Datum Diarienr

Datum Diarienr

2014-06-09 1826-2013

Klarna AB

Norra Xxxxxxxxxxxxx 00

113 43 Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) av Klarna AB

Datainspektionens beslut

1. Datainspektionen konstaterar att Klarna, i strid med 9 § första stycket e personuppgiftslagen, behandlar eller avser att behandla personupp- gifter om avskrivna och överlåtna fordringar som inte är adekvata och relevanta för kreditprövningsändamål.

Datainspektionen anser att uppgifter om kunders betalningsförsum- melser inte är adekvata och relevanta att använda vid kreditprövning om uppgifterna avser fordringar som har betalats för mer än tre år se- dan. För det fall att en fordran har överlåtits och den personuppgifts- ansvarige saknar information om när den har betalats får tiden om tre år räknas från tidpunkten för överlåtelsen.

Datainspektionen förelägger Klarna att se över sina rutiner för hur länge uppgifter om försent betalda fordringar används för kreditpröv- ningsändamål.

2. Datainspektionen konstaterar att Klarna, i strid med 9 § första stycket e personuppgiftslagen, använder inhämtade kreditupplysningar för kreditprövning i upp till ett år.

Datainspektionen anser att uppgifter från kreditupplysningsregister inte är adekvata och relevanta att använda vid kreditprövning om uppgifterna är äldre än tre månader.

Postadress: Box 8114, 104 20 Stockholm E-post: xxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx

Besöksadress: Xxxxxxxxxxxxxx 00, xxxx 5 Telefon: 00-000 00 00

Webbplats: xxx.xxxxxxxxxxxxxxxx.xx Telefax: 00-000 00 00

Datainspektionen förelägger Klarna AB att se över sina rutiner för hur länge uppgifter från kreditupplysningsregister används för kredit- prövningsändamål.

3. Datainspektionen konstaterar att Klarna inte genomför någon pröv- ning av hur länge personuppgifter får bevaras för olika ändamål. Upp- gifter kan därmed komma att bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Datain- spektionen noterar dock att Klarna arbetar med att ta fram nya gall- ringsrutiner för all information som hanteras av Klarna.

Datainspektionen förutsätter att Klarna AB ser över sina rutiner för gallring så att de uppgifter som Klarna AB behandlar om sina kunder i sina system inte sparas under längre tid än vad som är nödvändigt.

Prövningen ska ske med hänsyn till vart och ett av de ändamål för vil- ka personuppgifter behandlas av Klarna AB.

Redogörelse för tillsynsärendet

Datainspektionen har inspekterat Klarna AB (Klarna). Inspektionen är en del i ett tillsynsprojekt där Datainspektionen har granskat hur fyra företag som tillhandahåller elektroniska betallösningar behandlar personuppgifter om kunder. Syftet med tillsynen har varit att kontrollera om bolagets personupp- giftsbehandling uppfyller personuppgiftslagens (1998:204) bestämmelser.

Syftet med inspektionen har varit att kontrollera den personuppgiftsbehand- ling som Klarna utför i samband med att handlare använder Xxxxxxx olika tjänster för att ta betalt av sina kunder. Tillsynen omfattar den personupp- giftsbehandling som Klarna utför för egen räkning, således inte den person- uppgiftsbehandling som Klarna gör på uppdrag av annan, exempelvis de handlare som använder Xxxxxxx tjänster. Protokoll över inspektionen har upp- rättats och översänts till Klarna, som har yttrat sig.

Vid inspektionen och senare skriftväxling med Klarna har bl.a. följande fram- kommit.

Klarna är ett kreditmarknadsbolag som står under Finansinspektionens tillsyn och som har funnits sedan 2005. Klarna tillhandahåller betalningslösningar för e-handel. Enligt Xxxxxxx egna uppgifter hanterade Klarna en tredjedel av Sveriges e-handelstransaktioner under 2012. Klarna tillhandahåller fyra tjäns- ter för elektronisk betalning, Klarna Faktura, Klarna Konto, Klarna Mobil samt Klarna Checkout. Enligt Klarna är personer som använder sig av dess tjänster kunder både hos Klarna och aktuell handlare.

