Amendă administrativă în valoare de 724 000 euro aplicată de către Autoritatea Suedeză pentru Protecția Datelor companiei Klarna Bank AB pentru încălcarea drepturilor subiecților de date și a principiilor de prelucrare a datelor cu caracter personal

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 724 000 euro aplicată de către Autoritatea Suedeză pentru Protecția Datelor (ASPD) companiei Klarna Bank AB pentru încălcarea drepturilor subiecților de date și a principiilor de prelucrare a datelor cu caracter personal.

Klarna Bank este o companie financiară care prelucrează date cu caracter personal despre multe persoane și în moduri diferite. Este important ca informațiile pe care Klarna Bank le furnizează despre modul în care compania prelucrează datele cu caracter personal să fie corecte și cât mai complete posibil. Pe parcursul investigației, Klarna Bank  a modificat în mod continuu informațiile furnizate cu privire la modul în care compania tratează datele cu caracter personal. Decizia ASPD se referă la informațiile furnizate în primăvara anului 2020. În urma investigațiilor, s-a constatat că Klarna Bank nu a furnizat informații cu privire la scopul și temeiul juridic pentru care au fost prelucrate datele cu caracter personal în cadrul unuia dintre serviciile companiei. Totodată, compania a furnizat informații incomplete și înșelătoare cu privire la destinatarii diferitelor categorii de date cu caracter personal atunci când datele au fost partajate cu companii suedeze și străine privind informațiile de credit. De asemenea, Klarna Bank nu a furnizat informații cu privire la țările în care au fost transferate datele cu caracter personal în afara UE/SEE sau cu privire la locul și modul în care persoanele fizice pot obține informații privind garanțiile care se aplică transferului de date către țări terțe.

În acest context, ASPD a constatat că compania a furnizat informații incomplete cu privire la drepturile subiecților de date, inclusiv dreptul la ștergerea datelor, dreptul la portabilitatea datelor și dreptul de a se opune la modul în care sunt prelucrate datele cu caracter personal, încălcând articolul 5 alineatul (1) litera (a), articolul 5.2, articolul 12.1, articolul 13.1 literele (c), (e)-(f), articolul 13.2 literele (a)-(b) și (f) și articolul 14.2 litera (g) din GDPR.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.