Integritetsskyddsmyndigheten (IMY) inleder en tillsyn för att utreda klagomål från enskilda som riktats mot Klarna Bank AB gällande de krav på identifiering som bolaget använt sig av i samband med att enskilda utövat sina rättigheter enligt dataskyddsförordningen (GDPR).
IMY har tagit emot ett antal klagomål från enskilda som rör hur företaget Klarna hanterar deras personuppgifter. Klagomålen kommer främst från personer som har klagat hos en dataskyddsmyndighet i Tyskland och handlar i huvudsak om enskilda som vänt sig till bolaget och begärt att få sina personuppgifter raderade eller att få tillgång till de personuppgifter som bolaget har om dem. I den processen anser de klagande att bolaget ställt orimliga krav på hur de ska bekräfta sin identitet.
IMY inleder nu en tillsyn mot Klarna för att utreda klagomålen vidare. De bestämmelser som utredningen omfattar är nedanstående artiklar:
- om den personuppgiftsansvarige har uppfyllt sin skyldighet att underlätta för klaganden att utöva sina rättigheter (artikel 12.2 GDPR)
- om klagandens begäran/begäranden har hanterats utan onödigt dröjsmål (artikel 12.3 och artikel 12.4 GDPR), och
- om den information Klarna begärt av klaganden varit nödvändig för att bekräfta sin identitet (artikel 12.6 GDPR).
IMY kan även komma att utreda om behandlingen uppfyller kraven på uppgiftsminimering (artikel 5.1 c GDPR).
IMY avser även att i vissa klagomål utreda om Klarna:
- upphört att behandla klagandens personuppgifter för direktmarknadsföring efter invändning mot sådan behandling i klagomål nr. 2 och 24 (artikel 21.3 GDPR).
- vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken vid hantering av e- postkorrespondens när klagandena utövat sina rättigheter enligt dataskyddsförordningen (artikel 32 GDPR).
IMY kan även komma att utreda om behandlingen uppfyller kraven på uppgiftsminimering (artikel 5.1 c GDPR).
Klarna ska svara skriftligt till IMY senast den 12 oktober 2022.