Klarna Faktura och Klarna Konto används för betalning främst inom e-handel. Klarna Mobil är en betalningstjänst som används vid betalning av digitala tjänster för innehåll som kan levereras elektroniskt. Verifieringen av kunden sker i det fallet via sms. Klarna Checkout är enligt Klarna en helhetslösning för e-handlare som säljer varor och tjänster där flera betalningssätt är möjliga.

Klarna Checkout

Enligt villkoren för Klarna Checkout behandlas personuppgifter om kunderna i Klarna Checkout för att säkerställa kundernas identitet, administrera kund- förhållandet, förhindra missbruk eller felaktigt utnyttjande av betalnings- tjänsten, utföra kundanalyser, göra kreditbedömningar, riskanalyser, riskhan- tering, affärsutveckling, för kommersiella och marknadsföringsändamål både för Klarnas egen del och för utvalda partners samt för att uppfylla lagkrav.

Uppgifterna behandlas, enligt Klarna, med stöd av kundernas samtycke och för att behandlingen är nödvändig för att Klarna ska kunna fullgöra avtal och rättsliga skyldigheter samt för att Klarna ska kunna tillgodose kundens rättig- heter.

Tjänsten Klarna Checkout är tekniskt implementerad i handlarens webbplats genom en s.k. iframe, vilket kan förklaras som en webbsida som integreras som en del av en annan webbsida. Innehållet i tjänsten styrs av Klarna. Integ- rationen av Klarna Checkout sker på webbaffärens kassasida.

Ett köp med Klarna Checkout innefattar följande steg. När kunden går till webbaffärens kassasida inhämtas till Klarna Checkout uppgifter om de varor som kunden har valt. Kunden identifieras därefter genom att denne får fylla i sin e-postadress, sitt postnummer samt sitt personnummer. Därefter trycker kunden på knappen ”fortsätt” i Klarnas Checkout. Om angivet postnummer matchar det postnummer som finns registrerat på aktuellt personnummer i folkbokföringsregistret visas folkbokföringsadressen i Klarna Checkout. Om angivet postnummer inte matchar det postnummer som finns registrerat på angivet personnummer visas endast namnet från folkbokföringsregistret.

Kunden får i sådana fall fylla i sin adress själv. Namnuppgifter och folkbokfö- ringsadresser hämtas från SPAR och från ett kreditupplysningsbolags adress- register.

Kunden slutför sedan köpet genom att trycka på knappen ”slutför köp”. I nära anslutning till denna knapp anges att kunden genom köpet godkänner Klar- nas villkor för Klarna Checkout. Villkoren finns tillgängliga via en länk. I vill- koren anges att funktionen förifylld adress endast får användas efter godkän- nande av handlarens och Klarnas villkor och endast i direkt anslutning till att man gör ett köp med hjälp av Klarnas betaltjänster.

Klarna har angett att syftet med att förifylla adressen är att kunden ska slippa att fylla i uppgifterna. Vidare har funktionen betydelse för kontroll av att leve- rans sker till rätt adress, identitetskontroll, bedrägerikontroll och kreditkon- troll.

Kunden har möjlighet att undvika att folkbokföringsadressen visas vid angi- vandet av personnummer genom att ange en pinkod. För att visa folkbokfö- ringsadressen vid nästa besök måste kunden ange både personnummer och pinkoden. Klarna anser att uppgifterna är harmlösa och uppger att de även kan hämtas på andra tjänster på nätet. Klarna har såväl automatiska som ma- nuella processer för att stoppa eventuellt missbruk.

Klarna Faktura

Vid betalning med Klarna faktura väljer kunden Klarna Faktura som betal- ningsalternativ på handlarens kassasida. Efter att kunden har fyllt i person- nummer hämtas namn och folkbokföringsadress automatiskt från SPAR och ett kreditupplysningsbolags adressregister. Uppgifterna hämtas av Klarna på uppdrag av handlaren. Uppgift om köpet skickas till Klarna från webbplatsen.

