Tech Blog

Klarna åläggs en sanktionsavgift av IMY

Integritetsskyddsmyndigheten (”IMY”) har granskat hur Klarna Bank AB (”Klarna”) informerar om hur de behandlar personuppgifter enligt dataskyddsförordningen (”GDPR”) på sin hemsida. I sitt beslut konstaterar IMY att Klarna har brustit i behandlingen och utfärdar därför en administrativ sanktionsavgift.

Beslutet rör information som Klarna gav under våren 2020 och IMY konstaterar att Klarna inte har lämnat information om ändamålen med personuppgiftsbehandlingen. Bolaget har inte heller informerat om vilken rättslig grund som använts till stöd för behandlingen eller vilka kreditupplysningsföretag som varit mottagare av olika personuppgifter. Klarna kritiseras också för att inte ha lämnat information om vilka länder utanför EU/EES som personuppgifter överfördes till och om de skyddsåtgärder som gällde för sådan överföring. Därtill anför IMY att Klarna lämnat ofullständig information om hur länge personuppgifterna skulle lagras och de kriterier som användes för att fastställa dessa tidsperioder. Slutligen konstaterar IMY att bolaget har lämnat bristfällig information om de registrerades rättigheter, bland annat avseende rätten till radering av uppgifter.

Vid bestämmandet av sanktionsavgiftens storlek anförde IMY att det ska ställas höga krav på ett stort företag med omfattande och integritetskänslig personuppgiftsbehandling. Att informationen om de registrerades rättigheter varit bristfällig ansågs tala i försvårande riktning. Samtidigt noterades att Klarna har ändrat och förbättrat informationen om sin personuppgiftsbehandling under tillsynsperioden. Sanktionsavgiften bestämdes slutligen till 7,5 miljoner kronor.

Beslutet finns att läsa i sin helhet här.