Den 11 mars 2024 meddelade Kammarrätten i Stockholm dom i mål 2829-23 som fastställer att Klarna Bank AB ska betala en sanktionsavgift på 7,5 miljoner kronor på grund av överträdelser av dataskyddsförordningen (EU) 2016/679 (”GDPR”). Klarnas överträdelser består av bristande information till registrerade avseende behandling av deras personuppgifter, som inte uppfyller kraven i GDPR. Domen kommer inte som en stor överraskning då även Förvaltningsrätten tidigare funnit att Klarna brustit i sina skyldigheter enligt GDPR. Kammarrätten har dock gjort en delvis annan bedömning än Förvaltningsrätten i vissa frågor av betydelse för bedömningen av hur omfattande den personuppgiftsansvarigas informationsskyldighet är enligt GDPR, liksom för vilka krav som kan ställas på information i integritetspolicyer och motsvarande dokument.
Inte nödvändigt att informera om identiteten på mottagarländer vid tredjelandsöverföringar
Enligt GDPR är den personuppgiftsansvarige skyldig att informera den registrerade när den personuppgiftsansvarige avser att överföra personuppgifter till länder utanför EU/EES. En fråga i Klarna-målet var om denna skyldighet även omfattar ett krav på att ange vilka tredjeländer som personuppgifter överförs till. Förvaltningsrätten fann i sin dom att Klarna inte uppfyllt informationskraven enligt GDPR, då Klarna inte hade angivit de specifika tredjeländer som personuppgifter överförs till i sin informationsgivning. Kammarrätten gjorde dock en annan bedömning och fann att kraven på informationsgivning enligt GDPR i samband med tredjelandsöverföringar inte innefattar att specifika tredjeländer måste anges i integritetspolicyer eller likande dokument.
Tillräckligt att den registrerade medvetandegörs om sina rättigheter
GDPR föreskriver även att den registrerade ska informeras om sina rättigheter enligt GDPR, såsom rätten till tillgång till och rättelse och radering av sina personuppgifter. Förvaltningsrätten tolkade detta krav som att den personuppgiftsansvarige måste förse den registrerade med sådan information som gör det möjligt för den registrerade att förstå rättigheternas innebörd och ta tillvara sina rättigheter. Kammarrätten gör dock en annan bedömning även på denna punkt och finner att det är tillräckligt att den registrerade medvetandegörs om sina rättigheter enligt GDPR, utan att en närmare beskrivning ges av rättigheternas innebörd.
Viktigt att fortsätta följa rättsutvecklingen
Kammarrättens dom i Klarna-målet är av särskild betydelse eftersom den nyanserar Förvaltningsrättens tidigare bedömningar av personuppgiftsansvarigas informationsskyldighet enligt GDPR. Även om denna dom nu har fått rättskraft kan den dock inte ses som vägledande; den slutgiltiga tolkningen av GDPR:s bestämmelser, inklusive de om den personuppgiftsansvariges informationsskyldighet, ligger hos EU-domstolen. Personuppgiftsansvariga och andra berörda måste således fortsätta att noga följa rättsutvecklingen på området.
Om ni vill diskutera hur Klarnadomen eventuellt påverkar er verksamhet och hur Lindahl kan bistå er med anpassning till GDPR:s krav, är ni välkomna att kontakta Mårten Lindberg eller Josefin Tegnvallius Boklund.