Bevarande

Klarna har inte bedrivit sin verksamhet så länge att det ännu har funnits an- ledning att gallra de uppgifter om kunderna som har samlats in vid använd- ning av Xxxxxxx tjänster. Några rutiner finns ännu inte på plats för gallring. Xxxxxxx xxxxxxxx kan ske och har också skett då felaktiga uppgifter registre- rats. I ett pågående projekt som arbetar med gallringsfrågor överväger Klarna bl.a. hur länge olika uppgiftstyper behöver sparas och vilka ändringar som behöver genomföras i IT-systemen. Detta ska genomföras under år 2014.

För närvarande är det Klarnas utgångspunkt att alla uppgifter från Xxxxxxx tjänster ska sparas i tio år räknat från det datum då transaktionen genomför- des. Denna bevarandetid har Klarna bedömt vara lämplig mot bakgrund av rättsliga krav i författningar. Krav ställs på kreditgivare i lagen (2004:297) om bank och finansieringsrörelse (bank- och finansieringsrörelselagen) och kon- sumentkreditlagen (2010:1846). Vidare sparar Klarna uppgifter som använts för att uppnå kundkännedom, för monitorering, utredningar och rapporter av misstänkta penningtvättsfall i tio år enligt krav om bevarande i lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism (pen- ningtvättslagen) och Finansinspektionens föreskrifter (FFFS 2009:1). Informa- tion som använts i klagomålsärenden sparar Xxxxxx för att leva upp till de krav som ställs i Finansinspektionens föreskrifter (FFFS 2002:23). Klarna bevarar

även uppgifter om genomförda köp så länge som kunden har möjlighet att reklamera.

Kontroller

Klarna utför kontroller av sina kunder för att förhindra penningtvätt, för att avslöja bedrägerier och för att göra kreditkontroller.

Klarna utför kreditkontroller endast av kunder som väljer ett betalningssätt som innebär att kredit lämnas. Kreditkontroll med hjälp av kreditupplysning- ar sker innan kredit medges för högre belopp samt i vissa fall även vid lägre belopp. Klarna använder inhämtade kreditupplysningar för kreditbedöm- ningar som längst under ett år efter det att de inhämtades. Uppgifter från in- tern historik används för kreditbedömningar som längst i två år. Uppgifter om kunder som inte har fullgjort sina åtaganden gentemot Klarna används i tio år för kreditbedömningar. Med sådana åtaganden avses obetalda eller avskrivna skulder samt överlåtna fordringar. Dessa kunder markeras i Klarnas system med en s.k. recovery-flagga.

Xxxxxx försöker på egen hand driva in fordringar under fyra månader. Därefter överväger Klarna om fordringarna ska överlåtas.

Villkoren för Klarnas tjänster samt Klarnas policy ”Dataskydd På Klarna AB” innehåller bl.a. information om att Klarna kan komma att använda informa- tion som kunden lämnat vid tidigare köp samt hur kunden tidigare uppfyllt Klarnas betalningsvillkor.

Klarna uppger att de vid kreditgivningen följer kraven i bank- och finansie- ringsrörelselagen, konsumentkreditlagen, konsumentverkets allmänna råd, konsumentkrediter (KOVFS 2011:1), Finansinspektionens allmänna råd om krediter i konsumentförhållanden (FFFS 2011:47) samt Finansinspektionens allmänna råd om kreditriskhantering (FFFS 2004:6).

Säkerhet för personuppgifter

När det gäller IT-säkerheten har Datainspektionen granskat vidtagna säker- hetsåtgärder rörande den fysiska säkerheten, behörighetstilldelning, autenti- sering, behandlingshistorik, åtgärder mot förlust av information, kommuni- kation inom bolaget samt kommunikationen mellan bolaget och bolagets personuppgiftsbiträden.

