Diarienummer:
Klarna Bank AB
Diarienummer:
DI-2019-4062
Datum:
2022-03-28
Beslut efter tillsyn enligt dataskyddsförordningen – Klarna Bank AB
Innehåll
Integritetsskyddsmyndighetens beslut 2
1 Redogörelse för tillsynsärendet 3
2.1 Tillämpliga bestämmelser 4
2.2 IMY:s bedömning av om Klarnas Dataskyddsinformation uppfyller kraven i artiklarna 5.1 a, 5.2,12, 13 och –14 i dataskyddsförordningen 7
2.2.1 IMY:s bedömning av Klarnas information enligt artikel 13.1 c 7
2.2.2 IMY:s bedömning av Klarnas information enligt artikel 13.1 e 9
2.2.3 IMY:s bedömning av Klarnas information enligt artikel 13.1 f 11
2.2.4 IMY:s bedömning av Klarnas information enligt artikel 13.2 a 12
2.2.5 IMY:s bedömning av Klarnas information enligt artikel 13.2 b 14
2.2.6 IMY:s bedömning av Klarnas information enligt artikel 13.2 f och 14.2 g 18
Postadress:
Box 8114
104 20 Stockholm
Webbplats:
E-post:
Telefon:
00-000 00 00
Integritetsskyddsmyndighetens beslut
Integritetsskyddsmyndigheten (IMY) konstaterar att Klarna Bank AB (Klarna) under perioden den 17 mars 2020 till den 26 juni 2020 inte lämnade information om för vilket ändamål och med stöd av vilken rättslig grund som personuppgiftsbehandlingen avseende tjänsten ”Min Ekonomi” skedde. Klarna behandlade därmed personuppgifter i strid med artiklarna 5.1 a, 5.2, 12.1 och 13.1 c i dataskyddsförordningen1.
IMY konstaterar att Xxxxxx under perioden den 17 mars till den 26 juni 2020 lämnade ofullständig och missvisande information om vilka som var mottagare av olika kategorier av personuppgifter när sådana delades med svenska respektive utländska kreditupplysningsföretag. Klarna behandlade därmed personuppgifter i strid med artiklarna 5.1 a, 5.2, 12.1 och 13.1 e i dataskyddsförordningen.
IMY konstaterar att Xxxxxx under perioden den 17 mars till den 26 juni 2020 inte lämnade information om till vilka länder utanför EU/EES som personuppgifter överfördes och var och hur den enskilde kunde få tillgång till eller erhålla handlingar gällande de skyddsåtgärder som gällde för överföringen till tredjeland. Klarna behandlade därmed personuppgifter i strid med artiklarna 5.1 a, 5.2, 12.1 och 13.1 f i dataskyddsförordningen.
IMY konstaterar att Klarna under perioden den 17 mars till den 26 juni 2020 lämnade ofullständig information om de perioder under vilka personuppgifter skulle komma att lagras och de kriterier som användes för att fastställa dessa perioder. Klarna behandlade därmed personuppgifter i strid med artiklarna 5.1 a, 5.2, 12.1 och 13.2 a i dataskyddsförordningen.
IMY konstaterar att Klarna under perioden den 17 mars till den 26 juni 2020 lämnade bristfällig information avseende de registrerades rättigheter enligt följande.
• informationen som lämnades om rätten att av den personuppgiftsansvarige begära radering av personuppgifter enligt artikel 17 i dataskyddsförordningen efterlevde inte kravet på öppenhet
• informationen som lämnades om rätten att av den personuppgiftsansvarige begära begränsning av behandlingen som rör den registrerade enligt artikel 18 i dataskyddsförordningen efterlevde inte kravet på öppenhet
• informationen som lämnades om rätten till dataportabilitet enligt artikel 20 i dataskyddsförordningen efterlevde inte kravet på öppenhet
• information som lämnades om rätten att göra invändningar mot behandling av personuppgifter enligt artikel 21 i dataskyddsförordningen efterlevde inte kravet på öppenhet.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Klarna behandlade därmed personuppgifter i strid med artiklarna 5.1 a, 5.2, 12.1 och
13.2 b i dataskyddsförordningen.
IMY konstaterar att Klarnas Dataskyddsinformation under perioden den 17 mars till den 26 juni 2020 saknade meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av automatiserat beslutsfattande, inbegripet profilering, enligt artikel 22.1 i dataskyddsförordningen. Klarna behandlade därmed personuppgifter i strid med artiklarna 5.1 a, 5.2, 12.1, 13.2 f och 14.2 g i dataskyddsförordningen.
XXX beslutar med stöd av artiklarna 58.2 och 83 i dataskyddsförordningen att Klarna Bank AB ska betala en administrativ sanktionsavgift på 7 500 000 (sjumiljonerfemhundratusen) kronor.
1 Redogörelse för tillsynsärendet
Klarna tillhandahåller dels tjänster som innebär kreditgivning, dels betaltjänster som inte innefattar kreditgivning, bland annat betalningsinitieringstjänster och kontoinformationstjänster. IMY har tagit del av Klarnas Dataskyddsinformation som finns publicerad på bolagets svenska webbplats (xxxxx://xxx.xxxxxx.xxx/xx/). IMY har i samband därmed konstaterat att det råder oklarheter kring bland annat för vilka ändamål personuppgifter samlas in och behandlas samt hur uppgifterna därefter gallras.
Av artikel 5.1 a i dataskyddsförordningen framgår bland annat att personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade (principen om öppenhet). Det följer vidare av artikel 5.2 att den personuppgiftsansvarige ska ansvara för och kunna visa att de principer som anges i 5.1 efterlevs (principen om ansvarsskyldighet). IMY har inlett tillsyn mot Klarna för att utreda i vad mån Klarnas Dataskyddsinformation uppfyller dessa krav. XXX har inom ramen för tillsynen granskat hur Klarna efterlever bestämmelserna om klar och tydlig information och kommunikation enligt artikel 12.1 och rätten till information till personuppgifter enligt artiklarna 13 och 14 och rätten till information om rätten att göra invändningar enligt artikel 21.4. XXX har inte tagit ställning till om Klarnas personuppgiftsbehandling i övrigt står i överensstämmelse med dataskyddsförordningens.
Tillsynen har skett genom skriftväxling. Tillsynen inleddes den 27 mars 2019 genom att IMY sände en skrivelse till Klarna med frågor om bolagets personuppgiftsbehandling. Frågorna baserades på den information som Klarna tillhandahöll om sin personuppgiftsbehandling i den vid denna tidpunkt publicerade Dataskyddsinformationen på bolagets svenska webbplats. Klarna inkom med ett yttrande den 26 april 2019. Till yttrandet bifogades en bilaga med en sammanställning över för vilka ändamål respektive kategori av personuppgifter behandlades med angivande av tillämplig bevarandetid. Xxxxxx reviderade därefter sin Dataskyddsinformation per den 19 juli 2019. Med anledning av Xxxxxxx yttrande och bolagets reviderade Dataskyddsinformation ställde IMY kompletterande frågor till bolaget i en skrivelse den 1 augusti 2019. Klarna inkom därefter med ett yttrande den 27 september 2019. Xxxxxx reviderade därefter sin Dataskyddsinformation per den 17 mars 2020. Xxxxxx reviderade återigen sin Dataskyddsinformation den 26 juni 2020. IMY har vidare inhämtat tjänstevillkoren för kontoinformationstjänsten ”Min Ekonomi” eftersom Klarna i sitt första yttrande till IMY uppgett att konsumenten accepterar ”särskilda villkor” för denna tjänst. IMY:s bedömning avser Klarnas Dataskyddsinformation som den var utformad från den 17 mars 2020 till den 26 juni
2020, bilaga 1, och Klarnas Användarvillkor som de var utformade den 2 april 2020, bilaga 2. IMY redogör för vad Xxxxxx har anfört i sina yttranden i relevanta delar under motiveringen till beslutet nedan.
2 Motivering av beslut
2.1 Tillämpliga bestämmelser
Av artikel 5.1 a i dataskyddsförordningen framgår bland annat att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
Det följer vidare av artikel 5.2 att den personuppgiftsansvarige ska ansvara för och kunna visa att de principer som räknas upp i 5.1 efterlevs (ansvarsskyldighet).
Det följer av artikel 12.1 i dataskyddsförordningen att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.
