I en nyligen avgjord dom har Kammarrätten beslutat att Klarna ska betala en sanktionsavgift på 7,5 miljoner kronor för brister i hanteringen av personuppgifter enligt EU:s dataskyddsförordning, GDPR. Detta beslut markerar en viktig vändpunkt i tillsynsmyndigheternas granskning av företags efterlevnad av dataskyddsregler.
Brister i dataskyddsinformationen
Klarna har funnits bristfälliga i sin kommunikation kring hur de hanterar personuppgifter. Specifikt har överträdelserna bestått i att Klarna inte lämnat tillräcklig information till de registrerade om bland annat hur personuppgifter kommer att lagras. Dessutom har den information som lämnats varit svårtillgänglig eller otydlig, vilket strider mot de tydliga kraven i GDPR om transparens och tillgänglighet av information.
Effektiv, proportionell och avskräckande sanktionsavgift
Kammarrätten har i sitt utlåtande förklarat att sanktionsavgiften på 7,5 miljoner kronor är motiverad för att uppnå en effektiv, proportionell och avskräckande effekt. Denna bedömning är i linje med Integritetsskyddsmyndighetens tidigare ställningstaganden. Peder Liljeqvist, lagman vid kammarrätten, understryker vikten av att sanktionsavgiften speglar allvaret i överträdelsen samt behovet av att uppmuntra företag till bättre efterlevnad av dataskyddsförordningen.
Skärper tidigare dom
Detta beslut representerar en justering från förvaltningsrättens tidigare dom, där sanktionsavgiften fastställdes till 6 miljoner kronor. Kammarrättens högre sanktionsavgift reflekterar en strängare tolkning av behovet att säkerställa företags ansvar i hanteringen av personuppgifter.
Kammarrättens dom mot Klarna är ett tydligt exempel på de allt strängare krav som ställs på företag att följa dataskyddsförordningens regler. Detta fall understryker vikten av transparens och tydlighet i hanteringen av personuppgifter, samt visar att myndigheterna är beredda att ta till kraftfulla åtgärder för att skydda individens integritet. För företag innebär detta en stark påminnelse om att dataskyddsfrågor måste tas på största allvar för att undvika betydande sanktionsavgifter.
FAKTA
EU:s dataskyddsförordning, GDPR, tillämpas bland annat på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg. Syftet med förordningen är att säkerställa en enhetlig skyddsnivå inom EU för behandling av personuppgifter. Integritetsskyddsmyndigheten är tillsynsmyndighet för efterlevnaden av förordningen och har granskat Klarnas dataskyddsinformation som den var utformad den 17 mars–26 juni 2020.
