Klarna Bank AB – vikten av transparens i integritetsmeddelanden

Tidigare i våras utfärdade Integritetsskyddsmyndigheten i Sverige ett administrativt vite på cirka 7 500 000 SEK mot Klarna Bank AB, ett globalt ledande FinTech- och betalningsföretag, efter deras utredning av bolaget som visade att Klarna inte har följt flertalet av de regler som anges i GDPR.

Tidigare i våras utfärdade Integritetsskyddsmyndigheten (”IMY”) ett administrativt vite på cirka 7 500 000 SEK mot Klarna Bank AB (”Klarna”) efter deras utredning av bolaget som visade att Klarna inte har följt flertalet av de regler som anges i GDPR. Det som är särskilt intressant att notera är att även om Klarnas integritetsinformation inte kan påstås ha varit av högsta marknadsstandard, har många andra kommersiella aktörer valt liknande ”pragmatiska” tillvägagångssätt för att utarbeta sin information. IMY:s beslut visar att vägledningen från European Data Protection Board (”EDPB”), som har kritiserats för att vara för krävande i vissa avseenden, måste tas på allvar. Om de standarder som fastställts av IMY i Klarna-beslutet skulle tillämpas brett på marknaden, skulle en stor mängd kommersiella aktörer anses vara icke-kompatibla.

En av de mest centrala principerna i den allmänna dataskyddsförordningen (”GDPR”) är principen om transparens som anges i artikel 5.1. Denna princip kräver att personuppgifter ska behandlas på ett transparent sätt i förhållande till den registrerade, och en personuppgiftsansvarig är därmed skyldig att förse den registrerade med information om ändamålen och medlen för behandlingen av deras personuppgifter. Vidare, utifrån denna princip, specificerar artikel 12 i GDPR hur sådan information ska tillhandahållas, det vill säga vilka krav informationens format måste uppfylla. Information ska lämnas till den registrerade på ett koncist, klart och tydligt, begripligt och lättillgängligt sätt med ett tydligt och enkelt språk. Informationen bör också innehålla visst innehåll, beroende på om personuppgifterna samlas direkt från den registrerade eller via en annan källa. Sådana innehållskrav regleras i artikel 13 och artikel 14 och stadgar bland annat att den personuppgiftsansvarige ska informera om syftet och den rättsliga grunden för behandling av personuppgifter. Det sätt som de flesta företag tycker är mest effektivt för att uppfylla dessa krav är att göra ett ”integritetsmeddelande” tillgängligt på sin webbplats.

I Klarna-fallet undersökte IMY hur Klarna informerade registrerade om behandlingen av personuppgifter på sin webbplats. I IMY:s beslut konstaterade de att det finns flera brister i den information som lämnats. Klarna lämnade inte tillräcklig information om för vilket ändamål och på vilken rättslig grund personuppgifter behandlades i en av Klarnas finansiella tjänster. Klarna lämnade även ofullständig och vilseledande information om mottagare av olika kategorier av personuppgifter när uppgifter delades mellan svenska och utländska kreditupplysningsföretag.

Dessutom har Klarna inte lämnat tillräcklig information om vilka länder utanför EU/EES som personuppgifter överförts till eller om var och hur enskilda kan få information om vilka skyddsåtgärder som gällde för överföringen. IMY noterar också att Klarna lämnat ofullständig information om de registrerades rättigheter, inklusive rätten att radera personuppgifter, rätten till dataportabilitet och rätten att invända mot hur ens personuppgifter behandlas.

När det gäller Klarnas information om mottagare av personuppgifterna går IMY så långt att till och med hävda att informationen var direkt vilseledande för den registrerade. Informationen avser utlämnande av den registrerades betalningsbeteende till både svenska och utländska kreditupplysningsföretag. Enligt Klarnas skriftliga uttalanden delas uppgifter om individuella kunders betalningsbeteende endast med utländska företag men informationen som ges till de registrerade kan tolkas som att dessa uppgifter delats med både svenska och utländska kreditupplysningsföretag. Denna överträdelse var, enligt IMY, väsentlig och allvarlig i sådan mån att den också utgjorde en överträdelse av artikel 5.1 och artikel 5.2.

Även om flera av de punkter som IMY tog upp i sitt beslut inte är nya för den juridiska diskussionen, lyfter de ändå fram vikten av transparens och ger ytterligare vägledning om kraven på information i ett ”integritetsmeddelande”. Än en gång fastställer IMY att kraven på transparens inte är förhandlingsbara och de som utarbetar sådana meddelanden kommer att behöva anpassa den stora mängden nödvändigt innehåll i ett kort, läsbart och koncist format.