Datainspektionen påför sanktionsavgift mot söktjänsten MrKoll

 In Nyheter

Datainspektionen slår fast i beslut den 13 december att Nusvar AB, bolaget bakom personsöksajten MrKoll, har publicerat information om enskilda i strid med bestämmelserna i kreditupplysningslagen och dataskyddsförordningen. För överträdelserna ska Nusvar AB betala en sanktionsavgift på 35 000 euro.

Under perioden december 2018 – april 2019 var MrKoll.se en webbaserad söktjänst där användare kunde inhämta personlig och ekonomisk information om enskilda. Sajten tillhandahöll uppgifter om bland annat inkomst, betalningsanmärkningar, domstolsavgöranden, bostadvärdering och bolagsengagemang kopplade till en eftersökt person. Söktjänsten var kostnadsfri, men viss tilläggsinformation kunde beställas mot avgift. Till den senare kategorin hörde kreditupplysningsuppgifter, vilka inhämtades från ett externt bolag.

Nusvar AB har ett utgivningsbevis för MrKoll.se, varför sajten åtnjuter skydd under yttrandefrihetsgrundlagen (1991:1469). Grundlagen innehåller dock en s k delegationsbestämmelse, vilket innebär att bland annat tillhandahållandet av kreditupplysningar genom skyddade medier får regleras genom vanlig lag.

Efter att Datainspektionen mottagit många klagomål rörande MrKolls verksamhet inleddes ett tillsynsärende. En tid efter att tillsynen inletts förändrades det innehåll som hölls tillgängligt på sajten vid sökning på en viss person. Bland annat upphörde sajten att lämna uppgifter om betalningsanmärkningar. Förändringarna föranledde inte Datainspektionen att avbryta tillsynen.

I sitt beslut bedömer Datainspektionen att MrKoll i praktiken fungerat som en kreditupplysningsverksamhet. Ägaren av sajten, Nusvar AB, har därför haft att följa reglerna i kreditupplysningslagen (1973:1173) och dataskyddsförordningen ((EU) 2016/679).

Att det lämnats information på sajten om att en eftersökt person förekommit i en brottmålsprocess står, enligt Datainspektionen, i strid mot kreditupplysningslagens uttryckliga förbud mot uppgiftslämnande om lagöverträdelser. En sådan behandling anses även utgöra en överträdelse av artikel 10 i dataskyddsförordningen om behandling av uppgifter om brottmålsdomar och lagöverträdelser.

Vidare framhåller Datainspektionen att kreditupplysningslagen ställer krav på att uppgiftslämnande i samband med kreditupplysning ska vara ändamålsenlig och ske utan otillbörligt intrång i den personliga integriteten. I det hänseendet finner myndigheten att en del av uppgifterna på sajten inte har varit relevanta eller adekvata för ändamålet, såsom uppgifter om fordonsinnehav, bostad, stjärntecken och telefonnummer. Behandlingen i denna del utgör också en överträdelse av artikel 5 i dataskyddsförordningen om uppgiftsminimering.

Därtill finner Datainspektionen att Nusvar AB inte gjort en individuell behovsprövning – s k legitimt behov – enligt kreditupplysningslagen i samband med att kreditupplysningar lämnats ut och inte heller upplyst den eftersökta personen i efterhand om att sådana uppgifter lämnats ut.

Med hänsyn till verksamhetens omfattning och överträdelsernas allvar finner Datainspektionen att Nusvar AB ska åläggas en administrativ sanktionsavgift enligt dataskyddsförordnigen som står i proportion till bolagets omsättning. Sanktionsavgiften bestäms till 35 000 euro.

Datainspektionens beslut kan överklagas till förvaltningsrätten.

(Datainspektionens beslut den 13 december 2019, dnr DI-2018-22737)