Skäl för beslutet

Tillämpliga bestämmelser

Den behandling av personuppgifter som Klarna utför i samband med att Klarna tillhandahåller tjänsterna Klarna Faktura, Klarna Konto, Klarna Mobil och Klarna Checkout omfattas huvudsakligen av personuppgiftslagens be- stämmelser. Datainspektionen bedömer att uppgifterna har struktureras på ett sådant sätt att flertalet av bestämmelserna i personuppgiftslagen är till- lämpliga.

Klarna är ett sådant kreditmarknadsbolag som avses i bank- och finansie- ringsrörelselagen. Verksamheten omfattas även av de krav som ställs i pen- ningtvättslagen och lagen (2010:751) om betaltjänster (betaltjänstlagen).

Funktionen förifylld adress i Klarna Checkout

Datainspektionen konstaterar att Xxxxxx har stöd för sin behandling att expo- nera namn och adressuppgift i 10 § f personuppgiftslagen på det sätt som görs i Klarnas tjänst förifylld adress.

Datainspektionen gör bedömningen mot följande bakgrund.

Enligt 3 § personuppgiftslagen är den personuppgiftsansvarige den som en- sam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Vidare är, enligt samma bestämmelse, den som behandlar personuppgifter för den personuppgiftsansvariges räkning personuppgiftsbiträde.

Av utredningen framgår att det är Klarna som avgör utformningen av tjänsten Klarna Checkout samt vilka uppgifter som ska behandlas däri.

Klarna har uppgett att det är Klarna som tillhandahåller den iframe där upp- gifter behandlas i Klarna Checkout. Det är således Klarna som bestämmer ändamålen med och medlen för behandlingen av personuppgifter i tjänsten Klarna Checkout. Datainspektionen konstaterar därför att Klarna är person- uppgiftsansvarig för dessa personuppgifter.

Personuppgifter får enligt 10 § personuppgiftslagen behandlas bara om den registrerade har lämnat samtycke till behandlingen eller om behandlingen är nödvändig av något av de skäl som anges i 10 § personuppgiftslagen. Behand- lingen är exempelvis tillåten om den är nödvändig för att ett avtal med den registrerade ska kunna fullgöras (a), för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet (b) eller för att ett ändamål som berör ett

berättigat intresse hos den personuppgiftsansvarige ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränk- ning av den personliga integriteten (f).

Datainspektionen har tidigare granskat funktioner som liknar förifylld adress. Datainspektionen har i dessa ärenden ansett att det funnits risk för att tjäns- terna kan användas som en upplysningstjänst, trots att ändamålet varit ett helt annat. Inspektionen har i dessa ärenden bedömt att behandlingen inte har varit tillåten enligt 9 och 10 §§ personuppgiftslagen.

I villkoren till Klarna Checkout anges att funktionen endast får användas efter godkännande av handlarens och Klarnas villkor och endast i direkt anslutning till att kunden gör ett köp finansierat av Klarna. Personuppgifterna i funktio- nen förifylld adress visas dock innan kunden godkänner villkoren och lämnar sitt samtycke. För att samtycke ska kunna ligga till grund för en viss person- uppgiftsbehandling krävs att samtycket lämnas innan behandlingen utförs.

Den behandlingen som sker när uppgifterna hämtas och visas i funktionen förifylld adress omfattas därför inte av kundens samtycke.

Den aktuella behandlingen av personuppgifter kan dock vara tillåten med stöd av en intresseavvägning enligt 10 § f personuppgiftslagen. Till skillnad från liknande funktioner som Datainspektionen tidigare har granskat visas folkbokföringsadressen endast om ett matchande postnummer till person- numret fylls i av kunden. Kunden har i detta fall även möjlighet att genom så kallad ”opt-out” välja att kundens folkbokföringsuppgifter visas endast efter att denne fyllt i en pinkod. Namnet som är kopplat till det angivna person- numret exponeras dock oavsett om kunden fyllt i ett matchande postnummer eller inte.