Artikel 13 i dataskyddsförordningen stadgar vilken information som ska tillhandahållas om personuppgifterna samlas in från den registrerade. Av artikel 13.1 framgår härvid att om personuppgifter som rör en registrerad person samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information som framgår av artikel 13.1 a-f. Av artikel 13.2 följer att den personuppgiftsansvarige vid insamlingen av personuppgifterna, utöver den information som avses i punkt 1, ska lämna den registrerade ytterligare information enligt 13.2 a-f, vilken krävs för att säkerställa en rättvis och transparent behandling. Enligt artikel 13.3 ska dessutom den personuppgiftsansvarige, om denne avser att behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2. Av artikel 13.4 framgår att punkterna 1, 2 och 3 inte ska tillämpas om och i den mån den registrerade redan förfogar över informationen.
Av skäl 39 följer att varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas.
Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av
personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen.
Av skäl 60 framgår att principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör denne även informeras om han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna om han eller hon inte lämnar dem. Denna information får tillhandahållas kombinerad med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt bör de vara maskinläsbara.
Av skäl 61 följer bland annat att information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till denna mottagare.
Vad gäller begreppet profilering definieras detta i artikel 4.4 såsom varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar,
I artikel 22 regleras automatiserat individuellt beslutsfattande, inbegripet profilering. Av bestämmelsen framgår att den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Som exempel på sådana beslut anges i skäl 71 bland annat automatiserat avslag på en kreditansökan online. Undantag från detta förbud gäller om beslutet är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige, sådana beslut tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller grundar sig på den registrerades uttryckliga samtycke. Om undantag får göras i samband med avtal eller på grund av samtycke ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och rättsliga intressen, åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.
Slutligen har den tidigare så kallade Artikel 29-arbetsgruppen tagit fram riktlinjer om dels öppenhet, WP260 rev.01 (WP260), dels om automatiserat individuellt beslutsfattande och profilering, WP251 rev.01 (WP251), vilka redogörs för i relevanta delar under IMY:s bedömningar nedan. Europeiska dataskyddsstyrelsen, EDPB, har tillstyrkt (endorsed) dessa riktlinjer. Inledningsvis kan dock följande lyftas fram. Artikel
29-arbetsgruppen understryker i WP260 att öppenhet är en övergripande skyldighet enligt dataskyddsförordningen vilken tillämpas på tre centrala områden; i) hur de registrerade får informeras om rättvis behandling, ii) hur de personuppgiftsansvariga kommunicerar med de registrerade i förhållande till deras rättigheter enligt dataskyddsförordningen, och iii) hur de personuppgiftsansvariga underlättar de registrerades utövande av sina rättigheter. Öppenhet är också ett uttryck för den rättviseprincip vid behandling av personuppgifter som anges i artikel 8 i EU:s stadga om de grundläggande rättigheterna.
Artikel 12 stadgar hur information som lämnas till den registrerade ska vara utformad, nämligen i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn.
Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerade begär det får informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på andra sätt.
Artikel 13 i dataskyddsförordningen uppställer krav på vilken information som den personuppgiftsansvarige ska lämna till den registrerade om personuppgifterna samlas in från den registrerade och när informationen ska lämnas, nämligen när personuppgifterna erhålls från den registrerade.
Varken artikel 12 eller 13 reglerar dock i detalj i vilken form eller var informationen ska lämnas till den registrerade. Av WP260 framgår att informationen bör offentliggöras i exempelvis en dataskyddsinformation som tillgängliggörs på den personuppgiftsansvariges webbplats. Vidare framgår att det på varje sida av webbplatsen bör finnas en klart synlig direktlänk till dataskyddsinformationen som ska ha försetts med en lämplig rubrik (t.ex. ”Integritet”, ”Integritetspolicy” eller ”Uppgiftsskyddsmeddelande”). Artikel 29-arbetsgruppen rekommenderar därför en bästa praxis som innebär att en länk till dataskyddsinformationen ges eller att sådan information ges på samma sida som personuppgifterna inhämtas från, när personuppgifter samlas in online. Vidare anser Artikel 29-arbetsgruppen att en skiktad dataskyddsinformation bör användas om den personuppgiftsansvarige har en webbplats så att besökarna på webbplatsen kan navigera till särskilda delar av dataskyddsinformationen som är av störst intresse för dem. All den information som riktas till de registrerade bör dock även finnas tillgänglig för dem på en och samma plats eller i ett fullständigt dokument (i digitalt format eller pappersformat), som de registrerade lätt kan få tillgång till om de vill läsa all den information som riktas till dem.
Följande framgår också av den ovannämnda riktlinjen, s. 7-9:
”Kravet att information som tillhandahålls eller kommuniceras till de registrerade ska vara i en ”koncis, klar och tydlig” form innebär att de personuppgiftsansvariga bör presentera informationen/kommunicera på ett effektivt och kortfattat sätt för att undvika informationsutmattning. Informationen bör tydligt särskiljas från annan information som inte avser integritet, exempelvis avtalsbestämmelser eller allmänna användarvillkor. I internetsammanhang kan skiktade integritetspolicyer/integritetsmeddelanden göra det möjligt för de registrerade att direkt gå till en viss del av integritetspolicyn/integritetsmeddelandet som de vill läsa, i stället för att skrolla igenom stora mängder text för att hitta delen i fråga.
Kravet att informationen ska vara ”begriplig” innebär att den bör kunna förstås av en genomsnittsmedlem av den avsedda målgruppen. Begriplighet har nära koppling till kravet om ett klart och tydligt språk. En personuppgiftsansvarig kommer att få kunskap
om de personer som de samlar in uppgifter om och kan använda sig av denna för att avgöra vad som troligen skulle vara begripligt för målgruppen […]
En viktig aspekt av den öppenhetsprincip som beskrivs i dessa bestämmelser är att de registrerade på förhand bör kunna avgöra syftet med och konsekvenserna av behandlingen och att det inte bör komma som en överraskning för dem i ett senare skede hur deras personuppgifter har använts. Detta är även en viktig aspekt av rättviseprincipen enligt artikel 5.1 i dataskyddsförordningen, där det faktiskt finns en koppling till skäl 39 som anger att fysiska personer ”bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter”. När det gäller komplex, teknisk eller oväntad uppgiftsbehandling anser Artikel 29-arbetsgruppen i synnerhet att de personuppgiftsansvariga inte bara bör tillhandahålla sådan information som anges i artiklarna 13 och 14 (vilken behandlas senare i dessa riktlinjer), utan att de även bör ange, i ett separat avsnitt och på ett otvetydigt språk, de mest betydande konsekvenserna av behandlingen, med andra ord hur den särskilda behandling som anges i en integritetspolicy/ett integritetsmeddelande faktiskt kommer att inverka på de registrerade. I linje med ansvarsprincipen och skäl 39 bör de personuppgiftsansvariga bedöma huruvida särskilda risker föreligger för fysiska personer vars personuppgifter behandlas på ett sådant sätt, vilka de registrerade bör uppmärksammas på. På så sätt kan man få en översikt över de typer av behandlingar som skulle kunna få störst inverkan på de registrerades grundläggande rättigheter och friheter när det gäller skyddet av deras personuppgifter.
”Lättillgänglig” innebär att de registrerade inte ska behöva leta reda på informationen; det bör vara direkt uppenbart för dem var och hur de kan få åtkomst till informationen, exempelvis genom att informationen ges direkt eller länkas till de registrerade, genom tydlig vägledning eller som ett svar på en fråga från en fysisk person (t.ex. i en integritetspolicy/ett integritetsmeddelande i flera skikt online, i ”Vanliga frågor”, via kontextuella popupmeddelanden som aktiveras när de registrerade fyller i ett onlineformulär eller i en interaktivt digitalt kontext via ett chatbotgränssnitt osv [...]
Kravet om ett klart och tydligt språk innebär att informationen bör ges på ett så enkelt sätt som möjligt och att komplicerade meningar och språkstrukturer bör undvikas.
Informationen bör vara konkret och exakt, och den bör inte vara abstrakt eller tvetydig eller kunna tolkas på olika sätt. Framför allt bör syftena med och de rättsliga grunderna för behandlingen av personuppgifterna vara tydliga.”
I det följande bedömer IMY om kraven på öppenhet och information är uppfyllda i olika delar genom Klarnas Dataskyddsinformation som den var utformad under perioden 17 mars till den 26 juni 2020.
