Dömde kammarrätten rätt i MedHelp-målet?
I en intressant dom från Kammarrätten i Stockholm får bolaget MedHelp en sanktionsavgift på 11,3 miljoner kronor på grund av GDPR-överträdelser avseende artiklar om personuppgiftsansvar, säkerhet och information. I analysen går vår expert Monika Wendleby igenom avgörandet utifrån olika EU-rättskällor, bland annat färska domar från EU-domstolen om att det krävs uppsåt eller oaktsamhet för att en sanktionsavgift ska kunna dömas ut. Eftersom kammarrätten noterat att det funnits oklara rättsfrågor är det inte självklart att uppsåt eller oaktsamhet förelegat.
SVENSKA DOMSTOLAR OCH EU-RÄTTEN
Det är intressant att det börjar komma konkreta svenska avgöranden rörande Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR). En av dessa är en dom från Kammarrätten i Stockholm rörande efterspelet av en uppmärksammad incident (dom den 12 februari 2024 i mål nr 4058-22). Domen innehåller flera intressanta frågeställningar där klargöranden är välkomna.
Under 2023 avgjorde EU-domstolen många mål, vilket innebär att det finns mycket ny praxis. Enligt min mening är det viktigt att svenska domstolar tydligt redovisar hur deras bedömningar förhåller sig till EU-domstolens avgöranden.
Det jag saknar i kammarrättens dom, och i många svenska avgöranden, är en djupare analys utifrån olika EU-rättskällor. I ett läge där det kommer fler och fler sådana är det extra viktigt att svenska domstolar tydligt refererar till dem. Eftersom kammarrättens dom är omtalad analyserar jag den nedan utifrån sådana rättskällor. Enligt min mening finns det här ett förbättringsbehov både av pedagogiska skäl och utifrån risken att domarna blir fel i sak.
BAKGRUND TILL FRÅGORNA I KAMMARRÄTTSDOMEN
I februari 2019 började media skriva om en personuppgiftsincident rörande samtal inspelade när människor ringt rådgivningsnumret 1177. Ett mycket stort antal samtal hade varit tillgängliga på internet på grund av en säkerhetsmiss. Det inträffade ledde relativt snart till att incidenter anmäldes av ett antal aktörer, både regioner och företag, som på olika sätt varit inblandade i hanteringen. Anmälningarna ledde till en tillsyn, vilken så småningom ledde fram till att Integritetsskyddsmyndigheten (IMY) fattade flera beslut.
I den här analysen kommer jag fördjupa mig i den sanktion som IMY ålade en av de inblandade, företaget MedHelp Sjukvårdsrådgivning AB (MedHelp), och de efterföljande bedömningarna i de domstolsprocesser som följde.
INTRESSANTA DOMAR EFTER ATT MEDHELP ÖVERKLAGAT
I IMY:s beslut påfördes MedHelp en sanktionsavgift på 12 miljoner kronor baserat på följande punkter:
a) IMY fann att MedHelp under tiden den 25 maj 2018 till den 31 augusti 2019 behandlat personuppgifter i strid med artiklarna 5.1 a, 6 och 9.1 GDPR genom att lämna ut personuppgifter till det thailändska bolaget MediCall Sweden Co. Ltd (MediCall) och låta MediCall behandla personuppgifter för MedHelps räkning.
b) Vidare hade MedHelp, enligt IMY:s beslut, under okänd tid exponerat personuppgifter på internet utan skydd för obehörigt röjande eller obehörig åtkomst i strid med artiklarna 5.1 f och 32.1 GDPR.
c) Dessutom hade MedHelp enligt beslutet, inte i tillräcklig utsträckning informerat vårdsökande om bolagets personuppgiftsbehandling, vilket skett i strid med artiklarna 5.1 a och 13 GDPR.
d) Ytterligare en punkt rörde bristen på säkerhetskopiering, denna punkt föll bort senare så jag fördjupar mig inte i den mer här.
MedHelp överklagade IMY:s beslut till Förvaltningsrätten i Stockholm, som i dom den 10 juni 2022 (mål nr 21287-21), delvis biföll talan.
Förvaltningsrätten undanröjde även IMY:s beslut rörande punkt a som återförvisades till IMY. Sanktionsavgiften sattes ner till 8,8 miljoner kronor.
