Försvaltningsrätten går på Integritetsskyddsmyndighetens linje och menar att Klarna skulle ha lämnat ut begärd information till en man som ville veta vilka mottagare som tagit del av hans personuppgifter. Reprimand från IMY står därmed fast.
Det var i maj 2022 som Integritetsskyddsmyndigheten (IMY) gav Klarna en reprimand efter konstaterandet att Klarna behandlade personuppgifter i strid med dataskyddsförordningen genom att inte tillmötesgå en mans begäran av information om vilka som var mottagare av hans personuppgifter.
IMY ansåg att det inte räckte med att Klarna lämnade information om till vilka kategorier av mottagare som personuppgifterna kunde komma att lämnas ut till när den registrerade uttryckligen begärde information om till vilka faktiska mottagare uppgifterna lämnats.
Ingripande förutsebar
Klarna överklagade beslutet till förvaltningsrätten och yrkade att det skulle upphävas. Bolaget angav att man lämnat information om de kategorier av mottagare till vilka personuppgifter har lämnats ut.
Klarna har uppgett att de riktlinjer från Europeiska dataskyddsstyrelsen (EDPB) som IMY hänvisar till i sitt beslut inte ger stöd för IMY:s uppfattning att den personuppgiftsansvarige saknar rätt att välja mellan att lämna information om mottagare eller kategorier av mottagare enligt dataskyddsförordningen.
Klarna har även uppgett att IMY:s reprimand innebär ett tydligt avsteg från allmänt vedertagna krav på legalitet och förutsebarhet, eftersom tillsynsbeslutet uppställer krav som inte framgår av författning. Myndighetsutövning som innebär ingripanden mot enskilda måste vara förutsebar.
Klarna menar även att proportionalitetsprincipen måste beaktas. Åtgärden får inte vara mer långtgående än vad som krävs och får endast vidtas om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.
Tolkningen av dataskyddsförordningens artiklar
Förvaltningsrätten hänvisar till att Europeiska dataskyddsstyrelsen (EDPB) har i uppdrag att se till att dataskyddsförordningen tillämpas enhetligt. Denna roll regleras i dataskyddsförordningen.
”Exempelvis kan EDPB i fall där de nationella tillsynsmyndigheterna inte kan komma överens om hur dataskyddsförordningen ska tillämpas vid gränsöverskridande behandling av personuppgifter fatta beslut som är bindande för tillsynsmyndigheterna (se artiklarna 65 och 70). Trots att EDPB:s riktlinjer inte är rättsligt bindande instämmer förvaltningsrätten därför i IMY:s bedömning att riktlinjerna med hänsyn till deras syfte är vägledande när det kommer till tolkningen av dataskyddsförordningens artiklar”, skriver förvaltningsrätten.
Uppgifter ska lämnas ut
Förvaltningsrätten hänvisar till att artikel 15 i Dataskyddsförordningen ger en individ rätt att få information om huruvida en personuppgiftsansvarig behandlar personuppgifter om honom eller henne, och om så är fallet ska upplysningar om behandlingen lämnas.
”Mot bakgrund av detta samt syftet med förordningen anser förvaltningsrätten att det är upp till den registrerade att göra valet om den vill utöva sin rätt att ta del av de mottagare eller kategorier av mottagare till vilka dess personuppgifter har lämnats ut eller ska lämnas ut. Det är därefter upp till den personuppgiftsansvarige att prestera efter förmåga”, skriver förvaltningsrätten.
Vidare konstaterar Förvaltningsrätten att det inte har framkommit av handlingarna i målet att Klarna saknade förmåga att lämna den begärda informationen, eller att detta skulle medföra en oproportionell ansträngning.
”IMY har därför haft fog för sitt beslut. Förvaltningsrätten instämmer i den bedömning som IMY har gjort avseende att Klarna med anledning av överträdelsen ska meddelas en reprimand. Överklagandet ska därför avslås”.
