Sanktionsavgift om 7,5 MSEK efter att Klarna har brustit i sina skyldigheter enligt GDPR

Integritetsskyddsmyndigheten (IMY) meddelade i förra veckan att de utfärdat en sanktionsavgift mot bolaget om 7 500 000 kronor. Detta efter att IMY:s granskning av bolaget visat att bolaget brustit i uppfyllandet av flera skyldigheter enligt dataskyddsförordningen (GDPR). IMY:s granskning gällde främst hur bolaget informerat på sin hemsida om hur de behandlat personuppgifter enligt GDPR.

Enligt GDPR har den som behandlar personuppgifter en vidsträckt informationsskyldighet gentemot den registrerade (den privatpersonen vars personuppgifter behandlas) om hur och i vilken mån dennes personuppgifter behandlas. IMY:s granskning visade att bolaget brustit i sin informationsskyldighet i flera avseenden.

IMY:s granskning visade bland annat att bolaget inte hade informerat om för vilket ändamål och med vilken rättslig grund som personuppgifter behandlades i en av bolagets tjänster, vilket är ett krav enligt GDPR.  Bolaget hade inte heller lämnat information om till vilka länder utanför EU/EES som personuppgifter överfördes till eller om var och hur de registrerade kunde erhålla information om vilka skyddsåtgärder som gällde vid överföring till sådana länder. Bolaget hade även lämnat ofullständig och vilseledande information rörande vilka som var mottagare av olika kategorier av personuppgifter när uppgifter delades med svenska och utländska kreditupplysningsföretag. IMY fann även att informationen var bristfällig vad avsåg de registrerades rättigheter, bland annat vad gäller rätten till radering av uppgifter, rätten om dataportabilitet och rätten att göra invändningar mot hur ens personuppgifter behandlas.

Beslutet från IMY belyser hur viktigt det är att ge tydlig och korrekt information till den registrerade om hur, varför och i vilken mån dennes personuppgifter behandlas. Advokatfirman MORE Evander KB bistår löpande våra kunder med att upprätta och granska integritetspolicys för att säkerställa att de är förenliga med GDPR. Har ni frågor eller vill ha vår hjälp är ni välkomna att kontakta oss på info@amelegal.se eller telefon 08-20 06 10

Administrative fine of SEK 7.5 million against Klarna for failing its obligations under the GDPR

The Swedish Authority for Privacy Protection (IMY) announced last week that they had issued an administrative fine of SEK 7.5 million against the company after that an investigation has shown that the company has not complied with several obligations under the Data Protection Regulation (GDPR). IMY’s investigation mainly concerned how the company informs about how they process personal data in accordance with the GDPR on its website.

According to the GDPR, a company that processes personal data is obliged to provide information to the data subject (the individual whose personal data is processed) about how, and to what extent, its personal data is processed. IMY’s investigation showed that the company has severely breached its information obligation.

IMY’s investigation showed, among other things, that the company had not provided information about the purpose and legal basis for which personal data was processed in one of the company’s services, which is a requirement under the GDPR regulation. The company had also not provided information about to which countries outside the EU/EEA personal data were transferred to, or on where and how the data subjects could obtain information on which security measures that applied to the transfer to third countries. The company had also provided incomplete and misleading information regarding who were the recipients of various categories of personal data when data was shared with Swedish and foreign credit information companies. IMY also found that the company had provided incomplete information about the data subjects’ rights under GDPR, including the right to delete data, the right to data portability and the right to object to how one´s personal data is processed.

The ruling from IMY shows how important it is to provide clear and correct information to the data subject about how, why and to what extent personal data is processed. Advokatfirman MORE Evander KB regularly assists our clients in establishing and reviewing privacy policies to ensure that they are compliant with the GDPR. If you have any questions or want our help, you are welcome to contact us at info@amelegal.se  or phone + 46 8-20 06 10.