Det kan bli kostsamt att ha en bristfällig integritetspolicy
Tidigare i år fick Klarna en sanktionsavgift om 7,5 miljoner kronor av Integritetsskyddsmyndigheten för att myndigheten ansåg att Klarna under cirka tre månaders tid år 2020 hade tillhandahållit bristfällig dataskyddsinformation på sin hemsida. En av våra dataskyddsexperter, Amir Hajdarevic, redogör kortfattat för vad beslutet handlade om och vad vi kan lära oss av det.
IMY:s beslut
Den 28 mars 2022 beslutade IMY (Integritetsskyddsmyndigheten, tidigare Datainspektionen) att utfärda en sanktionsavgift mot Klarna på 7 500 000 kr. Beslutet grundade sig på brister i den dataskyddsinformation som Klarna tillhandahöll under perioden 17 mars-26 juni 2020. Klarna lät meddela att de tänkte överklaga beslutet.
IMY identifierade flera brister i dataskyddsinformationen som Klarna tillhandahöll. IMY hade betydligt mer kritik än vad vi tar upp här, och redogör för kritiken i större detalj i sitt beslut. Vi kommer dock inte att gå igenom all kritik i detalj här, utan vi har valt att belysa några av de huvudsakliga bristerna som IMY påpekade. Nämligen:
Det saknades information om ändamål och rättslig grund för behandlingar.
Information om vilka som var mottagare av personuppgifter när sådana delades med svenska och utländska företag var ofullständig och missvisande.
Det saknades information om de länder utanför EU/EES dit personuppgifter överfördes.
Information om de perioder då personuppgifter skulle lagras och de kriterier som tillämpades för att fastställa dessa var ofullständig.
Det saknades meningsfull information om logiken bakom, samt de förutsedda följder av, automatiserat beslutsfattande (ex. profilering).
Information som lämnats om ändamål och rättslig grund för behandlingar har inte varit koncis, klar, tydlig och inte heller lättillgänglig.
Lärdomar vi tar med oss
Vi upplever att detta är ganska vanligt förekommande brister som många aktörer har i sin dataskyddsinformation idag. För att undvika sådana brister har vi valt ut tre lärdomar som vi tycker är lämpliga att bära med sig från detta beslut.
Med tanke på att kritik framförts mot att det saknats nödvändig information är den första lärdomen naturligtvis att det är avgörande att all information somska tillhandahållas faktiskt inkluderas. Vid bedömningen av vad som ska inkluderas (och hur det ska inkluderas) har IMY visat att de utgår från lagstiftningen på området men också att de fäster stor vikt vid den vägledning om information som skapats av den s.k. ”Artikel 29-gruppen” (en oberoende rådgivande expertgrupp inom EU tidigare). Det behöver ni därför också göra, när ni utformar er dataskyddsinformation.
Dataskyddsinformationen får inte vara ospecifik eller svepande i någon del, utan att den behöver vara utförlig och precis. IMY gör det tydligt att det är oacceptabelt att nödvändig information uttrycks på ett sätt som är vagt, svårtolkat, ofullständigt eller missvisande.
All dataskyddsinformation ska struktureras på ett sådant sätt att den enkelt kan förstås av de personer den riktar sig till. För att uppnå det ändamålet är det viktigt att använda ett klart och tydligt språk, på ett sätt som gör informationen lättbegriplig. Samt att informationen görs lättillgänglig, vilket betyder att det ska vara uppenbart för läsarna var och hur de kan få åtkomst till informationen.
Se över er dataskyddsinformation
Vårt tips är att ni bör se över er dataskyddsinformation och att ni då bör fråga er om den uppfyller de krav som ställs enligt lagstiftningen, om den är tillräckligt utförlig och om den är tillräckligt lättbegriplig. En övning för att identifiera brister i er dataskyddsinformation kan vara att läsa de kriterier som IMY framfört i sitt beslut och fråga sig om kriterierna är tillämpliga även på er dataskyddsinformation. Det kan verka utmanande att förena utförlighet och tydlighet men det är absolut nödvändigt.
Om Privacy hos Fondia
Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av ärenden som rör personuppgiftsbehandling och integritetsskydd. Vi ger bland annat handfasta råd kring efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna samt hittar affärsmässiga lösningar på utmaningar inom dataskydd. Våra experter har tillsammans bred erfarenhet från roller som både dataskyddsombud, bolagsjurist, del av ledningsgrupp, del av dataskyddsgrupp och rena konsultroller.Vi erbjuder också tjänsten DPOaaS- dataskyddsombud som en tjänst.
Tveka inte att kontakta oss – välkommen till Fondia!
Mer om IMY:s beslut
För den som vill läsa beslutet i sin helhet och ta del av de dokument som granskades vid tillsynen finns beslutet här, Klarnas dataskyddsinformation här och Klarnas användarvillkor här (länkar från IMY.se).