Den 28 mars i år utfärdade Integritetsskyddsmyndigheten (”IMY”) en sanktionsavgift om 7,5 miljoner kronor med anledning av att Klarnas information till sina kunder inte uppfyller den grundläggande principen om öppenhet och de enskildas rättigheter till information enligt GDPR.
Myndigheten ansåg bland annat att informationen som Klarna lämnade om ändamålen med behandlingen och de rättsliga grunderna för behandlingen inte var tillräckligt koncis, klar, tydlig och lättillgänglig. IMY ansåg även att Klarna lämnat ofullständig och missledande information avseende vilka som varit mottagare av personuppgifterna, till vilka länder utanför EU/EEA som personuppgifterna överfördes och hur enskilda kunde få information om de skyddsåtgärder som tillämpades avseende överföringar av personuppgifter till sådana länder. Bristerna ansågs inte vara ringa.
Av beslutet framgår hur IMY tolkar kravet på att information i en personuppgiftspolicy ska vara koncis, klar, tydlig, begriplig och i lättillgänglig form. IMY förtydligar även hur de anser att information avseende tredjelandsöverföringar ska utformas för att på ett tillräckligt tydligt sätt redogöra för registrerade vilka skyddsåtgärder som vidtas när personuppgifter överförs till ett land utanför EU/EEA, samt att man som personuppgiftsansvarig ska lämna uppgifter om var man kan hitta mer information om de aktuella skyddsåtgärderna. Sådan information måste också tydligt ange vilka länder som personuppgifterna överförs till. IMY kritiserar också Klarna för sättet de redogör för registrerades rättigheter.
IMY:s beslut aktualiserar den svåra balansgång som råder när man utformar en personuppgiftspolicy eller annan informationstext till registrerade. Personuppgiftspolicyn måste både redogöra på ett bra och uttömmande sätt för de behandlingar som den personuppgiftsansvarige utför och samtidigt inte bli ett svårbegripligt dokument för den registrerade. Beslutet är det första där IMY prövar utformningen av en personuppgiftspolicy enligt GDPR. Även om mycket av det IMY uttalar i sitt beslut inte är helt nytt, och i många delar är allmänt hållet, påvisar beslutet vikten av att kontinuerligt uppdatera och förbättra sin personuppgiftspolicy, samt att det är en god idé att (om man inte nyligen gjort det) se över att den egna policyn verkligen efterlever de krav på information som GDPR ställer.
Mot bakgrund av beslutet kan det vara en god idé att kontrollera att er personuppgiftspolicy:
- tydligt anger för vilka ändamål som personuppgifter behandlas och den rättsliga grunden för respektive behandling,
- tydligt beskriver hur uppgifter delas med tredje part,
- listar vilka länder utanför EU/EES som personuppgifter överförs till, vilken skyddsåtgärd som tillämpas och hur den enskilde kan få tillgång till eller erhålla handlingar gällande de skyddsåtgärder för överföring som beskrivs,
- anger tidsperioder för hur länge personuppgifter lagras eller metoden för att avgöra lagringstiden (ex. kopplat till ett anställnings- eller affärsförhållande) och att detta överensstämmer med organisationens gallringsrutiner,
- beskriver de registrerades rättigheter och hur de hänger ihop på ett rättvisande sätt, och
- tydligt anger om automatiserat beslutsfattande förekommer, hur logiken bakom sådant beslutsfattande i så fall ser ut (ex. vilka omständigheter som påverkar beslutet) och vad beslutet har för betydelse för den registrerade.
Klarna har meddelat att de kommer att överklaga beslutet och det återstår därmed att se om domstolen gör samma bedömningar som IMY. Vi kommer att följa utvecklingen noggrant och säkerligen få skäl att återkomma till dessa frågeställningar.
