Bakgrunden är att IMY utfärdat en administrativ sanktionsavgift mot Klarna Bank AB (Klarna) på 7,5 miljon med anledning av brister i Klarnas personuppgiftspolicy på webbplatsen. Genom beslutet klargör IMY att det ställs höga krav på utformningen av personuppgiftspolicyn för att nå upp till kraven enligt GDPR. Beslutet, som visserligen är överklagat, medför att det ställs striktare krav på utformningen av personuppgiftspolicys, särskilt vad gäller tydlighet och fullständighet.
IMY uttalar sig om flertalet punkter med avseende på personuppgiftsansvarigas informationsskyldighet. Bland annat understryks vikten av att det inom ramen för en personuppgiftsbehandling avseende en viss tjänst tydligt måste framgå för vilket ändamål, och med stöd av vilken rättslig grund personuppgiftsbehandlingen sker. Det måste även framgå vilka specifika personuppgifter som behandlas inom ramen för tjänsten.
Ett vanligt misstag är att organisationen ofta beskriver personuppgiftsbehandlingen genom att ge några exempel.
Det syftar sannolikt till att korta ner den annars formalistiska och svårtillgängliga texten för mottagaren. Detta är dock inte tillåtet enligt IMY.
IMY klargör att samtliga personuppgifter som behandlas måste anges och att ingen uppgift får utelämnas. Ändamålen måste även beskrivas utförligt. Om organisationen lämnar ut uppgifter till tredje parter måste det framgå vilka personuppgifter som delas med respektive mottagare. Om det finns mottagare av personuppgifter både i Sverige och utomlands ska det framgå vilka personuppgifter som delas med mottagare i Sverige och vilka som delas med mottagare utomlands. I annat fall kan informationen framstå som missvisande.
I samband med så kallade tredjelandsöverföringar – i förenklade termer när mottagaren av personuppgifter befinner sig i ett land utanför EU/EES – ställs det enligt dataskyddsförordningen krav på att exportören av personuppgifter vidtar särskilda säkerhetsåtgärder. Enligt IMY ska en registrerad kunna utläsa vilken säkerhetsmekanism som används, samt med stöd av vilken artikel i dataskyddsförordningen dennes personuppgifter överförs till ett tredjeland. Därutöver konstaterar IMY att det i regel bör anges vilka länder utanför EU/EES som personuppgifter kan komma att överföras till. Det räcker alltså inte med en generell hänvisning till att tredjelandsöverföringar kan komma att ske.
I dagsläget är det vanligt att de registrerades rättigheter räknas upp kortfattat, exempelvis att ”du har rätt till ett registerutdrag, rätt att göra invändningar etc.” Detta är inte tillräckligt utan organisationen måste ge fullständig information om de registrerades rättigheter och när dessa inte gäller. Detta krav uppfyller i regler inte myndigheter eftersom myndigheten valt att förenkla texten för läsaren.
Beslutet innebär att det ställs striktare krav på utformningen av information om hantering av personuppgifter och att denna måste vara mycket mer omfattande än idag. Beslutet visar också på att dataskyddsområdet är ett dynamiskt rättsområde, där organisationen måste arbeta med dataskydd som en den av verksamheten.
Katarina Ladenfors.
Katarina Ladenfors är advokat och partner på Advokatfirman MarLaw. Hon är specialiserad på GDPR, marknadsrätt, avtalsrätt, upphovsrätt och säljfrämjande åtgärder.
Behöver du uppdatera din kunskap om vilka regler som gäller, och hur du som kommunikatör ska hantera juridiken? Utforska kursen Digital kommunikationsjuridik med Katarina Ladenfors.
Du som är medlem kan också kostnadsfritt ställa din fråga till Katarina Ladenfors genom tjänsten Fråga advokaten.