2.2 IMY:s bedömning av om Klarnas Dataskyddsinformation uppfyller kraven i artiklarna 5.1 a, 5.2,12, 13 och –14 i dataskyddsförordningen
2.2.1 IMY:s bedömning av Klarnas information enligt artikel 13.1 c
Enligt artikel 13.1 c i dataskyddsförordningen ska information lämnas om ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.
Avsnitt 2 i Klarnas Dataskyddsinformation har rubriken ”Vilka personuppgifter använder vi?”. Avsnitt 2.2 har rubriken ”Information vi samlar in om dig” och av det inledande stycket följer ”Beroende på vilka Tjänster du väljer att använda kan vi komma att samla in följande information om dig, antingen själva eller via tredje parter (till exempel kreditupplysningsbyråer, bedrägeribekämpningsbyråer, butiker eller publika databaser)”. Därefter följer en uppräkning av vilken information som det ”kan” röra sig om. Av den sista punkten i uppräkningen framgår ”Tjänstespecifika personuppgifter - inom ramen för vissa av våra Tjänster kan vi hämta in och behandla ytterligare personuppgifter som inte täcks av kategorierna ovan. Se Avsnitt 4 nedan för att få reda på vilka dessa ytterligare personuppgifter är för respektive Tjänst.”.
Avsnitt 3 i Dataskyddsinformationen har rubriken ”Vilka personuppgifter behandlar vi, för vilket ändamål, och med vilken rättslig grund?” och av det inledande stycket framgår ”Beroende på vilka Tjänster du använder kan Klarna komma att behandla dina personuppgifter för de ändamål som listas nedan, med stöd av de rättsliga grunder som redogörs för vid varje ändamål. Du kan se mer specifik information om hur dina personuppgifter behandlas i vissa av våra Tjänster i Avsnitt 4 nedan.”. Därefter följer en tabell med tre spalter, där den första spalten anger ändamålet med behandlingen, den andra spalten de personuppgifter som behandlas och den tredje spalten rättslig grund för behandlingen.
Avsnitt 4 i Dataskyddsinformationen har rubriken ”Särskilt om personuppgiftsbehandling i vissa av Klarnas Tjänster” och av det inledande stycket framgår ”Det här avsnittet beskriver viss behandling av dina personuppgifter som är specifik för en viss Tjänst. För att få mer information om våra Tjänster och deras funktionalitet se användarvillkoren för respektive Tjänst.”.
IMY konstaterar att Dataskyddsinformationen Avsnitt 4 avseende tjänsten ”Min ekonomi” saknar tydlig information om ändamålen med de behandlingar för vilka personuppgifterna är avsedda samt de rättsliga grunderna för behandlingarna i strid med kravet i artikel 13.1 c i dataskyddsförordningen. Tjänsten ”Min Ekonomi” nämns i Avsnitt 4.4 i Dataskyddsinformationen, vilken har rubriken ”Klarnas användarupplevelse tillhandahållen enligt Klarnas Användarvillkor”. Där framgår under underrubriken ”Klarna-appen” att ”Om du använder Klarna-appen, kommer personuppgifter att behandlas för att tillhandahålla de Tjänster du väljer att använda inuti Appen, såsom: […]”, varpå följer en uppräkning med olika tjänster i en punktlista. En av dessa tjänster är tjänsten ”Min Ekonomi”:
”Dina anslutna bankkonton (Tjänsten Min Ekonomi): Genom den här Tjänsten får du en överblick över hela din ekonomi, inte bara över dina transaktioner med Klarna, utan också över anslutna konton. När du väljer att använda den här Tjänsten kommer Klarna att behandla information om de bankkonton och andra konton (såsom kortkonton) du väljer att ansluta, och samla in uppgifter såsom kontonummer, bank, historiska transaktioner från anslutna konton, samt saldo och tillgångar. Baserat på den informationen kommer Klarna att visualisera och ge dig verktyg att kontrollera din ekonomi, med hjälp av erbjudanden skräddarsydda för din specifika situation (vilket kan innebära profilering som beskrivs i Avsnitt 6). Det här görs genom att jämföra dina utgifter med utgifter från andra användare av Tjänsten. Baserat på jämförelsen kan vi,
tillsammans med samarbetspartners till oss, erbjuda sätt att minimera dina fasta och rörliga kostnader.”
Det finns inte någon information avseende med stöd av vilken rättslig grund som personuppgiftsbehandlingen avseende tjänsten ”Min Ekonomi” sker. Dessutom framgår det inte på ett tydligt sätt av den information som finns i uppräkningen i Avsnitt
4.4 i Dataskyddsinformationen ovan, vilka specifika personuppgifter som behandlas inom ramen för tjänsten eller de specifika ändamålen med den behandling för vilka personuppgifterna är avsedda. IMY konstaterar vidare att tjänsten ”Min Ekonomi” inte finns omnämnd i Klarnas användarvillkor, som finns allmänt tillgängliga på Klarnas svenska webbplats, se bilaga 2 (Klarnas användarvillkor uppdaterade den 2 april 2020). Några separata villkor eller separat dataskyddsinformation avseende tjänsten, finns inte heller allmänt tillgänglig på Klarnas svenska webbplats. Detta oaktat att Klarna, på sida 9 i sitt första yttrande till IMY, daterat den 26 april 2019, har uppgett att tjänsten ”Min Ekonomi” är en kontoinformationstjänst som är tillgänglig i Klarna-appen efter accepterande av ”Klarnas Användarvillkor” samt att konsumenten även accepterar ”särskilda villkor” för tjänsten.
De särskilda villkoren, ”Tjänstevillkoren för tjänsten Min Ekonomi”, får konsumenten ta del av när tjänsten accepteras. Vad gäller information om personuppgiftsbehandling enligt dataskyddsförordningen hänvisar de särskilda villkoren endast tillbaka till Dataskyddsinformationen. Den ytterligare information som enligt Avsnitt 4 i Dataskyddsinformationen ska framgå i de särskilda villkoren saknas således.
IMY anser att den information som Klarna lämnar om ändamålen med behandlingen och de rättsliga grunderna för behandlingen inte uppfyller kraven i artikel 13.1 c i dataskyddsförordningen. Informationen är inte koncis, klar och tydlig samt inte heller lättillgänglig. Den uppfyller därmed inte kraven i artikel 12.1.
IMY bedömer att överträdelsen av artikel 13.1 c i dataskyddsförordningen, med hänsyn tagen även till övriga överträdelser av artiklarna 13 och 14 som framgår av detta beslut, är så pass allvarlig att den även innebär en överträdelse av artiklarna 5.1 a och 5.2.
IMY konstaterar därför att Klarna bryter mot artiklarna 5.1 a, 5.2, 12.1 och 13.1 c i dataskyddsförordningen.
2.2.2 IMY:s bedömning av Klarnas information enligt artikel 13.1 e
Enligt artikel 13.1 e ska information lämnas om mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.
I avsnitt 7 Dataskyddsinformationen informerar Xxxxxx om vilka intressenter som den registrerades personuppgifter kan komma att delas med. I underavsnittet 7.4 beskrivs hur information delas med kreditupplysningsföretag. Av stycke ett framgår följande:
7.4 Kreditupplysningsbyråer
Om du ansöker om att få använda en Tjänst som innebär att kredit lämnas (se Avsnitt
4.1 ovan gällande vilka Xxxxxxxx som omfattar kredit), kan dina personuppgifter komma
att delas med kreditupplysningsbyråer, för följande ändamål: Att bedöma din kreditvärdighet i samband med din ansökan för ett av Klarnas betalningssätt, att bekräfta din identitet och dina kontaktuppgifter, samt skydda dig och andra kunder från bedrägerier. Ditt telefonnummer och adress kan också komma att delas med kreditupplysningsbyråer för att dessa ska kunna skicka en notifiering att en kreditupplysning utförts på dig. Beroende på reglerna i landet där du bor skickas ett fysiskt brev med information om att en kreditupplysning gjorts på dig till dig, eller så skickas brevet elektroniskt. Ditt betalningsbeteende kan komma att rapporteras tillbaka till kreditupplysningsbyråerna av Klarna, vilket kan komma att påverka din framtida kreditvärdighet. När en kreditupplysningsbyrå får en förfrågan om kreditupplysning från oss kan de komma att placera en notering på din profil, som kan ses av andra företag som lämnar kredit. Kreditupplysningsbyråerna kan komma att dela dina uppgifter med andra organisationer. De kreditupplysningsbyråer vi samarbetar med i Sverige ser du här.
Xxxxxx har på sidorna 21-22 i sitt andra yttrande till IMY daterat den 27 september 2019 närmare preciserat innebörden av informationen.
