklagande
Klarna Bank har överklagat ett beslut av Integritetskyddsmyndigheten (IMY) som utdelade en sanktionsavgift på 7,5 miljoner kronor för brott mot GDPR. IMY fann att Klarna bröt mot GDPR genom att inte tillhandahålla tillräcklig information om behandling av personuppgifter och de registrerades rättigheter. Förvaltningsrätten biföll delvis Klarnas överklagande och sänkte sanktionsavgiften till 6 miljoner kronor. Domstolen avslår överklagandet i övrigt
Bakgrund
Integritetskyddsmyndigheten (IMY) gav Klarna Bank AB en sanktionsavgift på 7,5 miljoner kronor för brott mot GDPR mellan den 17 mars och 26 juni 2020.
IMY identifierade flera skäl för att ge Klarna sanktionsavgiften, bland annat för att företaget inte har tillhandahållit tydlig information om syftet och den rättsliga grunden för behandlingen av personuppgifter inom tjänsten Min Ekonomi. Dessutom upptäcktes att Klarna lämnat ofullständig och vilseledande information om mottagarna av personuppgifter som delas med svenska och utländska kreditupplysningsföretag. Enligt IMY missade banken också att informera om vilka länder utanför EU/EES man överförde personuppgifter till, samt om hur enskilda personer kunde få tillgång till eller begära ut handlingar om de tredjelandsmekanismer för överföring som Klarna använde.
Vidare kritiserade IMY Klarna för att inte ha gett tillräcklig information om hur länge uppgifterna lagras och vilka kriterier som användes för att fastställa dem. IMY ansåg Kans att banken inte hade informerat kunderna tillräckligt om deras rättigheter enligt artiklarna 17, 18, 20 och 21 i dataskyddsförordningen, vilket ledde till att kraven på öppenhet inte uppfylldes.
IMY konstaterade att Klarnas information om personuppgifter saknade väsentliga detaljer om logiken, betydelsen och de förväntade konsekvenserna av automatiserat beslutsfattande och profilering, vilket krävs enligt artikel 22.1 i GDPR.
Förvaltningsrättens dom
Här är några punkter från domstolens resonemang.
Förvaltningsrätten:
– Klargjorde EDPB-riktlinjernas rättsliga status: de är inte bindande i sig men kan ge vägledning för tillämpningen av GDPR.
– Förvaltningsrätten gav delvis IMY rätt och konstaterade att Klarna bröt mot GDPR men sänkte sanktionsavgiften.
– Klargjorde att Klarna inte gett tillräcklig information om den rättsliga grunden för behandling av personuppgifter, vilket strider mot artikel 13.1 c i GDPR.
– Höll inte med IMY:s ståndpunkt om att GDPR kräver att kreditupplysningsföretagens nationalitet ska specificeras offentligt när överföringen sker inom EU/EES.
– Ansåg att Klarna brutit mot GDPR på grund av otillräcklig information om överföringar till tredje land.
– Ansåg att Klarna lämnade ofullständig information till de registrerade när det angavs att personuppgifter sparades ”så länge som det var nödvändigt” utan att specificera varaktigheten och eftersom det inte heller framgick att personuppgifter även sparades för forskningsändamål.
Klarna Bank AB har överträtt dataskyddsförordningen men domstolen sänker sanktionsavgiften