Förvaltningsrättens dom överklagades både av IMY och MedHelp till Kammarrätten i Stockholm, som i den dom jag nu analyserar i stort återställer det beslut IMY fattat med undantag för punkt d (se listan ovan). Det kan noteras att punkt d inte överklagades av IMY eftersom IMY inte längre ansåg det fanns skäl att påföra sanktion i den delen. Sanktionsavgiften fastställs av det skälet till 11,3 miljoner kronor av kammarrätten.
Kammarrätten prövade även om det var rätt att förvaltningsrätten återförvisat en fråga till IMY, vilket jag återkommer till i nästa avsnitt.
FELAKTIG ÅTERFÖRVISNING
En intressant fråga har i båda instanserna varit att MedHelp låtit det thailändsbaserade bolaget Medihelp få del av personuppgifter. Förvaltningsrätten fann i sin dom att det faktum att MediCall befann sig i Thailand väckte frågan om MedHelps överföring av personuppgifter till MediCall uppfyllde kraven i kapitel V GDPR om överföring av personuppgifter till tredjeland. Eftersom denna fråga inte hade prövats av IMY återförvisades målet till myndigheten för fortsatt handläggning.
Förvaltningsrätten noterade i sin dom att IMY verkade ha missat en relevant aspekt, nämligen om det förelåg en tredjelandsöverföring (vilket det måste ha gjort enligt min mening). Denna fråga hade dock inte omfattats av IMY:s tillsyn.
I kammarrätten prövades om återförvisningen var korrekt. Kammarrätten uttalade i denna del följande:
”Enligt artikel 52.1 i dataskyddsförordningen ska varje tillsynsmyndighet vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med förordningen. Att tillsynsmyndigheten enligt dataskyddsförordningen, precis som enligt svensk tillsynstradition, har ett tydligt utrymme att själv avgöra vilka tillsynsärenden som ska drivas och på vilket sätt det ska ske framhölls i förarbetena till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (prop. 2017/18:105 s. 164 och 165).”
Enligt kammarrätten innebär principen om reformatio in pejus att enskild, som påverkats av ett tillsynsbeslut på ett inte obetydligt sätt, inte ska riskera att hamna i sämre läge genom att överklaga sådant beslut (HFD 2013 ref. 1). För det fall en allmän förvaltningsdomstol anser att en tillsynsmyndighet saknat fog för sitt beslut – oavsett om det beror på att domstolen bedömer att annan aktör ansvarar för viss överträdelse eller om någon överträdelse inte bedöms föreligga – ska beslutet upphävas eller undanröjas. Det saknas däremot utrymme för en förvaltningsdomstol att samtidigt återförvisa ärendet för utredning av en potentiell överträdelse som tidigare inte varit föremål för prövning av tillsynsmyndigheten och resulterat i ett överklagbart beslut. Detta innebär att förvaltningsrätten inte har haft möjlighet att visa målet åter till IMY för prövning av om MedHelp uppfyllt kraven rörande överföring till tredje land i dataskyddsförordningen eftersom denna fråga inte har prövats tidigare av IMY. Förvaltningsrättens beslut om återförvisning för fortsatt handläggning ska därför undanröjas.
Kammarrättens ställningstagande rörande återförvisningen känns klart rimligt utifrån svensk rätt, då det är nationella principer för processrätten som ska gälla, under förutsättning att de EU-rättsliga likvärdighets- och effektivitetsprinciperna har iakttagits (EU-domstolen 2023-12-05, C-683/21, punkt 66), är det bra att kammarrätten kommer med klargöranden.
EU-DOMSTOLENS BEDÖMNINGAR PÅVERKAR PROCESSRAMEN
Då det är viktigt att förstå vilka processrättsliga ramar som finns vill jag passa på att lyfta några andra aspekter, bland annat att EU-domstolen har kommit med flera intressanta avgöranden som kan kopplas till förfarandet hos tillsynsmyndigheter och domstolar.
