Sanktionsavgift till MrKoll
Datainspektionen publicerade lagom till julledigheten sin andra sanktionsavgift baserat på brott mot GDPR. I detta fall drabbades företaget MrKoll, som Datainspektionen ansåg ha brutit mot GDPR och kreditupplysningslagen. Här analyseras beslutet.
Bakgrund
MrKoll är en webbplats som syftar till att tillgängliggöra offentlig information om privatpersoner som kan tänkas vara av intresse för allmänheten. Denna information erhålls från ett antal olika leverantörer och tillhandahålls sedan till viss del kostnadsfritt till hemsidebesökare och till viss del genom att besökare köper eftertraktade uppgifter. Efter flertalet klagomål valde Datainspektionen att inleda ett tillsynsärende mot företaget bakom MrKoll (Nusvar AB) som omfattade såväl en tillsynsskrivelse som en inspektion på plats. Bolaget hade ett frivilligt utgivningsbevis enligt yttrandefrihetsgrundlagen för verksamhet som omfattades av hemsidan. Enligt dataskyddslagen ska inte dataskyddslagstiftningen tillämpas i den mån bestämmelser i dessa lagstiftningar står i strid med tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Konsekvenserna av att personupppgiftsbehandling faller under skyddet av ett utgivningsbevis är att dataskyddslagstiftningen inte blir tillämplig. Datainspektionen konstaterade i detta fall att företaget omfattades av bestämmelser i kreditupplysningslagen och GDPR.
Behandling av brottsuppgifter
Utöver tillhandahållandet av kreditupplysningar omfattade Datainspektionens tillsynsbeslut även förekomsten av brottsuppgifter som publicerades. Artikel 10 GDPR begränsar möjligheten att behandla denna typ av personuppgifter. Brottsuppgifter får enbart behandlas under kontroll av en myndighet eller om nationell rätt tillåter det. Kreditupplysningslagen utgör en sådan nationell lagstiftning som tillåter behandling av brottsuppgifter. Sådan behandling tillåts dock bara om medgivande först inhämtats från Datainspektionen, 6 § kreditupplysningslagen. Datainspektionen ansåg att enbart det faktum att bolaget tillhandahåller information om att den eftersökte varit åtalat i en brottmålsprocess räcker för att det ska anses att bolaget behandlar brottsuppgifter. Bolaget ansågs därmed ha brustit i kravet gällande inhämtande av medgivande från Datainspektionen enligt 6 § kreditupplysningslagen.
Uppgiftsminimeringen
Datainspektionen tog även i beaktande de grundläggande principerna i artikel 5 GDPR gällande bolagets verksamhet. Enligt artikel 5.1 (c) GDPR får inte fler uppgifter än nödvändigt behandlas utifrån ändamålet med behandlingen. Datainspektionen hänvisade även till 5 § kreditupplysningslagen. I sin bedömning konstaterade Datainspektionen att bolaget hade brutit mot principen om uppgiftsminimering i artikel 6.1 (c) GDPR och 5 § kreditupplysningslagen.
Konsekvenser av lagbrotten
Datainspektionen hade enligt artikel 58.2 GDPR befogenhet att utöva ett antal olika korrigerande åtgärder, till exempel varningar, reprimander, begränsningar av behandling eller administrativa sanktionsavgifter. Omständigheterna i detta fall ansågs vara så pass allvarliga att en administrativ sanktionsavgift bedömdes som den lämpligaste korrigerande åtgärden. Datainspektionen ansåg att en sanktionsavgift på 35 000 € var en proportionerlig beloppsnivå.
Kommentarer
Datainspektionens tillsynsbeslut utgör en viktig vägvisare gällande den grundlagsskyddade personupppgiftsbehandling som undantagits från dataskyddslagstiftningen, till exempel sådan behandling som utförs under skyddet av ett frivilligt utgivningsbevis. Tjänster såsom MrKoll eller andra liknande tjänster vars kärnverksamhet består utav att samla in och publicera information om privata personer på internet med stöd av ett sådant utgivningsbevis har sen GDPR trätt i kraft föranlett flertalet klagomål. I Datainspektionens integritetsrapport från 2019 (DI 2019:2) nämns att nästan en tredjedel av alla klagomål som myndigheten fått in fram tills publicering av rapporten riktats mot företag likt MrKoll. Den omständigheten att dessa typer av verksamhet kunnat verka utanför GDPR:s tillämpningsområde har förbryllat många.
Vill du ta del av Didrik Värmons analys i sin helhet?
Läs då mer om informationstjänsten JP ITnet.
Publicerad 7 feb 2020