Klarna uppger, angående uppgifter som rör identifiering, att vilka uppgifter som delas med kreditupplysningsföretag för ändamål som anges i stycke ett varierar beroende på om konsumenten handlar i ett land som har personnummer eller inte. I länder där personnummer finns delar Klarna enbart konsumentens personnummer med kreditupplysningsföretag för de efterfrågade syftena (identifiering). Klarna behöver inte dela personuppgifter som adress och telefonnummer med kreditupplysningsföretag i Sverige för att identifiera den registrerade. I länder där personnummer inte finns behöver Klarna vanligtvis dela konsumentens namn, adress, födelsedatum och telefonnummer med kreditupplysningsföretag för angivna ändamål.
Vad gäller utlämnande av uppgifter om den registrerades betalningsbeteende uppger Klarna att uppgift om betalningsbeteende inte rapporteras till svenska kreditupplysningsföretag. Om, och i vilken utsträckning, Klarna rapporterar tillbaka betalningsbeteenden till kreditupplysningsföretag i andra länder där Klarna erbjuder sina tjänster varierar beroende på respektive lands lagstiftning och avtalet som Klarna har med respektive kreditupplysningsföretag.
IMY konstaterar att informationen i Dataskyddsinformationen avser utlämnande av personuppgifter till såväl svenska som utländska kreditupplysningsföretag. Vilken typ av information som lämnas ut till svenska respektive utländska kreditupplysningsföretag framgår inte.
IMY anser att den information som Klarna lämnar om hur information delas med kreditupplysningsföretag inte uppfyller kravet på öppenhet. Informationen är ofullständig och förklarar inte vilken information som lämnas till svenska respektive utländska kreditupplysningsföretag. Den registrerad kan bland annat förledas att tro att uppgift om betalningsbeteende hos Klarna lämnas ut till, och registreras av, svenska kreditupplysningsföretag. Detta är direkt missvisande.
IMY anser att den information som Klarna lämnar om de kategorier av mottagare som ska ta del av personuppgifterna inte uppfyller kraven i artikel 13.1 e i dataskyddsförordningen. Informationen är inte koncis, klar och tydlig samt inte heller lättillgänglig. Den uppfyller därmed inte kraven i artikel 12.1.
IMY bedömer att överträdelsen av artikel 13.1 e i dataskyddsförordningen, med hänsyn tagen även till övriga överträdelser av artiklarna 13 och 14 som framgår av detta beslut, är så pass allvarlig att den även innebär en överträdelse av 5.1 a och 5.2.
IMY konstaterar därför att Klarna bryter mot artiklarna 5.1 a, 5.2, 12.1 och 13.1 e i dataskyddsförordningen.
2.2.3 IMY:s bedömning av Klarnas information enligt artikel 13.1 f
Enligt artikel 13.1 f ska information lämnas om att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.
Avsnitt 8 i Dataskyddsinformationen har rubriken ”Var behandlar vi dina personuppgifter?” och av detta följer:
”Vi strävar alltid efter att behandla dina personuppgifter inom EU/EES. I vissa situationer, såsom när vi delar din information inom Klarnakoncernen eller med en leverantör eller underleverantör med verksamhet utanför EU/EES, kan dina personuppgifter dock komma att behandlas utanför EU/EES. Om butiken du handlar hos finns utanför EU/EES kommer vår delning med butiken också innebära att dina uppgifter överförs utanför EU/EES.
Vi säkerställer att en adekvat skyddsnivå föreligger, respektive att lämpliga skyddsåtgärder är vidtagna i enlighet med tillämpliga dataskyddskrav, såsom GDPR, när vi överför din data utanför EU/EES. Dessa skyddsåtgärder består i att säkerställa att det tredje land till vilket datan överförs är föremål för ett beslut från EU- kommissionen om att adekvat skyddsnivå föreligger, att EU-kommissionens standardklausuler ingåtts mellan Klarna och mottagaren, eller att mottagaren är registrerad under det så kallade US Privacy Shield-förfarandet.”
Av Artikel 29-arbetsgruppens kommentarer till informationskravet i riktlinjen om öppenhet, sidorna 39-40 i WP260, framgår följande avseende artikel 13.1 f:
”Uppgifter bör ges om relevant artikel i dataskyddsförordningen för överföring och tillhörande mekanism (t.ex. beslut om adekvat skyddsnivå enligt artikel 45/bindande företagsbestämmelser enligt artikel 47/standardiserade dataskyddsbestämmelser enligt artikel 46.2/undantag och skyddsåtgärder enligt artikel 49 osv.). Vidare bör information ges om var och hur man kan få tillgång till eller erhålla handlingen i fråga, t.ex. genom att länka till den använda mekanismen. Enligt rättviseprincipen bör den information som ges om överföring till tredjeländer vara så meningsfull som möjligt för de registrerade. Detta innebär generellt sett att tredjeländernas namn ska anges.”
IMY konstaterar att Klarnas Dataskyddsinformation saknar information om var och hur den enskilde kan få tillgång till eller erhålla handlingar gällande de skyddsåtgärder för
överföring som beskrivs i Dataskyddsinformationen. Vidare saknas information om vilka länder utanför EU/EES som personuppgifter överförs till, enligt Artikel 29- arbetsgruppens rekommendation ovan.
IMY anser att den information som Klarna lämnar om att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 46, 47 eller artikel 49.1 andra stycket, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga inte uppfyller kraven i artikel 13.1 e i dataskyddsförordningen. Informationen är inte koncis, klar och tydlig samt inte heller lättillgänglig. Den uppfyller därmed inte kraven i artikel 12.1.
IMY bedömer att överträdelsen av artikel 13.1 f i dataskyddsförordningen, med hänsyn tagen även till övriga överträdelser av artiklarna 13 och 14 som framgår av detta beslut, är så pass allvarlig att den även innebär en överträdelse av artiklarna 5.1 a och 5.2.
IMY konstaterar därför att Klarna bryter mot artiklarna 5.1 a, 5.2, 12.1 och 13.1 f i dataskyddsförordningen.
2.2.4 IMY:s bedömning av Klarnas information enligt artikel 13.2 a
Enligt artikel 13.2 a ska information lämnas om den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
Avsnitt 9 i Dataskyddsinformationen har rubriken ”Hur länge sparar vi dina personuppgifter?” och av detta framgår följande:
”Vi kommer att behandla dina personuppgifter under den tidsperiod som behövs för att fullfölja respektive ändamål för vår behandling. Dessa ändamål presenteras i denna Dataskyddsinformation. Det här innebär att när vi slutar behandla dina personuppgifter för ett specifikt ändamål kan vi ändå komma att behålla uppgifterna så länge som uppgifterna behövs för andra ändamål, men då bara för behandling i enlighet med de kvarvarande ändamålen. I synnerhet:
• Så länge som du accepterat Klarnas Användarvillkor och tills du sagt upp dessa (genom att kontakta oss eller genom att instruera oss att ta bort dina personuppgifter genom en förfrågan om att bli raderad) kommer vi att behandla de personuppgifter vi behöver för att tillhandahålla våra Tjänster till dig, vilket inkluderar information om dina tidigare köp.
• Vi behandlar personuppgifter i kreditupplysningar för ändamålet att på nytt bedöma din kreditvärdighet i upp till 90 dagar från det att kreditupplysningen togs.
• Vi behandlar information om skulder för ändamålet att bedöma din kreditvärdighet för en period av tre (3) år efter det att skulden reglerats - vilket sker antingen genom betalning av skulden eller att skulden skrivits av eller sålts.
• Vi behandlar inspelade telefonsamtal till Klarnas kundtjänst i upp till 90 dagar från dagen för inspelningen.
• Vi behandlar personuppgifter för ändamålet att efterleva tillämplig lagstiftning, såsom konsumenträttslagstiftning, bank- och penningtvättslagstiftning, och bokföringsregler. Beroende på vilken lagstiftning som är tillämplig kan dina personuppgifter komma att sparas i upp till tio år efter det att kundförhållandet upphört.”
