Integritetsskyddsmyndigheten (IMY) utfärdade i slutet av mars 2022 en administrativ sanktionsavgift mot Klarna Bank AB (Klarna) på 7,5 miljon med anledning av brister i Klarnas integritetspolicy. Genom beslutet* klargör IMY att det ställs höga krav på utformningen av integritetspolicys för att nå upp till kraven enligt dataskyddsförordningen (2016/679). Beslutet, som visserligen är överklagat, medför att det ställs striktare krav på utformningen av integritetspolicys, särskilt vad gäller tydlighet och fullständighet.
En grundläggande skyldighet för personuppgiftsansvariga är enligt dataskyddsförordningen att tillhandahålla de registrerade, det vill säga de vars personuppgifter behandlas, information om personuppgiftsbehandlingen. Skyldigheten uppfylls vanligen genom att tillhandahålla en integritetspolicy på företagets webbplats och hänvisa dit vid insamling av personuppgifter. I förevarande IMY-avgörande uttalar sig IMY om flertalet punkter med avseende på personuppgiftsansvarigas informationsskyldighet. Bland annat understryks vikten av att det inom ramen för en personuppgiftsbehandling avseende en viss tjänst tydligt framgår för vilket ändamål, och med stöd av vilken rättslig grund personuppgiftsbehandlingen sker. Det bör även framgå vilka specifika personuppgifter som behandlas inom ramen för tjänsten.
När det gäller personuppgiftsansvarigs utlämnande av personuppgifter till tredje parter konstaterar IMY vidare att det tydligt måste framgå vilka personuppgifter som delas med respektive mottagare. Om det finns mottagare av personuppgifter både i Sverige och utomlands ska det framgå vilka personuppgifter som delas med mottagare i Sverige och vilka som delas med mottagare utomlands. I annat fall kan informationen framstå som missvisande. I samband med tredjelandsöverföringar – i förenklade termer när mottagaren av personuppgifter befinner sig i ett land utanför EU/EES – ställs det enligt dataskyddsförordningen krav på att exportören av personuppgifter vidtar särskilda säkerhetsåtgärder. Enligt IMY ska en registrerad kunna utläsa vilken säkerhetsmekanism som används, samt med stöd av vilken artikel i dataskyddsförordningen dennes personuppgifter överförs till ett tredjeland. Därutöver konstaterar IMY att det i regel bör anges vilka länder utanför EU/EES som personuppgifter kan komma att överföras till. Det räcker således inte med en generell hänvisning till att tredjelandsöverföringar kan komma att ske.
Vad gäller personuppgiftsansvarigas lagring av personuppgifter framhåller IMY att informationen ska vara så tydlig att den registrerade utifrån sin egen situation ska kunna bedöma lagringstiden för särskilda uppgifter eller ändamål med personuppgiftsbehandlingen. Detta kan ske genom att ange en särskild period eller kriterierna som används för att fastställa denna period. Det räcker därmed inte med generella utlåtanden, såsom att personuppgifter lagras så länge det anses nödvändigt.
IMY konstaterar vidare att integritetspolicys ska ge en fullständig sammanfattning av de registrerades rättigheter, som innebär en lättöverskådlig bild över vad rättigheterna innebär och när de är tillämpliga. Informationen ska på ett tydligt sätt göra det möjligt för de registrerade att skapa sig en förståelse för rättigheternas innebörd, vilket bidrar till att de kan ta tillvara sina rättigheter. Enligt dataskyddsförordningen ställs det vidare krav på att information ska lämnas om förekomsten av automatiserat beslutsfattande, inbegripet profilering. Av information ska det framgå meningsfull information om logiken bakom, samt betydelsen och de förutsedda följderna av sådan personuppgiftsbehandlingen för den registrerade. Det behöver inte innebära en komplex förklaring av vilka algoritmer som används, men information ska vara tillräcklig heltäckande för att den registrerade ska kunna förstå skälen till ett beslut. Det skulle enligt IMY exempelvis kunna innebära att det krävs information om vilka kategorier uppgifter som är av avgörande betydelse vid beslutsfattandet.
Beslutet innebär att det ställs striktare krav på utformningen av integritetspolicys och visar på att dataskyddsområdet är ett dynamiskt rättsområde, där organisationen måste arbeta med dataskydd som en den av verksamheten.
*Diarienummer: DI-2019-4062
Katarina Ladenfors