Mot bakgrund av beslutet som Integritetsskyddsmyndigheten (IMY) utfärdade mot Klarna Bank AB (publ) tidigare under 2022, vill vi på Ekenberg & Andersson Advokatbyrå AB påminna våra klienter att kontrollera sin personuppgiftspolicy. Er personuppgiftspolicy ska bland annat innehålla:
- Tydliga ändamål för vilka de olika personuppgifterna behandlas och den rättsliga grunden för respektive behandling.
- Tydlig beskrivning hur och vilka personuppgifter som delas med tredje part samt vilka dessa tredje parter är.
- Redogörelse för vilka länder utanför EU/EES som personuppgifterna överförs till, vilken skyddsåtgärd tillämpas och hur den registrerade personen kan få tillgång till eller erhålla dokumentationen gällande skyddsåtgärderna.
- Angivelse av lagringstider under vilka personuppgifterna lagras eller redogörelse för metoden för att avgöra lagringstiden. Lagringstiderna ska vara synkroniserade med företagets gällande gallringsrutiner.
- Tydlig redogörelse för den registrerade personens rättigheter i syfte att den registrerade personen ska förstå vad rättigheterna innebär och när dessa kan utövas.
- Tydlig redogörelse för om automatiserat beslutsfattande förekommer, hur det automatiserade beslutsfattandet genomförs och vilken betydelse de automatiserade besluten har för den registrerade personen.
Innehållet i personuppgiftspolicyn ska vara lättläst. Läsaren ska enkelt kunna navigera bland avsnitten och viktig information om behandlingen ska inte vara gömd i mängden av text.
Även om innehållet i IMY:s beslut inte var en nyhet utan att förtydligande av de regler som framgår av GDPR, visade beslutet på de höga kraven som GDPR ställer på transparens och informationsgivning till den registrerade.
Sanktionsavgifter enligt GDPR kan uppgå upp till det högsta av 20 miljoner euro eller fyra procent av koncernens årsomsättning. Klarna ålades en sanktionsavgift om 7,5 miljoner kronor med motiveringen att de uppmärksammade bristerna endast pågått under ett par månader och att Klarna sedan dess åtgärdat bristerna.
Vi på Ekenberg & Andersson Advokatbyrå ser gärna över er personuppgiftspolicy för att säkerställa att den når upp till de nu förtydligade kraven i GDPR. Vi erbjuder fasta och förmånliga priser.
PS. Glöm inte att ett företag även ska redogöra för de installerade cookies. För cookies gäller både GDPR och andra lagar. Vi hjälper självklart till även med det.
Anastasia Jansson
Advokat
Läs mer om vad Ekenberg & Andersson erbjuder inom IT-rätt