Vid en intresseavvägning enligt 10 § f personuppgiftslagen ska Klarnas intres- se – vilket angetts vara att underlätta för kunderna, att kontrollera att leverans sker till rätt adress samt att genomföra identitetskontroll, bedrägerikontroll och kreditkontroll – ställas mot de exponerade personernas intresse av skydd mot kränkningar av deras personliga integritet. I denna bedömning måste hänsyn tas till att det rör sig om relativt harmlösa uppgifter, att det finns en möjlighet att motsätta sig exponeringen (opt-out för kunder) och att Klarna vidtagit säkerhetsåtgärder (webbhandlarens kund måste ange matchande postnummer).

Datainspektionen finner mot denna bakgrund att behandlingen att exponera uppgift om namn och folkbokföringsadress på det sätt som görs i Klarna Checkout är tillåten med stöd av en intresseavvägning i 10 § f personuppgifts- lagen.

Funktionen hämta adress i Klarna Faktura

Datainspektionen bedömer att Klarna inte är personuppgiftsansvarig för be- handlingen av personuppgifter som sker i funktionen hämta adress i tjänsten Klarna faktura. Behandlingen omfattas därför inte av detta tillsynsärende.

Datainspektionen gör bedömningen mot följande bakgrund.

Funktionen hämta adress i tjänsten Klarna Faktura innebär att kundens per- sonuppgifter (namn och folkbokföringsadress) exponeras på kassasidan i en webbutik. Tjänsten tillhandahålls av Klarna men hanteras av webbutiken. Till skillnad mot motsvarande funktion i tjänsten Klarna Checkout är det således webbutiken som beslutar om behandlingen av personuppgifterna. De person- uppgifter som exponeras i tjänsten hämtas av Xxxxxx på uppdrag av webbuti- ken.

Användning av uppgifter om betalningsförsummelser m.m.

Datainspektionen konstaterar att Klarna, i strid med 9 § första stycket e per- sonuppgiftslagen, behandlar eller avser att behandla personuppgifter om av- skrivna och överlåtna fordringar som inte är adekvata och relevanta för kre- ditprövningsändamål.

Datainspektionen anser att uppgifter om kunders betalningsförsummelser inte är adekvata och relevanta att använda för kreditprövning om uppgifterna avser fordringar som har betalts för mer än tre år sedan. För det fall att en fordran har överlåtits och den personuppgiftsansvarige saknar information om när den har betalats får tiden om tre år räknas från tidpunkten för överlå- telsen.

Datainspektionen förelägger Klarna att se över sina rutiner för hur länge upp- gifter om försent betalda fordringar används för kreditprövningsändamål.

Datainspektionen gör bedömningen mot följande bakgrund.

Behandling av personuppgifter för kreditprövning måste uppfylla de grund- läggande kraven i 9 § första stycket personuppgiftslagen. De behandlade per- sonuppgifterna måste bl.a. vara adekvata och relevanta i förhållande till än- damålen med behandlingen (punkten e). I bedömningen av vilka uppgifter som är adekvata och relevanta för kreditprövningsändamål måste hänsyn tas till annan lagstiftning som gäller för Klarnas verksamhet bl.a. konsumentkre- ditlagen.

Vid kredit som lämnas till konsumenter har en kreditgivare enligt 12 § kon- sumentkreditlagen en skyldighet att pröva om konsumenten har ekonomiska förutsättningar att fullgöra vad han eller hon åtar sig enligt kreditavtalet. Kre- ditprövningen ska grundas på tillräckliga uppgifter om konsumentens eko- nomiska förhållanden. Av förarbetena till konsumentkreditlagen framgår att med uttrycket ”tillräckliga uppgifter” avses att näringsidkaren måste samla in så många uppgifter att konsumentens betalningsförmåga för krediten i fråga kan bedömas med en hög grad av säkerhet. Flera uppgiftskällor kan behöva användas. Uppgifter kan inhämtas från konsumenten, från en kreditupplys- ning, från en databas som förs av en myndighet, t.ex. Kronofogdemyndighe- ten eller från kreditgivarens eget register eller databas (prop. 2009/10:242 s.

