• Om oss
    • Om Lindahl
    • Vårt arbetssätt
    • Sagt om Lindahl
    • Pressrum
    • Hitta till oss
    • Personuppgifter
  • Områden
    • Aktiemarknadsrätt
    • Fastighetsrätt
    • Företags­överlåtelser
    • Immaterialrätt
    • IT/Tech
    • Tvistlösning
    • Alla områden
    • Notarius Publicus
  • Medarbetare
    • Stockholm
    • Göteborg
    • Malmö
    • Uppsala
    • Örebro
    • Helsingborg
  • Aktuellt
    • Event
    • Insikter
    • Nyheter
    • Uppdrag
  • Karriär
    • Lediga tjänster
    • Att jobba på Lindahl
    • Student
    • Business Law Challenge
  • Kontor
    • Stockholm
    • Göteborg
    • Malmö
    • Uppsala
    • Örebro
    • Helsingborg

Sanktionsavgift mot Klarna – vikten av transparens och tydlighet i en s.k. "personuppgiftspolicy”  

  • Hem
  • Aktuellt
  • Insikter
  • 2022
  • Sanktionsavgift mot Klarna – vikten av transparens och tydlighet i en s.k. "personuppgiftspolicy”

Den 28 mars i år utfärdade Integritetsskyddsmyndigheten (”IMY”) en sanktionsavgift om 7,5 miljoner kronor med anledning av att Klarnas information till sina kunder inte uppfyller den grundläggande principen om öppenhet och de enskildas rättigheter till information enligt GDPR.


Myndigheten ansåg bland annat att informationen som Klarna lämnade om ändamålen med behandlingen och de rättsliga grunderna för behandlingen inte var tillräckligt koncis, klar, tydlig och lättillgänglig. IMY ansåg även att Klarna lämnat ofullständig och missledande information avseende vilka som varit mottagare av personuppgifterna, till vilka länder utanför EU/EEA som personuppgifterna överfördes och hur enskilda kunde få information om de skyddsåtgärder som tillämpades avseende överföringar av personuppgifter till sådana länder. Bristerna ansågs inte vara ringa.

Av beslutet framgår hur IMY tolkar kravet på att information i en personuppgiftspolicy ska vara koncis, klar, tydlig, begriplig och i lättillgänglig form. IMY förtydligar även hur de anser att information avseende tredjelandsöverföringar ska utformas för att på ett tillräckligt tydligt sätt redogöra för registrerade vilka skyddsåtgärder som vidtas när personuppgifter överförs till ett land utanför EU/EEA, samt att man som personuppgiftsansvarig ska lämna uppgifter om var man kan hitta mer information om de aktuella skyddsåtgärderna. Sådan information måste också tydligt ange vilka länder som personuppgifterna överförs till. IMY kritiserar också Klarna för sättet de redogör för registrerades rättigheter.

IMY:s beslut aktualiserar den svåra balansgång som råder när man utformar en personuppgiftspolicy eller annan informationstext till registrerade. Personuppgiftspolicyn måste både redogöra på ett bra och uttömmande sätt för de behandlingar som den personuppgiftsansvarige utför och samtidigt inte bli ett svårbegripligt dokument för den registrerade. Beslutet är det första där IMY prövar utformningen av en personuppgiftspolicy enligt GDPR. Även om mycket av det IMY uttalar i sitt beslut inte är helt nytt, och i många delar är allmänt hållet, påvisar beslutet vikten av att kontinuerligt uppdatera och förbättra sin personuppgiftspolicy, samt att det är en god idé att (om man inte nyligen gjort det) se över att den egna policyn verkligen efterlever de krav på information som GDPR ställer.


