Mrkoll är en webbplats av kommersiell natur med intäkter främst från annonsering. På webbplatsen tillhandahålls en tjänst som innebär att personuppgifter tillgängliggörs och publiceras om alla svenska personer som är över 16 år, vilket såldes avser personuppgifter om cirka 8 miljoner personer. Det är uppgifter såsom exempelvis adresser, telefonnummer, personnummer, information om person varit part i en rättsprocess, fordonsinnehav, betalningsanmärkningar och boendesituation.
Webbplatsbesökarna har även kunnat köpa en kreditupplysning för mer information om till exempel inkomst, näringsverksamhet och betalningsanmärkningar. Därtill har platsbesökarna även erbjudits tjänsten att betala för att ta del av eventuella domar som den eftersökta personen förekommer i.
Efter att Datainspektionen fått in flertalet klagomål från allmänheten om Mrkolls publicering av personuppgifter inleddes tillsyn mot bolaget i december 2018. Alla uppgifter på webbplatsen är dock inte otillåtet att publicera då det är möjligt att ansöka om ett frivilligt utgivningsbevis, vilket innebär att yttrandefrihetsgrundlagens regler är tillämpliga för information som tillgängliggörs för allmänheten. Det är ett grundlagsskydd och innebär att det är tillåtet att publicera offentliga uppgifter, bara det inte är en överträdelse av yttrandefrihetsgrundlagen. Detta medför även att dataskyddsförordningen i stora delar inte omfattar sådan verksamheten.
Webbplatser som Eniro, Ratsit och Hitta har ansökt om sådant utgivningsbevis och kan därför publicera personuppgifter såsom adresser och telefonnummer på sina webbplatser utan att överträda dataskyddsförordningen.
Mrkoll har ett frivilligt utgivningsbevis och det är därför inte namn- och adressuppgifter som Datainspektionen har pekat på i sitt beslut, utan anledningen till sanktionsavgiften är främst den kreditupplysningsverksamhet som Datainspektionen anser att Mrkoll bedrivit. Utredningen visar att verksamheten omfattas av kreditupplysningslagen vad gäller den information som har tillgängliggjorts avseende personers betalningsanmärkningar.
Enligt kreditupplysningslagen och dataskyddsförordningen är det inte tillåtet att behandla uppgifter om lagöverträdelser i samband med kreditupplysningsverksamhet utan tillstånd från Datainspektionen och något sådant tillstånd har Mrkoll inte haft. Därtill framhålls att det inte får ske behandling av personuppgifter som inte är relevanta för kreditupplysningen, samt att endast de uppgifter som är nödvändiga ska behandlas i samband med kreditupplysningen.
Uppgifterna om fordonsinnehav, telefonnummer, stjärntecken, uppskattat värde av fastighet, grannars namn och ålder anses inte är nödvändiga för att bedöma en persons kreditvärdighet. Det framgår även att bolaget underlåtit att skicka meddelanden till personer vars information om kreditvärdighet har tillgängliggjorts för annan.
Vid bestämmandet av sanktionsbeloppets storlek har Datainspektionen bland annat tagit hänsyn till att det är många personer som berörts av publiceringen, att uppgifterna haft stor spridning, men också att bolaget är nystartat, varav årsredovisningen för 2018 endast visar en av dessa månader. Sanktionsbeloppet har således satts i relation till detta.
Omsättningen för december 2018 har räknats om till ett helårs ersättning motsvarande 4,8 miljoner kronor och efter en samlad bedömning bestämdes avgiften till cirka 368 000 kronor.
Sammantaget är det värdefullt att man i sin organisation värderar nödvändigheten av de uppgifter som man samlar in och tillhandahåller. Det är även av vikt att man aktivt arbetar med sin hantering och håller sig uppdaterad.
Tidigare publicerat i Affärsstaden 1 – 2020
[one_half last=”no”]
Jessica Tornberg
Biträdande jurist
Maminza Advokatbyrå AB
[/one_half]
[one_half last=”yes”]
[/one_half]