100). Enligt Finansinspektionens allmänna råd om krediter i konsumentför- hållanden (FFFS 2011:47) bör en kreditgivare dokumentera det underlag som använts för en kreditprövning.

Konsumentkreditlagen innehåller inga bestämmelser om hur gamla uppgifter som får användas vid kreditprövning av konsumenter. Det finns emellertid en bortre gräns när uppgifter inte längre kan anses relevanta och adekvata att behandla för kreditprövningsändamål. Hänsynen till den enskilde kräver ock- så att denne inte för all framtid belastas med en uppgift om till exempel en enstaka betalningsförsummelse.

Ledning om hur länge en sådan uppgift får användas för kreditprövningsän- damål kan hämtas i kreditupplysningslagens (1973:1173) bestämmelse om gall- ring. Enligt den generella gallringsregeln i 8 § första stycket ska en uppgift om en fysisk person gallras när det inte längre är nödvändigt att bevara uppgiften med hänsyn till ändamålet med behandlingen. När det gäller uppgifter om fysiska personer som inte är näringsidkare kompletteras den generella regeln med en tidsbestämd gallringsregel i 8 § andra stycket. Där anges att en upp- gift om en fysisk person som inte är näringsidkare ska, om uppgiften inte gäll- er skuldsanering, gallras senast tre år efter den dag då den omständighet in- träffade eller det förhållande upphörde som uppgiften avser.

Det kan noteras att tidsgränsen för gallring av kreditupplysningar år 1980 sänktes från fem till tre år. I förarbeten påpekades att äldre kreditupplysningar i många fall kan bli missvisande. I sådana fall är det ett intresse både för den som erhåller upplysningen och för den som avses med denna att uppgifter inte kommer till användning (prop. 1980/81:10 s. 68). När bestämmelsen år 2001 anpassades till EU:s dataskyddsdirektiv konstaterades att treårsregeln är tyd- lig och att den hade fungerat väl. Det ansågs att efter tre år uppfyller inte upp- gifterna kraven på relevans, adekvans, nödvändighet och aktualitet när det gäller fysiska personer som inte är näringsidkare. Ett skäl till att komplettera bestämmelsen med den generella gallringsregeln i första stycket var att upp-

gifter alltid ska gallras så snart det inte längre är nödvändigt att lagra dem, vilket kan vara en kortare tid än tre år (prop. 2000/01:50 s. 26 f.).

Datainspektionen anser att det är rimligt att applicera samma resonemang när det gäller uppgifter om egna kunders betalningsförsummelser. Det innebär att uppgifter om försent betalda fordringar ska gallras så snart de inte är adekvata eller relevanta för kreditprövningsändamål eller i vart fall tre år efter det att fordringarna har betalats. För det fall att fordran överlåtits och borgenären saknar information om när fordran har betalats bör tiden räknas från tid- punkten för överlåtelsen. Uppgifter om en fordran som inte är betald och inte heller preskriberad är självfallet adekvata och relevanta vid en ny kreditpröv- ning av samma kreditgivare. Uppgifter om obetalda fodringar som omfattas av en skuldsanering är dock inte adekvata och relevanta för kreditprövning efter att skuldsaneringen har upphört.

Klarna har uppgett att intern historik används för kreditbedömningar som längst i två år och att uppgifter om kunder som inte har fullgjort sina åtagan- den gentemot Klarna används i tio år för kreditbedömningar. Med sådana åtaganden avses obetalda eller avskrivna skulder samt överlåtna fordringar.

Datainspektionen anser – mot bakgrund av vad som sagts ovan – att uppgifter om avskrivna och överlåtna fordringar inte är adekvata eller relevanta att an- vända för kreditprövning när uppgifter är äldre än tre år.

Det gäller oavsett med vilken rättslig grund uppgifterna behandlas. Även för det fallet att kundernas samtycke till behandlingen omfattar att tio år gamla uppgifterna används uppgifterna för kreditprövning, anser således Datain- spektionen att sådan behandling inte är förenlig med kravet på att de uppgif- ter som behandlas ska vara adekvata och relevanta i förhållande till ändamå- len behandlingen (9 § första stycket e personuppgiftslagen).

