O instanță a confirmat o amendă de 730.000 de euro (7.300.000 de coroane suedeze) împotriva Klarna și a respins argumentul operatorului potrivit căruia autoritatea pentru protecția datelor a avut nevoie de un timp nejustificat de lung pentru a finaliza procedura și a încălcat drepturile procedurale ale operatorului.
La 28 martie 2022, Autoritatea suedeză pentru protecția datelor (“IMY”) a amendat Klarna AB (“operatorul”) cu 730 000 EUR (7 300 000 SEK) pentru că nu a furnizat persoanelor vizate informații adecvate cu privire la activitățile sale de prelucrare a datelor. Autoritatea pentru protecția datelor a constatat că operatorul a încălcat GDPR în mai multe privințe.
Operatorul a făcut apel împotriva deciziei APD la instanța de prim grad de jurisdicție, Tribunalul Administrativ din Stockholm (“FiS”). Tribunalul administrativ a admis parțial apelul operatorului și a redus amenda la 600 000 EUR (6 000 000 SEK), deoarece încălcările nu au cauzat daune semnificative și nu au fost intenționate, iar operatorul și-a îmbunătățit informațiile.
Autoritatea pentru protecția datelor a făcut apel împotriva acestei decizii la Curtea Administrativă de Apel din Stockholm (“KamR Stockholm”) și a cerut ca amenda să fie majorată la 730 000 EUR (7 300 000 SEK).
Țineți
Curtea de Apel a reexaminat întreaga decizie contestată pentru a decide dacă ar trebui să se aplice o amendă operatorului pentru motivele invocate de DPA. Prin urmare, instanța a analizat dacă operatorul a furnizat informații complete sau suficiente cu privire la diferite aspecte ale politicii sale de confidențialitate și dacă a respectat cerințele de furnizare a acestor informații în temeiul articolului 12 din RGPD , articolului 13 din RGPD și articolului 14 din RGPD .
Curtea de Apel nu a fost de acord cu instanța de fond în ceea ce privește încălcarea de către operator a articolului 13 alineatul (1) litera (f) din RGPD prin faptul că nu a specificat în ce țări specifice vor fi transferate datele cu caracter personal. Instanța de apel a constatat că GDPR nu impune ca țările terțe specifice să fie menționate. Prin urmare, instanța a hotărât că operatorul nu a încălcat articolul 13 alineatul (1) litera (f) din GDPR prin faptul că nu a specificat țările terțe în politica sa de confidențialitate.
În plus, Curtea de Apel nu a fost de acord cu instanța de fond în ceea ce privește faptul dacă informațiile furnizate de operator cu privire la drepturile persoanelor vizate îndeplineau cerințele prevăzute la articolul 13 alineatul (2) litera (b) din RGPD. Acest articol obligă operatorul să informeze persoana vizată că aceasta are dreptul de a solicita operatorului accesul la datele cu caracter personal care o privesc și rectificarea sau ștergerea acestora, restricționarea prelucrării sau de a se opune unei astfel de prelucrări, precum și dreptul la portabilitatea datelor. Curtea de Apel a decis că formularea dispoziției nu implică altceva decât faptul că persoana vizată trebuie să fie informată cu privire la existența drepturilor. Curtea de Apel a constatat că nu există nicio dovadă care să sugereze că, pe lângă informarea persoanei vizate cu privire la existența drepturilor enumerate la articolul 13 alineatul (2) litera (b) din RGPD, operatorul este obligat să descrie mai detaliat semnificația drepturilor. Prin urmare, spre deosebire de instanța de fond, Curtea de Apel a constatat că operatorul nu a încălcat articolul 13 alineatul (2) litera (b) din GDPR în această privință.
Curtea de Apel a fost de acord cu instanța de fond că operatorul a omis să furnizeze informații privind garanțiile pentru transferurile din țări terțe [articolul 13 alineatul (1) litera (f) din RGPD] și utilizarea unui model de scor în procesul decizional automatizat și modul în care datele au fost prelucrate în cadrul acestuia [articolul 14 alineatul (2) litera (g) din RGPD]. Prin urmare, Curtea de Apel a constatat că operatorul a încălcat articolul 13 alineatul (1) litera (f) din GDPR și articolul 14 alineatul (2) litera (g) din GDPR în ceea ce privește aceste două elemente ale politicii de confidențialitate.
În plus, Curtea de Apel a constatat că operatorul nu a furnizat informațiile privind procesul decizional automatizat într-o formă ușor accesibilă, așa cum prevede articolul 12 alineatul (1) din GDPR. Curtea de Apel a considerat că distribuirea informațiilor în diferite secțiuni nu înseamnă neapărat că informațiile sunt dificil de accesat de către persoanele vizate. Cu toate acestea, Curtea de Apel a constatat că informațiile referitoare la procesul decizional automatizat din Directiva privind protecția datelor se refereau la diferite secțiuni din Directiva privind protecția datelor, ceea ce însemna că informațiile nu erau ușor accesibile, deoarece era dificil de identificat informațiile relevante în secțiunile respective.
Curtea de Apel a constatat, de asemenea, că informațiile privind dreptul la portabilitatea datelor au fost furnizate în așa fel încât a fost dificil de înțeles că este vorba de un drept de sine stătător. Dreptul la restricție a fost, de asemenea, exprimat în politica de confidențialitate sub forma de “obiecție” și “oprirea prelucrării”. Aceasta era o terminologie diferită de cea din RGPD și, în opinia Curții de Apel, a condus la ambiguități. Din cauza acestor ambiguități, Curtea de Apel a constatat că operatorul a încălcat articolul 12 alineatul (1) din RGPD.
Pe baza acestei noi evaluări juridice, Curtea de Apel a apreciat caracterul adecvat al amenzii. Curtea de Apel a recunoscut ca circumstanță atenuantă faptul că încălcările nu au avut loc pe o perioadă mai lungă de timp și că politica de confidențialitate a fost îmbunătățită în mod continuu. Cu toate acestea, Curtea de Apel a ținut cont de faptul că informațiile se refereau la un număr mare de persoane vizate și că deficiențele se refereau la informații bazate pe articole care aveau o importanță fundamentală pentru persoanele vizate. În cele din urmă, Curtea de Apel a respins argumentul operatorului potrivit căruia cazul DPA a durat nejustificat de mult timp și că a fost încălcat dreptul operatorului de a fi informat cu promptitudine cu privire la semnificația și motivele acuzațiilor. Prin urmare, Curtea de Apel nu a văzut niciun motiv pentru a reduce amenda în temeiul articolului 83 alineatul (2) din RGPD și al articolului 6 alineatul (1) și alineatul (3) litera (a) din CEDO.
Prin urmare, Curtea de Apel a hotărât că încălcările au constituit o măsură eficace, proporțională și disuasivă și au justificat o amendă administrativă de 730 000 EUR (7 300 000 SEK), care corespundea sumei maxime prevăzute în cadrul sancțiunilor în acest caz, și a confirmat decizia Autorității pentru protecția datelor în apel.
Deci ATENTIE la Platile cu varianta KLARNA