Av Artikel 29-arbetsgruppens kommentarer till informationskravet i riktlinjen om öppenhet, sida 40 i WP260, framgår följande avseende artikel 13.2 a:
”Detta har samband med kravet om uppgiftsminimering i artikel 5.1 c och om lagringsbegränsning i artikel 5.1 e. Lagringstiden (eller de kriterier som används för att fastställa denna) kan styras av faktorer som lagstadgade krav eller riktlinjer inom branschen, men den bör anges på ett sådant sätt att den registrerade, utifrån sin egen situation, kan bedöma lagringstiden för särskilda uppgifter/ändamål. Det räcker inte att den personuppgiftsansvarige generellt anger att personuppgifterna bevaras så länge som är nödvändigt för de berättigade ändamålen med behandlingen. I relevanta fall bör olika lagringstider anges för olika kategorier av personuppgifter och/eller olika behandlingsändamål, inklusive arkiveringstid i lämpliga fall.”
Klarna har, på sida 13 i sitt första yttrande till IMY, daterat den 26 april 2019, uppgett att de ändamål för vilka respektive kategori av personuppgifter behandlas, med tillämplig lagringstid, redovisas i en bilaga som har getts in till IMY. Bilagan består av en tabell med tre kolumner, där den vänstra kolumnen redovisar ändamålen med behandlingen utifrån den (vid den aktuella tiden gällande) beskrivningen i Dataskyddsinformationen, kolumnen i mitten redovisar den tid för vilken Xxxxxx behandlar den aktuella kategorin av personuppgifter för det aktuella ändamålet, dvs. lagringstiden, och den högra kolumnen redovisar kommentarer som tar sikte på om särskilda förutsättningar för behandlingen för mer specifika ändamål eller mer specifika personuppgifter föreligger. Här framgår att Klarna behandlar och lagrar personuppgifter för fler ändamål än vad som framgår av avsnitt 9 i Klarnas dataskyddsinformation. Det framgår bland annat att personuppgifter behandlas och lagras för forskningsändamål i två år.
Vidare har Klarna, på sidorna 13-14 i det ovan nämnda yttrandet, uppgett att, utöver de ändamål som framgår av den nämnda bilagan, behandlar Klarna personuppgifter inom ramen för Klarnas kundtjänst enligt följande:
• ”Inkommande telefonsamtal spelas in av kvalitets- och säkerhetsskäl. Inspelningarna sparas för detta ändamål i 3 månader, varefter de raderas.
• Inkommande och utgående e-postmeddelanden bevaras i 7 år från tidpunkten för att meddelandet inkom eller sändes.
• Uppgift om att en enskild konsument valt att blockera sig från att använda Klarnas kreditprodukter sparas för att hantera blockeringen till dess att konsumenten själv meddelar att denne önskar häva blockeringen (dvs. som utgångspunkt tillsvidare).
• Anteckningar rörande en tvist eller andra typer av bestridanden bevaras i 10 år från tidpunkten för ärendets avslutande. Skälet till detta är att en konsument vid ett senare skede kan komma att kontakta Klarna i samma eller liknande ärenden. Tidsperioden är baserad på preskriptionstiden enligt preskriptionslagen (1981:130).
• Anteckningar av andra slag än ovan bevaras i 5 år från tidpunkten för registreringen, dvs. från att anteckningen gjordes. Skälet till detta är att en konsument vid ett senare skede kan komma att kontakta Klarna i samma eller liknande ärenden.”
Av dessa ändamål och bevarandetider är det endast informationen om bevarande av inkommande telefonsamtal för kvalitets- och säkerhetsskäl i tre månader som återfinns i avsnitt 9 i Klarnas Dataskyddsinformation.
Mot bakgrund av det sagda anser IMY att informationen i Klarnas Dataskyddsinformation inte efterlever kravet i artikel 13.2 a i dataskyddsförordningen om att information ska lämnas om den period under vilken personuppgifterna kommer att lagras eller de kriterier som används för att fastställa denna period då Klarnas yttrande och bilaga som nämnts ovan tydligt visar att Klarna behandlar personuppgifter för fler ändamål och har mer detaljerade lagringstider, och dessutom kriterier som används för att fastställa dessa perioder, som inte framgår av avsnitt 9 i Dataskyddsinformationen.
IMY anser att den information som Klarna lämnar om den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period inte uppfyller kraven i artikel 13.2 a.
Informationen är inte koncis, klar och tydlig samt inte heller lättillgänglig. Den uppfyller därmed inte kraven i artikel 12.1.
IMY bedömer att överträdelsen av artikel 13.2 a i dataskyddsförordningen, med hänsyn tagen även till övriga överträdelser av artiklarna 13 och 14 som framgår av detta beslut, är så pass allvarlig att den även innebär en överträdelse av artiklarna 5.1 a och 5.2.
IMY konstaterar därför att Klarna bryter mot artiklarna 5.1 a, 5.2, 12.1 och 13.2 a i dataskyddsförordningen.
2.2.5 IMY:s bedömning av Klarnas information enligt artikel 13.2 b
Enligt artikel 13.2 b ska information lämnas om att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.
Av Artikel 29-arbetsgruppens riktlinje om öppenhet WP260 (s. 27-28) följer att öppenhet innebär tre skyldigheter för den personuppgiftsansvarige beträffande de registrerades rättigheter:
”• Att informera de registrerade om deras rättigheter (enligt kraven i artiklarna 13.2 b och 14.2 c).
• Att iaktta öppenhetsprincipen (dvs. i fråga om kommunikationens kvalitet enligt artikel 12.1) vid kommunikation med de registrerade om deras rättigheter enligt artiklarna 15– 22 och artikel 34.
• Att underlätta utövandet av de registrerades rättigheter i enlighet med artiklarna 15– 22.
Kraven i dataskyddsförordningen när det gäller utövandet av dessa rättigheter och den typ av information som krävs syftar till att de registrerade ska få en väsentlig möjlighet att hävda sina rättigheter och ställa de personuppgiftsansvariga till svars för behandlingen av deras personuppgifter. I skäl 59 betonas att förfaranden bör fastställas ”som gör det lättare för registrerade att utöva sina rättigheter” och att den personuppgiftsansvarige även bör ”tillhandahålla hjälpmedel för elektroniskt ingivna framställningar, särskilt i fall då personuppgifter behandlas elektroniskt”. Det förfarande som en personuppgiftsansvarig fastställer för att de registrerade ska kunna utöva sina rättigheter bör vara lämpligt sett till omfattningen och typen av det förhållande och den interaktion som finns mellan den personuppgiftsansvarige och den registrerade. En personuppgiftsansvarig kan därför vilja fastställa ett eller flera olika förfaranden för utövandet av rättigheter vilka återspeglar de olika sätt på vilka de registrerade interagerar med den personuppgiftsansvarige.”
Vidare framför Artikel 29-arbetsgruppen följande kommentarer till informationskravet i riktlinjen WP260 (s.40-41), avseende artikel 13.2 b:
”Denna information bör vara specifik för behandlingen i fråga och inbegripa en sammanfattning av vad rättigheten innebär, hur den registrerade kan gå till väga för att utöva den och vilka begränsningar som rättigheten eventuellt omfattas av (se punkt 68 ovan). I synnerhet måste rätten att invända mot behandling uttryckligen meddelas den registrerade senast vid den första kommunikationen med den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.[…]”
IMY konstaterar att det i Dataskyddsinformationen finns ett särskilt avsnitt, Avsnitt 10, som har rubriken ”Dina rättigheter i förhållande till dina personuppgifter”, som i sin tur till viss del hänvisar till andra avsnitt i Dataskyddsinformationen. IMY anser dock att Dataskyddsinformationen ger bristfällig information avseende de registrerades rättigheter, i strid med artikel 13.2 b i dataskyddsförordningen, enligt följande.
Avseende rätten till radering (artikel 17), följer av Avsnitt 10 i Dataskyddsinformationen ”Rätt att bli raderad. Du har rätt att begära radering av dina personuppgifter till exempel när det inte längre är nödvändigt att behandla uppgifterna för det syfte de blev insamlade, eller om du återkallar ditt samtycke. Som beskrivs i Avsnitten 3 och 9 ovan behöver Klarna dock följa vissa lagar som hindrar oss från att omedelbart radera vissa uppgifter.”.