EU-domstolen har slagit fast att tillsynsmyndigheterna kan välja vilken åtgärd enligt artikel 58.2 GDPR som ska vidtas (EU-domstolen 2023-12-07, förenade målen C-26/22 och C-64/22, SCHUFA Holding). Detta påverkar även domstolarnas prövningsram och därigenom vilken sak domstolen kan pröva. EU-domstolen anger följande (punkt 69 i domen):
”Även om den nationella domstol som ska pröva en talan enligt artikel 78.1 i dataskyddsförordningen… måste ha fullständig behörighet att pröva alla fakta och rättsliga frågor som rör den aktuella tvisten, innebär inte säkerställandet av ett effektivt domstolsskydd att den är behörig att ersätta myndighetens bedömning av valet av lämpliga och nödvändiga korrigerande åtgärder med sin egen bedömning, utan det innebär en skyldighet för nämnda domstol att pröva huruvida tillsynsmyndigheten har iakttagit gränserna för sitt utrymme för skönsmässig bedömning.”
EU-domstolens avgörande går på så sätt längre än vad kammarrätten gör i MedHelp-målet. I praktiken innebär det att saken i målet begränsas till den åtgärd, till exempel sanktionsavgift, som IMY angett och innebär hinder att ersätta den med till exempel en reprimand.
PERSONUPPGIFTSANSVARET
En viktig fråga i MedHelp-fallet har varit om MedHelp kan anses vara personuppgiftsansvarig (se punkt a i avsnittet Intressanta domar efter att MedHelp överklagat ovan).
Förvaltningsrätten upphävde IMY:s beslut i den delen och baserade sin bedömning på att både MediCall och MedHelp fick anses vara vårdgivare med personuppgiftsansvar samt att även MediCalls hälso- och sjukvårdspersonal omfattas av tystnadsplikten i 6 kap. patientsäkerhetslagen (2010:659). Detta fick till följd att MedHelp inte kunde lastas för det som låg inom MediCalls personuppgiftsansvar.
Kammarrätten konstaterar i den aktuella domen att vårdgivare enligt svensk rätt är personuppgiftsansvariga för den behandling av personuppgifter som vårdgivaren utför enligt 2 kap. 6 § patientdatalagen (2008:355). För att bedöma om MediCall, ett thailändskt baserat bolag, kunde anses vara personuppgiftsansvarig behöver även regleringen i hälso- och sjukvårdslagen, HSL, beaktas. Utifrån detta gör kammarrätten följande bedömning:
”Enligt kammarrätten innebär det förhållandet att ett bolag i tredjeland ger sjukvårdsupplysning på svenska med inriktning mot och till personer i Sverige inte att bolaget kan anses bedriva hälso- och sjukvårdsverksamhet som omfattas av den svenska hälso- och sjukvårdslagstiftningen. MediCall är alltså inte vårdgivare enligt 2 kap. 3 § HSL. Det förhållandet att det varit yrkesutövare med svensk sjuksköterskelegitimation som arbetat i det thailändska bolaget medför ingen annan bedömning. MediCall omfattas därmed inte av den svenska sjukvårdslagstiftningen.”
Kammarrättens slutsats blir att MediCall inte kunde anses vara personuppgiftsansvarig för behandlingen, vilket innebär att flera överträdelser av dataskyddsförordningen skett av MedHelp.
”Behandlingen att genom vidarekoppling av samtal och tillhandahållande på annat sätt ge MediCall åtkomst till personuppgifter, till stor del av känslig karaktär, har …saknat rättsligt stöd i svensk rätt på det sätt som krävs enligt dataskyddsförordningen. Eftersom kammarrätten bedömt att MediCall inte omfattats av svensk sjukvårdslagstiftning har känsliga personuppgifter även behandlats i strid med artikel 9.1 i dataskyddsförordningen, utan att det funnits en lagreglerad tystnadsplikt enligt kraven i artikel 9.3. Att låta en sådan vårdaktör, tredje part i tredjeland, utföra en del av uppdraget är en så allvarlig överträdelse av dataskyddsförordningen att även den grundläggande principen om laglighet, korrekthet och öppenhet får anses överträdd (artikel 5.1 a i dataskyddsförordningen).”
BEDÖMNINGARNA OM PERSONUPPGIFTSANSVARET
Kammarrättens slutsatser kring personuppgiftsansvaret är enligt min mening rimliga, även om kammarrätten inte redovisat annat än svenska rättskällor som stöd för sin slutsats. De slutsatser som domstolen drar ligger i linje med Europeiska dataskyddsstyrelsens (EDPB) Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (version 2.0, antagna den 7 juli 2021), se punkterna 12–13, 20, 22–24). Då riktlinjerna har antagits med stöd av artikel 70.1 e GDPR måste de anses vara en intressant rättskälla att beakta när rättsfrågor rörande personuppgiftsansvar avgörs. Det kan även noteras att förvaltningsrätten åberopat riktlinjerna.