Klarna måste därför se över sina rutiner avseende vilka uppgifter om avskrivna och obetalda fordringar som får användas vid kreditprövning.

Användning av uppgifter från kreditupplysningsregister

Datainspektionen konstaterar att Klarna, i strid med 9 § första stycket e per- sonuppgiftslagen, använder inhämtade kreditupplysningar för kreditprövning i upp till ett år.

Datainspektionen anser att uppgifter från kreditupplysningsregister inte är adekvata och relevanta att använda vid kreditprövning om uppgifterna är äld- re än tre månader

Datainspektionen förelägger Klarna att se över sina rutiner för hur länge upp- gifter från kreditupplysningsregister används för kreditprövningsändamål.

Datainspektionen gör bedömningen mot följande bakgrund.

De uppgifter som används för kreditprövningsändamål ska vara adekvata och relevanta i förhållande till detta ändamål (9 § första stycket e personuppgifts- lagen). Uppgifter som hämtas in från kreditupplysningsregister blir snabbt inaktuella och är därefter inte relevanta för att bedöma en persons kreditvär- dighet. En kreditbedömning bör alltid göras på så aktuell information som möjligt. Uppgift om att en kund fått en kredit beviljad får överföras till kredit- givarens kundregister men får inte användas för kreditprövning när det inte längre är adekvat och relevant för detta ändamål. Datainspektionen anser att inhämtade uppgifter från kreditupplysningsregister som är äldre än tre måna- der inte är adekvata och relevanta att använda för kreditprövningsändamål.

När uppgifter från kreditupplysningsregister inte längre är adekvata eller rele- vanta för kreditprövningen ska de gallras såvida det inte är nödvändigt att bevara dem för andra ändamål.

Klarna använder för sin kreditprövning inhämtade kreditupplysningar i upp till ett år. Klarna har skyldigheter att bevara uppgifter från kreditupplysningar för andra ändamål som framgår bl.a. av bank- och finansieringsrörelselagen, konsumentkreditlagen och bokföringslagen. Att Klarna bevarar uppgifterna för dessa ändamål innebär dock inte att uppgifterna är adekvata och relevanta att använda för andra ändamål, t.ex. kreditprövningsändamål.

Klarna måste därför se över sina rutiner för hur länge uppgifter från kredit- upplysningsregister används för kreditprövningsändamål.

Gallring m.m.

Datainspektionen konstaterar att Klarna inte genomför någon prövning av hur länge personuppgifter får bevaras för olika ändamål. Uppgifter kan där- med komma att bevaras under längre tid än vad som är nödvändigt med hän- syn till ändamålen med behandlingen. Datainspektionen noterar dock att Klarna arbetar med att ta fram nya gallringsrutiner för all information som hanteras av Klarna.

Datainspektionen förutsätter att Klarna ser över sina rutiner för gallring så att de uppgifter som Klarna behandlar om sina kunder i sina system inte sparas under längre tid än vad som är nödvändigt med hänsyn till ändamålen med

behandlingen. Prövningen ska ske med hänsyn till vart och ett av de ändamål för vilka personuppgifter behandlas av Klarna.

Datainspektionen gör bedömningen mot följande bakgrund.

Enligt de grundläggande kraven för personuppgiftsbehandling, som anges i 9 § första stycket personuppgiftslagen, ska den personuppgiftsansvarige bl.a.

se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (c), att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen (e), att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (f) och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (i).

När personuppgifter, som i Klarnas fall, samlas in för flera ändamål medför de angivna kraven att personuppgifterna får användas för respektive ändamål så länge som de är adekvata och relevanta för vart och ett av dessa ändamål. Där- efter ska uppgifter gallras såvida de inte får användas för något annat berätti- gat ändamål. När uppgifterna inte längre behövs för något av de ändamål som de samlades in för ska de gallras.