XXX anser att denna formulering inte sammanfattar rättighetens innebörd på ett öppet sätt. Enligt artikel 17 i dataskyddsförordningen har den registrerade rätt att få sina personuppgifter raderade av den personuppgiftsansvarige, vilket dock inte är en absolut rättighet. Dels finns det en uppräkning i den nämnda artikeln avseende i vilka fall den personuppgiftsansvarige är skyldig att radera personuppgifter utan onödigt dröjsmål, dels finns det vissa undantag från denna skyldighet för nödvändig behandling i vissa fall. Det framgår inte hur denna rättighet förhåller sig till rätten att
göra invändningar enligt artikel 21. Såsom informationen är utformad i Dataskyddsinformationen avseende denna rättighet, ger den en svåröverskådlig bild av vad rättigheten innebär och i vilka fall den gäller. Att den hänvisar till de generella Avsnitten 3 och 9 i Dataskyddsinformationen gör den än mindre tydlig. IMY bedömer att överträdelsen av artikel 13.2 b vad gäller kravet på information om rätten till radering, med hänsyn tagen även till övriga överträdelser av artiklarna 13 och 14 som framgår av detta beslut, är så pass allvarlig att den även innebär en överträdelse av artiklarna 5.1 a och 5.2. IMY anser vidare att Klarna inte heller uppfyller de krav på klar och tydlig information som framgår av artikel 12.1.
XXX anser därför att informationen i denna del i Dataskyddsinformationen inte efterlever kravet på öppenhet, särskilt mot bakgrund av uttalandena ovan i riktlinjerna om öppenhet och konstaterar därmed att Klarna bryter mot artiklarna 5.1 a, 5.2, 12.1 och 13.2 b i dataskyddsförordningen.
Avseende rätten till begränsning (artikel 18), konstaterar IMY att det saknas information om denna rättighet i Dataskyddsinformationen. I Avsnitt 10 i Dataskyddsinformationen finns dock följande information ”Rätt att motsätta dig behandling av dina personuppgifter eller invända mot vår behandling. Om du anser att dina personuppgifter är inkorrekta eller behandlats i strid med gällande lag har du rätt att uppmana oss att stoppa behandlingen. Du kan också invända mot vår behandling när du anser att det finns omständigheter som gör att behandlingen inte utförs i enlighet med gällande regler. Vidare kan du alltid invända mot att vi använder din information för marknadsföring.”
XXX anser att den lämnade informationen både är felaktig och ofullständig i förhållande till hur rättigheten återges i artikel 18 i dataskyddsförordningen. Den sammanfattar därmed inte rättigheten på ett sätt som gör det möjligt för de registrerade att förstå vad den innebär. Detta försvårar i sin tur för de registrerade att tillvarata sina rättigheter.
Utöver att informationen är ofullständig, blandar den även in rätten att invända mot viss behandling (marknadsföring), utan att närmare utveckla vad denna rätt innebär eller i vilka situationer som den kan göras gällande (jämför artikel 18.1 d och hänvisningen till artikel 21.1). IMY bedömer att överträdelsen av artikel 13.2 b vad gäller kravet på information om rätten till begränsning, med hänsyn tagen även till övriga överträdelser av artiklarna 13 och 14 som framgår av detta beslut, är så pass allvarlig att den även innebär en överträdelse av artiklarna 5.1 a och 5.2. IMY anser vidare att Klarna inte heller uppfyller de krav på klar och tydlig information som framgår av artikel 12.1.
IMY anser därför att informationen om rätten till begränsning inte efterlever kravet på öppenhet, särskilt mot bakgrund av Artikel 29-arbetsgruppens uttalanden ovan, och konstaterar därmed att Klarna bryter mot artiklarna 5.1 a, 5.2, 12.1 och 13.2 b i dataskyddsförordningen.
Avseende rätten till dataportabilitet (artikel 20), följer av Avsnitt 10 i Dataskyddsinformationen ”Rätt att få tillgång till din data. Du kan begära en kopia av dina personuppgifter om du vill veta vilken information vi har om dig. Denna kopia kan också överföras i ett maskinläsbart format (så kallad “dataportabilitet”).”.
IMY anser inte att information om rättigheten har lämnats på ett öppet sätt, då den dels har infogats under rätten till tillgång trots att dataportabilitet är en separat rättighet enligt artikel 20 i dataskyddsförordningen, dels då den inte har sammanfattats på ett tydligt sätt som gör det möjligt för de registrerade att förstå vad rättigheten innebär.
Enligt artikel 20 tar rättigheten sikte på att den registrerade dels har rätt att få de personuppgifter som rör honom eller henne i ett strukturerat, allmänt använt och maskinläsbart format, dels har rätt att överföra dessa till en annan personuppgiftsansvarig under vissa förutsättningar. IMY bedömer att överträdelsen av artikel 13.2 b vad gäller kravet på information om rätten till dataportabilitet, med hänsyn tagen även till övriga överträdelser av artiklarna 13 och 14 som framgår av detta beslut, är så pass allvarlig att den även innebär en överträdelse av artiklarna 5.1 a och 5.2. IMY anser vidare att Klarna inte heller uppfyller de krav på klar och tydlig information som framgår av artikel 12.1.
IMY anser därför att informationen när det gäller rätten till dataportabilitet inte efterlever kravet på öppenhet, särskilt mot bakgrund av Artikel 29-arbetsgruppens uttalanden ovan, och konstaterar att Klarna bryter mot artiklarna 5.1 a, 5.2, 12.1 och
13.2 b i dataskyddsförordningen.
Avseende rätten att göra invändningar (artikel 21), konstaterar IMY att det saknas fullständig information om denna rättighet i Dataskyddsinformationen. I Avsnitt 10 i Dataskyddsinformationen finns följande information infogad i den ovan berörda informationen om ”Rätt att motsätta dig behandling av dina personuppgifter eller invända mot vår behandling”: ”Du kan också invända mot vår behandling när du anser att det finns omständigheter som gör att behandlingen inte utförs i enlighet med gällande regler.”. Vidare finns följande information i Avsnitt 10 i Dataskyddsinformationen ”Rätt att invända mot ett automatiserat beslut. Du har rätt att invända mot ett automatiserat beslut som fattats av Klarna om detta beslut innebär rättsliga följder eller utgör ett beslut som på liknande sätt i betydande grad påverkar dig. Se Avsnitt 6 ovan om hur Klarna använder denna form av automatiska beslut.”.
Dessutom finns det följande information i Avsnitt 3 i Dataskyddsinformationen, gällande ändamålet att behandla personuppgifter för att utföra kundnöjdhetsundersökningar om Xxxxxxx tjänster, ”Du kan invända mot detta när som helst. Du kommer också att få information om hur du kan avanmäla dig från detta varje gång du kontaktas för detta ändamål.”. Följande information finns även i Avsnitt 6, gällande Klarnas profilering och automatiserat beslutsfattande, ”Förutsäga vilken marknadsföring som kan vara av intresse för dig. Du kan alltid invända mot detta och avanmäla dig från marknadsföringen och denna profilering, genom att kontakta oss.
För mer information om vår behandling av personuppgifter för att tillhandahålla marknadsföring se Avsnitt 3 ovan;”, samt ”Du har alltid rätt att invända mot ett automatiserat beslut med rättsliga följder eller beslut som på liknande sätt i betydande grad påverkar dig (tillsammans med den sammanhängande profileringen) genom att kontakta oss på e-postadressen i Avsnitt 13. En medarbetare på Klarna kommer i sådana fall att titta på ditt fall.”.
Enligt artikel 21 har den registrerade rätt att göra invändningar i flera olika situationer. Av artikel 21.1 följer att den registrerade har rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e (allmänt intresse) eller f (berättigat intresse/intresseavvägning), inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får
då inte längre behandla personuppgifterna, såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter, eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
IMY konstaterar att Dataskyddsinformationen i sin helhet saknar information om rätten att göra invändningar mot behandling av personuppgifter som grundar sig på artikel
6.1 f i dataskyddsförordningen, inbegripet profilering som grundar sig på denna bestämmelse, trots att Klarna för flera olika behandlingar, som bland annat beskrivs i Avsnitt 3 i Dataskyddsinformationen, uppger att detta är en av de rättsliga grunder som tillämpas samt att profilering sker. Profileringen utvecklas närmare i Avsnitt 6 i Dataskyddsinformationen, men även där saknas information om rätten att invända enligt artikel 21.1. IMY bedömer att överträdelsen av artikel 13.2 b vad gäller kravet på information om rätten att göra invändningar, med hänsyn tagen även till övriga överträdelser av artiklarna 13 och 14 som framgår av detta beslut, är så pass allvarlig att den även innebär en överträdelse av artiklarna 5.1 a och 5.2. IMY anser vidare att Klarna inte heller uppfyller de krav på klar och tydlig information som framgår av artikel 12.1.
