Kammarrätten ålägger Klarna en sanktionsavgift för bristande dataskyddsinformation enligt GDPR

Inledning

Efter att Integritetsmyndighetens (”IMY”) beslut avseende Klarnas efterlevnad av informationskraven i dataskyddsförordningen (”GDPR”) överklagats i två instanser har Kammarrätten nu meddelat sin dom. Kammarrätten fastställer i och för sig sanktionsavgiften på 7,5 miljoner kronor mot Klarna, men håller inte med om IMY:s bedömning i alla delar. Vi har tidigare skrivit om IMY:s beslut här.

En jämförelse mellan IMY:s beslut och Kammarrättens dom

Å ena sidan fastställer Kammarrätten att informationen om diverse rättigheter vid personuppgiftsbehandlingen som legat ute på en av Klarnas online-tjänster har varit svårtillgänglig och otydlig eftersom den funnits utspridd i olika avsnitt utan tydliga hänvisningar. Kammarrätten anser även att tjänstens utformning har gjort så att det varit svårt för kunderna att förstå att vissa rättigheter skiljer sig från varandra.

Å andra sidan anser Kammarrätten inte att informationskraven i GDPR ställer krav på att Klarna skulle ha lämnat så pass specifik information om personuppgiftsbehandlingen som IMY krävt, exempelvis kring vilka tredjeländer och mottagare som personuppgifter överförs till. Därtill anser domstolen att Klarna inte heller har behövt beskriva kundernas rättigheter vid behandlingen av personuppgifterna närmare, utan att det räckt med att nämna förekomsten av vissa rättigheter.

Slutligen konstaterar Kammarrätten, till skillnad från både IMY och Förvaltningsrätten, att Klarna inte har brutit mot den generella principen om öppenhet i GDPR. Detta eftersom överträdelserna, som bestått i att Klarna inte lämnat tillräcklig och tydlig information, inte har varit av den omfattning och karaktär att den grundläggande principen om öppenhet överträtts.

Reflektioner

Det är uppenbart att IMY och Kammarrätten gör olika bedömningar av både informationskravet och den generella principen om öppenhet i GDPR.

Informationskravet

Vad gäller bedömningen av informationskravet är IMY alltså av uppfattningen att personuppgiftsansvariga är skyldiga att lämna ut mer specifik information om personuppgiftsbehandlingen till sina kunder än vad Kammarrätten anser. Domstolens bedömning tyder i stället på att det är hur den mer allmänna informationen om personuppgiftshanteringen har lämnats som är avgörande för om informationskravet tillgodosetts eller inte. Följaktligen blir Kammarrättens tolkning av informationskravet inte lika omfattande.

Principen om öppenhet

Som nämnts tidigare anförde IMY i sitt beslut att Klarnas handlade inte bara stått i strid med GDPR:s informationskrav, utan även med den grundläggande principen om öppenhet. Detta tycks ske eftersom IMY gör en tydlig koppling mellan informationskravet och principen om öppenhet – åsidosättandet av principen om öppenhet följer nästintill automatiskt efter att IMY fastställt att Klarna brustit i informationen. Kammarrättens argumentation tyder, å andra sidan, på att det finns en tröskel där överträdelserna av informationskravet måste vara av viss karaktär och omfattning för att principen om öppenhet ska anses vara åsidosatt, vilket alltså inte har ansetts skett i detta fall.

Fortsatt hög sanktionsavgift?

Trots skillnaderna i bedömning av hur allvarliga överträdelserna varit fastställer Kammarrätten IMY:s sanktionsavgift om 7,5 miljoner kronor, med motiveringen att en sådan åtgärd framstår som effektiv, proportionell och avskräckande. Trots att domstolen i högre grad gick i linje med Klarna i sin bedömning blev sanktionsavgiften alltså lika hög. Hur detta kommer sig har en enkel förklaring: det har nämligen kommit nya riktlinjer från EU om hur administrativa sanktionsavgifter vid överträdelser av GDPR ska beräknas sedan IMY:s ursprungliga beslut i ärendet.

Denna artikel är skriven av Thesis Trainee Fatima Abdillahi Farah.