Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

Förbundets säkerhetsbrister orsakade dem tre miljoner i sanktionsavgift

dataskydd-Bolagets-sakerhetsbrister-orsakade-dem-tre-miljoner-i-sanktionsavgift-huvudbild.jpg

Ett förbund har brutit mot säkerhetsskyddslagen och hotat Sveriges säkerhet. Trots verksamhetens viktiga roll i samhället, ifrågasätter kammarrätten allvaret i överträdelserna. Även om förbundet agerat grovs oaktsamt bedömer kammarrätten att sårbarheten inte var betydande, vilket resulterar i en minskad sanktionsavgift. Det är en avvikelse från tidigare instansers bedömning.

Bakgrund

Ett förbund som bedrev dricksvattenförsörjning i fem kommuner i Skåne, åsidosatte flera skyldigheter som följer av säkerhetsskyddslagen. Förbundets verksamhet har central betydelse för Sveriges säkerhet och sårbarhet och ett sådant åsidosättande kan leda till stor skada för samhället. Förbundet försökte begränsa konsekvenserna av överträdelserna genom att kontakta säkerhetspolisen och samarbeta med myndigheter för att hantera situationen. Kammarrätten gjorde en annan bedömning än både länsstyrelsen och förvaltningsrätten. Även om företagets överträdelser resulterade i en viss sårbarhet för Sveriges säkerhet, ansåg kammarrätten att denna sårbarhet inte kunde klassificeras som betydande. Som en konsekvens av detta beslutade kammarrätten att minska sanktionsavgiften för förbundets överträdelser. 

Gällande rätt

Kammarrätten prövar först om det är möjligt att minska sanktionsavgiftens storlek i enlighet med 7 kap. 5 § säkerhetsskyddslagen (2018:585). För att kunna bedöma sanktionsavgiftens storlek och värdera om det är möjligt att reducera storleken tar man hänsyn till omständigheterna i 7 kap. 3 § samma lag, och väger in eventuell vinst som förbundet gjort till följd av överträdelsen. De omständigheter som nämns i 7 kap. 3 § är, vad för skada eller sårbarhet överträdelsen har medfört för Sverige, om förbundet har haft uppsåt eller om överträdelsen är ett resultat av oaktsamhet. Man tar även hänsyn till om vad förbundet har gjort för att överträdelsen ska upphöra eller begränsas. Slutligen tas hänsyn till om förbundet tidigare begått överträdelser. Det finns andra faktorer som kan vara aktuella vid bedömningen av sanktionsavgiftens storlek. I förarbetena till säkerhetsskyddslagen anges det att särskild vikt bör fästas vid överträdelsens varaktighet och hur stor skadan är. Ju större skada eller sårbarhet som Sverige drabbas av, desto mindre blir möjligheten att fastställa en lägre avgift (prop. 2020/21:194 s. 105–106 och 139–140). Enligt 7 kap. 6 § säkerhetsskyddslagen är det möjligt att helt eller delvis slippa betala sanktionsavgiften om överträdelsen bedöms som obetydlig eller förlåtlig. 

Kammarrättens bedömning

Sårbarhet och skada för Sveriges säkerhet till följd av överträdelserna 

Kammarrätten inleder med att pröva om förbundets åsidosättande har någon betydelse för sårbarheten för Sveriges säkerhet. Flertal anställda och personal från leverantörer har kunnat ta del av säkerhetsklassade uppgifter samtidigt som förbundet har brustit i att följa flera säkerhetsregler enligt lag. I utredningen har det framkommit att dessa personer inte har hanterat information som skulle motivera högre säkerhetsklass än 3. Det är också viktigt att notera att tiden för överträdelserna var relativt kort. Därför bedömer kammarrätten att det funnits viss sårbarhet för Sveriges säkerhet till följd av förbundets överträdelse men att sårbarheten inte är betydande, vilket skiljer sig från länsstyrelsens och förvaltningsrättens bedömning. Kammarrätten anser också att förbundett inte har agerat med uppsåt men att flera viktiga regler enligt säkerhetsskyddslagen inte har följts och att ledningen inte har agerat tillräckligt aktivt för att rätta till detta. Detta bedöms som grovt oaktsamt.

Vad har förbundet gjort för att begränsa effekten av överträdelserna? 

Kammarrätten tog hänsyn till att de anställda hos förbundet har kontaktat Säkerhetspolisen för att få klarhet kring säkerhetsskyddsavtalet och att förbundet har samarbetat med myndigheter, genom att rapportera överträdelserna och verksamheten som sådan. Det har inte heller framkommit att företaget har gynnats ekonomiskt av överträdelserna. 

Med tanke på förbundets centrala roll för Sveriges säkerhet och det grovt oaktsamma åsidosättandet av flera viktiga krav som följer av säkerhetsskyddslagen ska förbundet betala en hög sanktionsavgift. Däremot drog kammarrätten slutsatsen att överträdelsen inte har en betydande inverkan på Sveriges säkerhet, att förbundet inte agerat med uppsåt och att förbundet aktivt försökt begränsa överträdelsens påverkan. Med dessa faktorer i åtanke bedöms överträdelsen som mindre allvarlig och sanktionsavgiftens belopp sänks.

Av Ihssan Alqabarah, redaktör och jurist på JP Infonet.
Ursprungligen publicerad i JP ITnet.  

Referat av Kammarrätten Kammarrätten i Stockholm 2023-05-31 mål nr 7209-22.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 25 sep 2023

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

Kommissionen har antagit de första genomförandebestämmelserna om cybersäkerhet för kritiska entiteter och nätverk enligt direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet).

5 nov 2024

I denna analys går vår expert, Didrik Värmon, igenom vad regelverket innehåller och analyserar dess effekter för EU:s finanssektor.    

5 nov 2024