De personuppgifter om kunders namn, personnummer, adress och genom- förda köp som Klarnas behandlar är inte i sig särskilt integritetskänsliga. En omfattande användning av Klarnas tjänster kan dock göra det möjligt för Klarna att kartlägga en kunds levnadssätt med hjälp av uppgifter om när, vad och var kunden har handlat. Klarna registrerar dessutom uppgifter om hur kunden sköter sina betalningar. Mot den bakgrunden är det väsentligt att Klarna inte bevarar uppgifter om sina kunder längre än vad som är nödvändigt med hänsyn till de ändamål som Klarna får behandla uppgifterna för. Det är därför viktigt att Klarna har tydliga regler och rutiner för hur personuppgifter om kunder ska gallras och för vilka ändamål de får behandlas.

Om det i lag eller förordning ställs krav på att personuppgifter ska bevaras under en viss tid så gäller dessa regler före personuppgiftslagen. I bedömning- en av hur länge det är nödvändigt att bevara vissa uppgifter måste därför hän- syn tas till den särskilda lagstiftning som är tillämplig på Klarnas verksamhet, t.ex. bank- och finansieringsrörelselagen, konsumentkreditlagen, penning- tvättslagen, betaltjänstlagen och bokföringslagen.

Klarna har uppgett att uppgifter om kunder för närvarande sparas i tio år. Klarna motiverar denna bevarandetid utifrån bokföringslagens, penning- tvättslagens och betaltjänstlagens krav på att uppgifter ska bevaras samt de krav på dokumentation som finns i bank- och finansieringsrörelselagen och konsumentkreditlagen. Bolaget genomför dock ingen prövning av vilka upp-

gifter som måste sparas för att uppfylla kraven på dokumentation i aktuella lagarna.

Datainspektionen konstaterar att Klarna har ett antal olika lagar att följa, i vilka det ställs krav på att uppgifter om kunder bevaras. Datainspektionen har i detta ärende inte utrett hur länge Klarna måste spara personuppgifter för att leva upp till de krav som ställs i dessa lagar. Datainspektionen kan dock kon- statera att Klarna avser att bevara samtliga personuppgifter om sina kunder i tio år från det datum då en transaktion genomfördes och att Klarna inte genomför någon prövning av vilka uppgifter som utifrån behandlingens än- damål är nödvändiga att bevara för respektive ändamål. Det finns inte något uttryckligt stöd i de lagar som Klarna har att följa att bevara samtliga uppgifter om kunder så länge som tio år.

Vid inspektionen framkom att Klarna har ett pågående arbete som syftar till att ta fram gallringsrutiner för all information som hanteras av Klarna. För att säkerställa att Klarna inte behandlar personuppgifter i strid med personupp- giftslagen bör Klarna noggrant utreda vilka författningsreglerade skyldigheter som bolaget har att bevara personuppgifter. Klarna bör särskilt utreda om regleringarna innebär en skyldighet att spara samtliga personuppgifter. Om det finns kategorier av uppgifter som inte behöver sparas enligt t.ex. bokfö- ringslagen får dessa uppgifter enbart lagras om det krävs för något annat be- rättigat ändamål.

Övrig behandling av personuppgifter

Mot bakgrund av vad som har kommit fram i ärendet finner Datainspektio- nen ingen anledning att rikta kritik mot Xxxxxxx hantering i övrigt.

Hur man överklagar

Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skri- velsen vilket beslut som överklagas och den ändring som ni begär. Inspektio- nen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om in- spektionen inte själv ändrar beslutet på det sätt ni har begärt.

Detta beslut har beslutats av generaldirektören Xxxxxxxx Xxxxx Xxxxxxxx efter föredragning av juristen Xxxxxx Xxxxxxx. Vid den slutliga handläggningen har även chefsjuristen Xxxx-Xxxx Xxxxxxxx, enhetschefen Xxxxxxxxx Xxxxxxxxx och IT-säkerhetsexperten Xxxxx Xxxxx deltagit.

Xxxxxxxx Xxxxx Xxxxxxxx

Xxxxxx Xxxxxxx