IMY anser därför att informationen när det gäller rätten att göra invändningar i Dataskyddsinformationen inte efterlever kravet på öppenhet och konstaterar därmed att Klarna bryter mot artiklarna 5.1 a, 5.2, 12.1 och 13.2 b i dataskyddsförordningen.
2.2.6 IMY:s bedömning av Klarnas information enligt artikel 13.2 f och 14.2 g
Enligt artiklarna 13.2 f och 14.2 g ska information lämnas om förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
Av Artikel 29-arbetsgruppens vägledning WP260 (s. 22-23) framgår att information om förekomsten av automatiserat beslutsfattande, inbegripet profilering, enligt artikel 22.1 och 22.4, samt meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av behandlingen för den registrerade, utgör en del av den obligatoriska information som måste lämnas till den registrerade enligt artiklarna 13.2 f och 14.2 g. Artikel 29-arbetsgruppen har i riktlinjerna WP251 om automatiserat individuellt beslutsfattande och profilering beskrivit hur öppenhet bör tillämpas just i fråga om profilering. I WP251 (s. 10) framhålls följande:
Profileringsprocessen syns oftast inte för den registrerade. Processen går till på så sätt att härledda eller avledda uppgifter skapas om enskilda personer. Det rör sig om ”nya” personuppgifter som inte har lämnats direkt av de registrerade. Enskilda har olika grad av förståelse för hur processen går till och kan ha svårt ett förstå de komplexa tekniker som används vid profilering och automatiserat beslutsfattande.
Enligt artikel 12.1 ska den personuppgiftsansvarige tillhandahålla de registrerade koncis, klar och tydlig, begriplig och lättillgänglig information om behandlingen av deras personuppgifter.
Enligt artikel 22.1 ska den registrerade ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Sådant automatiserat beslutsfattande är endast tillåtet om ett av de undantagsvillkor som anges i artikel 22.2 föreligger. Undantag görs för det fall beslutsfattandet är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige eller tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen eller grundar sig på den registrerades uttryckliga samtycke.
Följande framhålls i WP251 (s. 17):
Med tanke på att den centrala principen bakom dataskyddsförordningen är öppenhet måste personuppgiftsansvariga se till att de på ett klart och tydligt sätt förklarar för enskilda hur profilering eller automatiserat beslutsfattande fungerar.
Framför allt om behandlingen inbegriper beslutsfattande som grundas på profilering (oavsett om behandlingen omfattas av bestämmelserna i artikel 22) måste det förtydligas för den registrerade att behandlingen avser både a) profilering och b) beslutsfattande grundat på den profil som skapats.
I skäl 60 anges att tillhandahållandet av information om profilering ingår i den personuppgiftsansvariges öppenhetsskyldigheter enligt artikel 5.1 a. Den registrerade har rätt till information från den personuppgiftsansvarige om ”profilering”, och i vissa fall rätt att invända mot ”profilering”, oavsett om det enbart rör sig om automatiserat individuellt beslutsfattande som grundas på profilering.
Den registrerades rätt till information enligt artiklarna 13.2 f och 14.2 g behandlas i WP251 (s. 26):
Med tanke på de potentiella riskerna för de registrerades rättigheter och de slutsatser som kan dras av den profilering som omfattas av artikel 22 bör personuppgiftsansvariga vara särskilt uppmärksamma på sin skyldighet att säkerställa insyn i behandlingen. Enligt artiklarna 13.2 f och 14.2 g ska personuppgiftsansvariga tillhandahålla lättillgänglig information om automatiserat beslutsfattande som grundas enbart på automatiserad behandling, inbegripet profilering, som har rättsliga eller på liknande sätt betydande följder. Om den personuppgiftsansvarige fattar automatiserade beslut med stöd av artikel 22.1 måste denne
• berätta för den registrerade att de tillämpar denna metod,
• lämna meningsfull information om den bakomliggande logiken och
• förklara betydelsen och de förutsedda följderna av behandlingen.
Tillhandahållandet av denna information hjälper även personuppgiftsansvariga att säkerställa att de uppfyller några av de obligatoriska skyddsåtgärder som anges i artikel 22.3 och skäl 71.
Om det automatiserade beslutsfattandet och profileringen inte omfattas av definitionen i artikel 22.1 är det ändå god praxis att tillhandahålla ovannämnda information. I vilket fall som helst måste den personuppgiftsansvarige tillhandahålla tillräcklig information till den registrerade för att behandlingen ska anses rättvis och uppfylla alla andra informationskrav i artiklarna 13 och 14.
…
Den personuppgiftsansvarige bör försöka att på ett enkelt sätt förklara logiken bakom, eller kriterierna för att komma fram till, beslutet. I dataskyddsförordningen åläggs den personuppgiftsansvarige att lämna meningsfull information om logiken bakom behandlingen, inte nödvändigtvis en komplex förklaring av de algoritmer som används eller att lämna ut den fullständiga algoritmen. Den information som tillhandahålls bör emellertid vara tillräckligt heltäckande för att den registrerade ska förstå skälen till beslutet.
Av avsnitt 6 i Klarnas Dataskyddsinformation framgår följande:
Beslut med rättsliga följder eller beslut som på liknande sätt i betydande grad påverkar dig
Automatiserade beslut med rättsliga följder eller automatiserade beslut som på liknande sätt i betydande grad påverkar dig innebär att vissa beslut i våra Tjänster uteslutande fattas automatiskt, utan inblandning av våra anställda, och kan ha betydande effekt på dig som kund, jämförbart med rättsliga följder. Genom att fatta sådana beslut automatiskt ökar Klarna objektiviteten och öppenheten i besluten när vi erbjuder dessa Tjänster.
Vi använder denna typ av automatiserade beslut när vi:
• Beslutar att godkänna din ansökan om att använda en Tjänst som innefattar kredit;
• Beslutar att inte godkänna din ansökan om att använda en Tjänst som innefattar kredit;
• Beslutar huruvida du utgör en bedrägeri- eller penningtvättsrisk, om vår behandling visar att ditt beteende indikerar penningtvätt eller bedrägligt beteende, att ditt beteende inte överensstämmer med tidigare användning av våra Tjänster, eller att du har försökt dölja din riktiga identitet. I relevanta fall undersöker Klarna också om specifika kunder är listade på sanktionslistor.
Se Avsnitt 3 för mer information om vilka kategorier av personuppgifter som behandlas för dessa ändamål.
I avsnitt 3 Dataskyddsinformationen lämnas följande information angående kreditprövning (ändamål, kategorier av uppgifter, grund för personuppgiftsbehandling):
Utföra kreditprövning innan kredit Kontakt- och
beviljas (Se Avsnitt 4.1 om Klarnas
Följa lag, när krediten ifråga regleras i lag.
Tjänster som innebär att kredit lämnas och Avsnitt 7.4 om hur vi samarbetar med kreditupplysningsbyråer).
identifikationsuppgifter, finansiell information och information om hur du interagerar med Klarna.
För de fall krediten inte är reglerad i lag utförs behandlingen för att kunna fullgöra kreditavtalet.
Klarna har i svaret till IMY den 26 april 2019 preciserat vilka kategorier av uppgifter som behandlas i samband med automatiserade beslut, inbegripet profilering för kreditprövningsändamål:
Uppgifter som samlas in från konsumenten själv eller genereras av Klarna
• Person- och kontaktinformation (såsom namn, adress, personnummer/födelsedatum och e-postadress) Källa: lämnas av konsument vid köp.
• Information om hur konsumenten interagerat med Klarna (exempelvis utestående skuld, om konsumenten valt att blockera sig från Klarnas tjänster eller blivit avstängd på grund av missbruk). Källa: Konsumentens tidigare relation med Klarna.
• Klarnas interna kreditscore (som redovisas i svar 4 ovan).
• Bekräftelse från Klarnas interna bedrägerikontroll (d.v.s. ”ja”, ”nej” eller ”extra verifikation krävs”). Källa: Konsumentens tidigare relation med Klarna, uppgifter som lämnats av konsumenter vid köp, eller samlats in av Klarna i samband med dessa.
Uppgifter som samlas in från externa leverantörer
• Person- och kontaktinformation (extern verifikation av konsumenten samt dennes adress, samt extern information om ägaren till telefonnumret som lämnats). Källa: Extern leverantör
• Finansiell information (extern kreditinformation, såsom inkomst, betalningsanmärkningar eller skuldsanering) Källa: Extern leverantör.
• Bekräftelse från Klarnas interna bedrägerikontroll (d.v.s. ”ja”, ”nej” eller ”extra verifikation krävs”). Källa: Extern leverantör.