En intressant fråga som inte tydligt klargörs i domen är om MediCall skulle kunna ha status som personuppgiftsbiträde. Min tolkning av domskälen är att kammarrätten funnit att ett överlämnande till en utländsk aktör inte är lagligen möjlig enligt svensk rätt, varför frågan om personuppgiftsbiträde inte heller kan blir aktuell. Då domstolen inte resonerar utifrån det begreppet är det svårt att säga om den tolkningen är riktig. I sak gör det möjligen inte så stor skillnad eftersom en personuppgiftsansvarig har ett långtgående ansvar för det ett biträde gör.
Ytterligare en fråga rör nivån på sanktionsavgiften, i detta fall 3,3 miljoner kr. Inte heller här redovisas några EU-rättsliga rättskällor som EDPB:s Riktlinjer 04/2022 om beräkning av administrativa sanktionsavgifter enligt den allmänna dataskyddsförordningen (version 2.1, antagna den 24 maj 2023). Man har inte heller beaktat de krav som EU-domstolen nyligen klargjort (se nästa avsnitt).
EU-DOMSTOLENS SYN PÅ VAD SOM SKA BEAKTAS NÄR SANKTIONSAVGIFTER SKA BEDÖMAS
EU-domstolen klargör i det tidigare nämnda rättsfallet C-683/21 att tillsynsmyndigheter som IMY måste följa de materiella krav som GDPR uppställer när de prövar om sanktionsavgift ska utgå (punkt 67):
”Det finns… ingenting i ordalydelsen av artikel 83.1–83.6 i dataskyddsförordningen som talar för att unionslagstiftaren haft för avsikt att ge medlemsstaterna ett handlingsutrymme vad gäller de materiella krav som en tillsynsmyndighet ska iaktta när den beslutar att påföra en personuppgiftsansvarig administrativa sanktionsavgifter för någon av de överträdelser som avses i punkterna 4–6 i artikel 83.”
Som tidigare nämnts i avsnittet EU-domstolens bedömningar som påverkar processramen är domstolarna bundna av den åtgärd som tillsynsmyndigheten. Prövningen ska avse om tillsynsmyndigheten tillämpat åtgärden på ett korrekt sätt. I detta är kriterierna i artikel 83 GDPR viktiga.
Ett liknande resonemang finns även i en dom samma dag (EU-domstolen 2023-12-05, C-807/21, Deutsche Wohnen). I båda domarna klargörs dessutom att sanktionsavgift bara kan utgå om det förelegat uppsåt eller oaktsamhet (ett kriterium i artikel 83).
Det är intressant att notera att det i kammarrättens dom i MedHelp-målet saknas ett tydligt konstaterande om det förelegat uppsåt/oaktsamhet när den bedömer sanktionsnivåns rimlighet vilket alltså inte är korrekt enligt EU-domstolen. Här kan till exempel noteras att kammarrätten vägt in att rättsfrågan kopplad till personuppgiftsansvar, punkten a, varit oklar i svensk rätt, vilket hade gjort ett resonemang kring uppsåt/oaktsamhet extra intressant. Om frågan är så pass oklar att olika domstolsinstanser gör olika bedömningar: på vilket sätt har MedHelp varit oaktsamma? Uppsåt lär inte kunna uppstå. Här finns också en intressant fråga kopplad till artikel 5.2 GDPR om ansvarsskyldighet: blir det en skillnad om man baserat sitt agerande i en oklar fråga på en rättsutredning som man satt på pränt inom ramen för till exempel en konsekvensbedömning? Det finns ju tydliga krav i GDPR att dokumentera hur man tänkt.
Inte heller har kammarrätten tydligt gått igenom vilka andra kriterier i artikel 83.1–83.6 GDPR som lett till att man landat i den sanktionsavgift som beslutats.
