Sanktionsavgift till MrKoll

Datainspektionen publicerade lagom till julledigheten sin andra sanktionsavgift baserat på brott mot GDPR. I detta fall drabbades företaget MrKoll, som Datainspektionen ansåg ha brutit mot GDPR och kreditupplysningslagen. Här analyseras beslutet.   

dataskydd_Sanktionsavgift_till_MrKoll_16x9.jpg

Bakgrund


MrKoll är en webbplats som syftar till att tillgängliggöra offentlig information om privatpersoner som kan tänkas vara av intresse för allmänheten. Denna information erhålls från ett antal olika leverantörer och tillhandahålls sedan till viss del kostnadsfritt till hemsidebesökare och till viss del genom att besökare köper eftertraktade uppgifter. Efter flertalet klagomål valde Datainspektionen att inleda ett tillsynsärende mot företaget bakom MrKoll (Nusvar AB) som omfattade såväl en tillsynsskrivelse som en inspektion på plats. Bolaget hade ett frivilligt utgivningsbevis enligt yttrandefrihetsgrundlagen för verksamhet som omfattades av hemsidan. Enligt dataskyddslagen ska inte dataskyddslagstiftningen tillämpas i den mån bestämmelser i dessa lagstiftningar står i strid med tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Konsekvenserna av att personupppgiftsbehandling faller under skyddet av ett utgivningsbevis är att dataskyddslagstiftningen inte blir tillämplig. Datainspektionen konstaterade i detta fall att företaget omfattades av bestämmelser i kreditupplysningslagen och GDPR.

Behandling av brottsuppgifter


Utöver tillhandahållandet av kreditupplysningar omfattade Datainspektionens tillsynsbeslut även förekomsten av brottsuppgifter som publicerades. Artikel 10 GDPR begränsar möjligheten att behandla denna typ av personuppgifter. Brottsuppgifter får enbart behandlas under kontroll av en myndighet eller om nationell rätt tillåter det. Kreditupplysningslagen utgör en sådan nationell lagstiftning som tillåter behandling av brottsuppgifter. Sådan behandling tillåts dock bara om medgivande först inhämtats från Datainspektionen, 6 § kreditupplysningslagen. Datainspektionen ansåg att enbart det faktum att bolaget tillhandahåller information om att den eftersökte varit åtalat i en brottmålsprocess räcker för att det ska anses att bolaget behandlar brottsuppgifter. Bolaget ansågs därmed ha brustit i kravet gällande inhämtande av medgivande från Datainspektionen enligt 6 § kreditupplysningslagen.

Uppgiftsminimeringen


Datainspektionen tog även i beaktande de grundläggande principerna i artikel 5 GDPR gällande bolagets verksamhet. Enligt artikel 5.1 (c) GDPR får inte fler uppgifter än nödvändigt behandlas utifrån ändamålet med behandlingen. Datainspektionen hänvisade även till 5 § kreditupplysningslagen. I sin bedömning konstaterade Datainspektionen att bolaget hade brutit mot principen om uppgiftsminimering i artikel 6.1 (c) GDPR och 5 § kreditupplysningslagen. 

Konsekvenser av lagbrotten


Datainspektionen hade enligt artikel 58.2 GDPR befogenhet att utöva ett antal olika korrigerande åtgärder, till exempel varningar, reprimander, begränsningar av behandling eller administrativa sanktionsavgifter. Omständigheterna i detta fall ansågs vara så pass allvarliga att en administrativ sanktionsavgift bedömdes som den lämpligaste korrigerande åtgärden. Datainspektionen ansåg att en sanktionsavgift på 35 000 € var en proportionerlig beloppsnivå.

Kommentarer


Datainspektionens tillsynsbeslut utgör en viktig vägvisare gällande den grundlagsskyddade personupppgiftsbehandling som undantagits från dataskyddslagstiftningen, till exempel sådan behandling som utförs under skyddet av ett frivilligt utgivningsbevis. Tjänster såsom MrKoll eller andra liknande tjänster vars kärnverksamhet består utav att samla in och publicera information om privata personer på internet med stöd av ett sådant utgivningsbevis har sen GDPR trätt i kraft föranlett flertalet klagomål. I Datainspektionens integritetsrapport från 2019 (DI 2019:2) nämns att nästan en tredjedel av alla klagomål som myndigheten fått in fram tills publicering av rapporten riktats mot företag likt MrKoll. Den omständigheten att dessa typer av verksamhet kunnat verka utanför GDPR:s tillämpningsområde har förbryllat många.

Vill du ta del av Didrik Värmons analys i sin helhet?


Läs då mer om informationstjänsten JP ITnet.

Senast uppdaterad 7 feb 2020

Mer om IT och dataskydd
Utbildningar
  • Denna utbildning riktar sig främst till dig som som är DSO eller GDPR-samordnare. Utbildningen är i workshopformat och går på djupet inom några typiska ”problemområden” som återkommer för kommun/myndighet.

    Online 1-dagskurs Kursledare: Laura Gashi
  • Är du chef och har personalansvar eller jobbar du med HR-frågor inom offentlig sektor, och vill lära dig med om praktiskt dataskyddsarbete inom kommunledning eller förvaltning är det här en kurs för dig.

    Helsingborg 1-dagskurs Kursledare: Laura Gashi, Emma Svärd

Om JP Infonet


JP Infonet erbjuder tjänster och vägledning för dig som berörs av juridik i din yrkesroll. Vår vision är att tillgängliggöra juridiken, så att du som kund ska få all information, beslutsstöd och kompetens du behöver – på det sätt som du föredrar.

Mer om oss

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området