Mot bakgrund av beslutet kan det vara en god idé att kontrollera att er personuppgiftspolicy:

  • tydligt anger för vilka ändamål som personuppgifter behandlas och den rättsliga grunden för respektive behandling,
  • tydligt beskriver hur uppgifter delas med tredje part,
  • listar vilka länder utanför EU/EES som personuppgifter överförs till, vilken skyddsåtgärd som tillämpas och hur den enskilde kan få tillgång till eller erhålla handlingar gällande de skyddsåtgärder för överföring som beskrivs,
  • anger tidsperioder för hur länge personuppgifter lagras eller metoden för att avgöra lagringstiden (ex. kopplat till ett anställnings- eller affärsförhållande) och att detta överensstämmer med organisationens gallringsrutiner,
  • beskriver de registrerades rättigheter och hur de hänger ihop på ett rättvisande sätt, och
  • tydligt anger om automatiserat beslutsfattande förekommer, hur logiken bakom sådant beslutsfattande i så fall ser ut (ex. vilka omständigheter som påverkar beslutet) och vad beslutet har för betydelse för den registrerade.

Klarna har meddelat att de kommer att överklaga beslutet och det återstår därmed att se om domstolen gör samma bedömningar som IMY. Vi kommer att följa utvecklingen noggrant och säkerligen få skäl att återkomma till dessa frågeställningar.

Registrera dig för e-postutskick

Vill du ta del av liknande information i framtiden? Prenumerera på Lindahls nyhetsbrev!

Besök sidan

IT/Tech

Lindahls IT/Tech-team består av drygt 25 jurister med mångårig och mångsidig erfarenhet av juridisk rådgivning inom IT och teknik. Samhällets allmänna digitalisering, automatisering och mjukvaruberoende speglar våra uppdrag: våra klienter är verksamma inom alla branscher och finns inom såväl privat som offentlig sektor.

Besök sidan

Relaterat

  • Cookies – en snabbguide
  • 2021-12-13 12:22:49 Nya riktlinjer från EDPB om vad som utgör en tredjelandsöverföring
  • 2021-12-09 17:21:45 Påminnelse: nya standardavtalsklausuler från EU-kommissionen – hög tid att uppdatera avtalsmallar och förhandla om befintliga avtal
  • 2021-06-18 16:28:55 Nyheter inom IT/Tech | juni 2021
  • 2021-04-06 16:28:41 Vad gäller vid kamerabevakning?
  • 2021-04-06 16:28:55 Nyheter inom IT/Tech | april 2021

Kontakt

  • Lisa Liljekvist

    Stockholm

  • Felicia Olsson

    Göteborg

    felicia.olsson@lindahl.se +46 731 472 789
  • Max Stenberg

    Malmö

    max.stenberg@lindahl.se +46 723 571 457
  • Gabriel Miller

    Malmö

    gabriel.miller@lindahl.se +46 725 007 004
  • Mikael Olsson

    Uppsala

    mikael.olsson@lindahl.se +46 730 915 170
  • Ida Karlsson

    Örebro

    ida.karlsson@lindahl.se +46 736 721 753
  • Isabelle Selemba

    Helsingborg

Sidor
  • Start
  • Om oss
  • Områden
  • Medarbetare
  • Nyheter
  • Karriär
  • Personuppgifter
Våra kontor
  • Stockholmreception.stockholm@lindahl.se +46 8 527 70 800
  • Göteborgreception.goteborg@lindahl.se +46 31 799 10 00
  • Malmöreception.malmo@lindahl.se +46 40 664 66 50
  • Uppsalareception.uppsala@lindahl.se +46 18 16 18 50
  • Örebroreception.orebro@lindahl.se +46 19 20 89 00
  • Helsingborgreception.helsingborg@lindahl.se +46 42 17 53 00
Sociala medier
  • Följ oss i sociala medier: Instagram, Linkedin, Youtube, Facebook eller prenumerera på vårt nyhetsbrev.

Disclaimer

The material and information on this site is intended for general informational purposes only and does not constitute legal advice on any specific matter. Please note that all images on Lindahl's website, www.lindahl.se, are subject to intellectual property protection and downloading, publication, copying and/or other use of the images requires the written consent of the rights holder. You'll find Advokatfirman Lindahl KB's general terms and conditions here.

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse