Sajten Mrkoll bröt mot GDPR – krävs på 35 000 euro
Sajten Mrkoll, som publicerar personuppgifter om svenskar över 16 år, krävs nu på 35 000 euro för brott mot kreditupplysningslagen och dataskyddsförordningen. Detta enligt beslut från Datainspektionen.
Via tjänsten, som har personuppgifter om cirka åtta miljoner personer, kan man bland annat ta reda på någons adress, telefonnummer, personnummer och om personen har åtalats för brott eller varit part i en rättsprocess.
Uppgifterna är offentliga handlingar. Om du inte har skyddade personuppgifter har sajten ingen skyldighet att plocka bort dig från databasen. Sajten har, likt andra katalogtjänster, utgivningsbevis (se faktaruta) vilket ger den samma grundlagsskydd som mediers nätpubliceringar, och grundlagen står över EU:s dataskyddslagstiftning GDPR.
Men under december 2018 till april 2019 publicerade sajten uppgifter om att personer saknar betalningsanmärkningar, vilket Datainspektionen räknar som kreditupplysning. Man anser att sajten då omfattas av kreditupplysningslagen och GDPR, och då inte hade tillåtelse att publicera uppgifter om lagöverträdelser.
– De halkade in i kreditupplysningslagen. Det var inte vad de tänkt och de anser inte att de sysslar med det men det tycker vi, säger Hans Kärnlöf, jurist vid Datainspektionen.
Kan fortsätta som den är nu
Sedan april 2019 publicerar Mrkoll inte längre uppgifter om betalningsanmärkningar.
– Som det ser ut i dag är det inte kreditupplysning, de kan fortsätta med den verksamhet de har nu, säger Kärnlöf.
Sajten lyder nu återigen under grundlagen och kan fortsätta publicera uppgifter om lagöverträdelser. Sedan maj 2018, när GDPR trädde i kraft, har Datainspektionen tagit emot cirka 750 klagomål mot sajter med utgivningsbevis, till exempel Eniro, Mrkoll, Ratsit, Merinfo och Lexbase. Man vill ha bort sina personuppgifter från sajterna, men sajterna har ingen skyldighet att plocka bort dem. De är grundlagsskyddade genom att de har utgivningsbevis.
Hur ser Datainspektionen på att dessa sajter får utgivningsbevis?
– Vi har många gånger gjort invändningar mot det, att det åsidosätter dataskyddsförordningen. GDPR är ju EU-gemensam för alla länder. Man kan ifrågasätta om vi lever upp till kraven i och med att jag kan köpa ett utgivningsbevis utan att behöva ta hänsyn till GDPR.
Myndigheten anser framförallt att det är integritetskränkande att uppgifter om lagöverträdelser publiceras.
– De söktjänsterna ska omfattas av GDPR och inte av grundlagen.
Företaget delar inte Datainspektionens bedömning och i en kommentar till beslutet skriver Mrkolls vd bland annat att ”Mrkoll.se redogjorde aldrig på individnivå kring huruvida en person hade en betalningsanmärkning eller inte, varför informationen var oanvändbar i ett kreditupplysningsändamål.” Man har inte bestämt sig än för om man ska överklaga beslutet eller inte.”
UTGIVNINGSBEVISMyndigheten för press, radio och tv beviljar utgivningsbevis för databaser.
Utgivningsbeviset innebär att man får samma grundlagsskydd för yttrandefrihet som medier har för sina publiceringar på nätet.
Krav som ställs är bland annat att man har en ansvarig utgivare, att databasen är tillgänglig för allmänheten och att den inte kan ändras av någon annan än redaktionen.
Myndigheten ska i sin bedömning inte ta ställning till vad som publiceras, i vilket syfte och vem som står bakom publiceringen
Källa: Myndigheten för press, radio och tv.