IMY konstaterar att Klarnas Dataskyddsinformation saknar meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade. Av Dataskyddsinformationen framgår endast att vissa typer av information används i samband med det automatiserade beslutet (Kontakt- och identifikationsuppgifter, finansiell information och information om hur du interagerar med Klarna).
Det framgår inte att Klarna använder en egen intern scoremodell som bygger bland annat på både intern och extern finansiell information eller vilka typer av uppgifter som ingår i den finansiella informationen, exempelvis uppgift om skulder hos andra kreditgivare. Det ges ingen information om vilka omständigheter som kan vara av avgörande betydelse för ett negativt kreditbeslut.
XXX anser att kravet på att lämna meningsfull information om logiken bakom ett automatiserat kreditbeslut innefattar uppgift om vilka kategorier uppgifter som är av avgörande betydelse inom ramen för en intern scoremodell och eventuell förekomst av villkor som alltid leder till ett avslagsbeslut inom ramen för det beslutsstöd som den personuppgiftsansvarige använder sig av.
IMY anser inte att informationen om automatiserade kreditbeslut tillhandahålls på ett lättillgängligt sätt. Den enskilde konsumenten bör tillhandhållas denna typ av svårbegriplig information i ett sammanhang i stället för utspritt på olika ställen i Dataskyddsinformationen.
IMY anser att den information som Klarna lämnar om förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4 i dataskyddsförordningen, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade inte uppfyller kraven i artiklarna 13.2 f och 14.2 g.
Informationen är inte koncis, klar och tydlig samt inte heller lättillgänglig. Den uppfyller därmed inte kraven i artikel 12.1.
IMY bedömer att överträdelsen av artiklarna 13.2 f och 14.2 g, med hänsyn tagen även till övriga överträdelser av artiklarna 13 och 14 som framgår av detta beslut, är så pass allvarlig att den även innebär en överträdelse av artiklarna 5.1 a och 5.2.
IMY konstaterar därför att Klarna bryter mot artiklarna 5.1 a, 5.2, 12.1, 13.2 f och 14.2 g i dataskyddsförordningen.
3 Val av ingripande
3.1 Rättslig reglering
IMY har vid överträdelser av dataskyddsförordningen ett antal korrigerande befogenheter, bland annat reprimand, föreläggande och sanktionsavgifter. Det följer av artikel 58.2 a–j i dataskyddsförordningen.
IMY ska påföra sanktionsavgifter utöver eller i stället för andra korrigerande åtgärder som avses i artikel 58.2, beroende på omständigheterna i varje enskilt fall.
Om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen. Det framgår av artikel 83.3 i dataskyddsförordningen.
Varje tillsynsmyndighet ska säkerställa att påförandet av administrativa sanktionsavgifter i varje enskilt fall är effektivt, proportionellt och avskräckande. Det anges i artikel 83.1 i dataskyddsförordningen.
I artikel 83.2 anges de faktorer som ska beaktas för att bestämma om en administrativ sanktionsavgift ska påföras, men också vad som ska påverka sanktionsavgiftens storlek.
3.2 Sanktionsavgift
Klarna tillhandahåller betalningslösningar till ca 90 miljoner konsumenter och fler än 200 000 butiker i 17 länder. Klarna tillhandahåller flera olika tjänster som är viktiga för det finansiella systemet, såsom direktbetalning, olika former av “prova först och betala senare”-tjänster samt avbetalningar. För att kunna tillhandahålla dessa tjänster måste Klarna behandla en mycket stor mängd personuppgifter. IMY har ovan bedömt att
Klarna inte har uppfyllt den grundläggande principen om öppenhet och de registrerades rättigheter avseende information. Klarna har överträtt artiklarna 5.1 a, 5.2, 12.1, 13.1 c, e-f och 13.2 a-b, f och 14.2 g i dataskyddsförordningen. IMY anser inte att det är frågan om mindre allvarliga överträdelser. Klarna ska därför påföras administrativa sanktionsavgifter för nämnda överträdelser.
IMY anser att det utlämnande av information som sker via Klarnas Dataskyddsinformation är en och samma uppgiftsbehandling och att ett gemensamt sanktionsbelopp ska fastställas för dessa. IMY konstaterar att Xxxxxx har överträtt flera artiklar som omfattas av artikel 83.5, som innebär att ett högre sanktionsbelopp kan påföras.
När det gäller beräkning av beloppet framgår av artikel 83.5 i dataskyddsförordningen att företag som begår överträdelser som de aktuella kan påföras sanktionsavgifter på upp till tjugo miljoner EUR eller fyra procent av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst.
Vid bestämmande av maxbeloppet för en sanktionsavgift som ska påföras ett företag ska den definition av begreppet företag användas som EU-domstolen använder vid tillämpning av artiklarna 101 och 102 i EUF-fördraget (se skäl 150 i dataskyddsförordningen). Av domstolens praxis framgår att detta omfattar varje enhet som utövar ekonomisk verksamhet, oavsett enhetens rättsliga form och sättet för dess finansiering samt även om enheten i juridisk mening består av flera fysiska eller juridiska personer.
IMY bedömer att det företags omsättning som ska läggas till grund för beräkning av de administrativa sanktionsavgifter som Klarna kan åläggas är Klarnas moderbolag Klarna Holding AB. Av Klarna Holding AB:s årsredovisning för år 2020 framgår att årsomsättningen år 2020 var ca 10 093 659 000 kronor. Det högsta sanktionsbelopp som kan fastställas i ärendet är fyra procent av detta belopp, det vill säga cirka
404 000 000 kronor.
Vid bestämmande av sanktionsavgiftens storlek beaktar IMY att Klarna är ett multinationellt företag som behandlar personuppgifter om ett stort antal registrerade. Klarna behandlar många olika kategorier av personuppgifter där uppgifterna i vissa fall avser ekonomiska förhållanden och den registrerades kreditvärdighet. IMY anser att det ska ställas höga krav på ett stort företag med så omfattande och integritetskänslig personuppgiftsbehandling att tillhandahålla information som är koncis, klar och tydlig, begriplig och i lätt tillgänglig form.
I försvårande riktning talar att det har varit överträdelser som rör artiklar som är centrala för att den registrerade ska ha möjlighet att kunna ta till vara sina rättigheter enligt dataskyddsförordningen och att den information som tillhandahålls i Dataskyddsinformationen berör ett mycket stort antal registrerade samt att överträdelsen pågått under en längre tid.
Som förmildrande omständighet beaktas att Klarna under tiden tillsynen pågått ändrat och förbättrat informationen i Dataskyddsinformationen.
Mot bakgrund av överträdelsernas allvar och att den administrativa sanktionsavgiften ska vara effektiv, proportionerlig och avskräckande bestämmer IMY den administrativa sanktionsavgiften för Klarna Bank AB till 7 500 000 kronor.
Detta beslut har fattats av generaldirektören Xxxx Xxxxxxxx Schelin efter föredragning av avdelningsdirektören Xxxx Xxxxxxx. Vid den slutliga handläggningen har även rättschefen Xxxxx Xxxxxxxx och enhetschefen Xxxxxxxxx Xxxxxxxxx deltagit.
Xxxx Xxxxxxxx Xxxxxxx, 2022-03-28 (Det här är en elektronisk signatur)
Bilagor
Bilaga 1 - Klarnas Dataskyddsinformation Bilaga 2 - Klarnas Användarvillkor
Hur man överklagar
Om ni vill överklaga beslutet ska ni skriva till Integritetsskyddsmyndigheten. Ange i skrivelsen vilket beslut ni överklagar och den ändring som ni begär. Överklagandet ska ha kommit in till Integritetsskyddsmyndigheten senast tre veckor från den dag ni fick del av beslutet. Om överklagandet har kommit in i rätt tid sänder Integritetsskyddsmyndigheten det vidare till Förvaltningsrätten i Stockholm för prövning.
Ni kan e-posta överklagandet till Integritetsskyddsmyndigheten om det inte innehåller några integritetskänsliga personuppgifter eller uppgifter som kan omfattas av sekretess. Myndighetens kontaktuppgifter framgår av beslutets första sida.
Ni kan e-posta överklagandet till Integritetsskyddsmyndigheten om det inte innehåller några integritetskänsliga personuppgifter eller uppgifter som kan omfattas av sekretess. Myndighetens kontaktuppgifter framgår av beslutets första sida.