EXPONERING AV PERSONUPPGIFTER UTAN SKYDD FÖR OBEHÖRIG ÅTKOMST
En annan intressant fråga (se punkt b i avsnittet Intressanta domar efter att MedHelp överklagat ovan) för alla instanser är bedömningen av det förfarande som lett till incidenten, nämligen hanteringen av lagringsfilerna med inspelade samtal till 1177 som personal hos MediCall besvarat.
När kammarrätten bedömer punkt b får det en avgörande betydelse att det är MedHelp och inte MediCall som anses personuppgiftsansvarig för hela hanteringen. Genom detta hade MedHelp det yttersta ansvaret för att upprätthålla en lämplig säkerhetsnivå för de personuppgifter som behandlades (oklart här om MedHelp hade det ansvaret eftersom MedHelp var biträde eller för att det var olagligt att flytta uppgifterna). På grund av detta finner kammarrätten att MedHelp är ansvarig för en överträdelse av artikel 32 GDPR och att behandlingen har skett i strid med principen om integritet och konfidentialitet i artikel 5.1 f samma förordning.
Bedömningen i sak utifrån artikel 32 GDPR är enligt min mening rimlig då det funnits allvarliga brister i säkerheten kring lagring av integritetskänsliga personuppgifter. Även i denna del saknas referenser till EU-rättskällor. Förutom de jag redan nämnt tidigare finns här EDPB:s Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard (version 2.0, antagna den 20 oktober 2020).
Det kan dock noteras att kammarrätten landar i samma nivå på sanktionsavgift som förvaltningsrätten utan att klargöra sin syn på om förfarandet varit uppsåtligt eller oaktsamt och utan att klargöra vilka kriterier i artikel 83 GDPR som beaktats.
INFORMATION TILL DE REGISTRERADE
I IMY:s beslut (se punkt c i avsnittet Intressanta domar efter att MedHelp överklagat ovan) var även frågan om GDPR-information central. I denna del är kammarrätten helt överens med förvaltningsrätten (både om motivering och sanktionsavgift). I förvaltningsrättens dom konstaterades att informationen till enskilda har varit mycket knapphändig och allmänt hållen i talsvaret och på 1177 Vårdguidens hemsida. Det noterades även att MedHelp inte heller hade gett information till de vårdsökande inför eller under samtalen.
Slutsatserna i båda domarna är korrekta när det gäller rätten till information. Den som har ett personuppgiftsansvar har ett långtgående ansvar att ge GPPR-information, vilket även påverkar bedömningen av om öppenhetsprincipen iakttagits, se Artikel 29-arbetsgruppen Riktlinjer om öppenhet enligt förordning (EU) 2016/679, WP 260 (antagna den 29 november 2017, senast granskade och antagna den 11 april 2018) som EDPB antagit som sina egna. I den här delen har inte heller den oklara rättsfrågan rörande MediCalls status någon betydelse eftersom MedHelp tydligt haft ett eget personuppgiftsansvar i andra delar.
SAMMANFATTANDE SLUTSATSER
Kammarrättens dom är intressant. Även om det saknas referens till EU-rättskällor är avgörandena i materiellt hänseende i de flesta avseenden riktiga. Att utgå från vem som har fått befogenhet enligt lagstiftning är ett korrekt sätt att avgränsa personuppgiftsansvar. Att det ställs stora krav på säkerhet enligt artikel 32 GDPR vid integritetskänslig behandling är också självklart liksom kraven på att man måste ge korrekt och tydlig GDPR-information.
Kammarrättens dom har inte vunnit laga kraft (analysen är skriven den 21 februari 2024). Om den skulle överklagas finns det enligt min mening två skäl att ge prövningstillstånd.
- Frågan om hur man ska härleda personuppgiftsansvaret för sjukvård innebär en komplex bedömning av tre olika lagar. Även om kammarrättens resonemang känns övertygande är det rimligt att frågan prövas av Högsta förvaltningsdomstolen.
- Frågan om sanktionsavgift kan utdömas när det finns en oklar rättsfråga. Vad krävs för att man i en sådan situation ska kunna fastslå att det förelegat åtminstone oaktsamhet. Eftersom begreppet ”oaktsamhet” är EU-rättsligt och har kopplingar till principen om ansvarsskyldighet kan en fråga till EU-domstolen behöva ställas.
Analys av Kammarrätten i Stockholm 2024-02-12, mål nr 4058-22.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 8 apr 2024
Jurist, managementkonsult och författare av GDPR-böcker