Noyb utmanar IMY:s handläggning
Trots att Högsta förvaltningsdomstolen klargjort att registrerade ska ha klagorätt har Integritetsskyddsmyndigheten fortsatt att inte pröva klagomål utan har istället skickat oförpliktande brev till den som berörs av klagomålet. Hanteringen har i ett fall godkänts av Förvaltningsrätten i Stockholm, vilket fått noyb, en känd ideell organisation som verkar för ett starkare dataskydd, att engagera sig i överklagandet. Vår expert Monika Wendleby, f.d. kammarrättsråd och rådman, analyserar avgörandet, som lär strida både mot EU-domstolens domar och förvaltningslagen.
Bakgrund
Den 17 november 2023 satte Högsta förvaltningsdomstolen (HFD) äntligen ner foten rörande registrerades rätt att överklaga Integritetsskyddsmyndighetens (IMY) beslut (se mål nr 3691-22 och 6193-22 (HFD 2023 ref. 54 I och II). Avgörandena kom efter att förvaltningsdomstolarna under många år godtagit IMY:s hantering att inte pröva klagomål i sak utan endast skicka ut informationsbrev till den organisation klagomålet riktades mot. Jag har beskrivit HFD:s avgöranden i en tidigare analys.
Efter HFD:s domar var min bedömning att IMY skulle förändra sin hantering rörande klagomål. Det förfarande som myndigheten använde sig av hade ju prövats av HFD och bedömts inte hålla. För mig var det självklart att det inte räcker att kunna överklaga om underinstansen inte avgjort frågan i sak. Relativt snart fick jag dock höra att registrerades klagomål fortsatt hanterades enligt brev-metoden. Myndigheten valde även fortsättningsvis att inte pröva om det förelegat någon felaktighet i tillämpningen av dataskyddsförordningen (EU) 2016/679 (GDPR) och i stället skicka brev med information om hur GDPR fungerade till den klagomålet avsåg. Enligt min mening är detta en tämligen konstig hantering, dels eftersom HFD satt ner foten tydligt, dels eftersom förfarandet helt saknar stöd i förvaltningslagen (2017:900).
Till min förvåning har hanteringen nu upprätthållits av Förvaltningsrätten i Stockholm. I en dom den 17 juni 2024 (mål nr 6034-24) godkände domstolen IMY:s fortsatta hantering. Detta har lett till att noyb bistått klaganden JS med ett överklagande, för att, som organisationen uttrycker det i sitt pressmeddelande, se till att IMY ”finally complies with its obligations”.
Frågan i målet
JS lämnade in ett klagomål till region Uppsala och gjorde gällande att regionen spelade in hans samtal utan att det fanns en rättslig grund. IMY kommunicerade inte klagomålet till regionen utan valde att skicka ett informationsmeddelande till regionen för att den själv skulle få möjlighet att rätta till eventuella brister. I IMY:s avgörande är det tydligt att ingen prövning i sak har gjorts.
När JS överklagar beslutet anför han bland annat:
”Tillsynsmyndigheten ska med vederbörlig omsorg utreda klagomål från en enskild som anser att behandlingen av personuppgifter som rör honom eller henne utgör ett åsidosättande av dataskyddsförordningen. Tillsynsmyndigheten har också en skyldighet att vidta effektiva åtgärder för att stävja regelbrott. Det stämmer därmed inte att IMY har samma utrymme som övriga svenska tillsynsmyndigheter att avgöra vilka tillsynsärenden som ska drivas och hur det ska ske.”
JS framförde även att informationsbrev inte är ”en korrigerande åtgärd enligt artikel 58 i dataskyddsförordningen och kan därför inte [kan] utgöra en effektiv åtgärd inom IMY:s skönsmässiga spann vad gäller lämpliga åtgärder”.
IMY:s inställning i målet är enligt förvaltningsrättens dom följande:
”Syftet med att skicka ett informationsbrev är att ge den som målet riktar sig mot en möjlighet att själv se över sin behandling av personuppgifter och rätta eventuella brister. För det fall informationsbrevet inte får avsedd effekt står det klaganden fritt att i ett senare skede inkomma med ett förnyat klagomål. IMY har bedömt att denna åtgärd varit tillräcklig och avslutat ärendet”.
Förvaltningsrättens avgörande
En central fråga i målet är hur EU-domstolens domar i mål C-311/18, Facebook Ireland mot Schrems (oftast kallad Schrems II, vilket även jag gör nedan) och de förenade målen nr C-26/22 och C-64/22, UF och AB mot Land Hessen och SCHUFA Holding AG (fortsättningsvis SCHUFA) ska tolkas. Förvaltningsrätten noterar att EU-domstolen i de målen har konstaterat att tillsynsmyndigheten med vederbörlig omsorg ska utreda klagomål och välja en nödvändig och lämplig åtgärd enligt artikel 58.2 GDPR, samt tillse att förordningen iakttas fullt ut samt att tillsynsmyndigheten efter eget skön kan välja korrigerande åtgärder.
Utöver rättsfallen noterar förvaltningsrätten vissa förarbetsuttalanden enligt vilka IMY har ett tydligt utrymme att själv välja vilka tillsynsärenden myndigheten ska hantera (prop. 2017/18:105 s. 164–165).
Förvaltningsrättens slutsats blir:
”Förvaltningsrätten konstaterar visserligen, i likhet med [JS], att mål nr C-26/22 respektive C-64/22 … främst avser korrigerande åtgärder enligt dataskyddsförordningen. Förvaltningsrätten anser dock att EU-domstolens uttalanden i målen är relevanta även för den nu aktuella prövningen. Enligt förvaltningsrätten ger därmed ovan redovisade bestämmelser, skäl och uttalanden sammantagna stöd för att IMY i egenskap av tillsynsmyndighet har ett betydande skönsmässigt utrymme att bedöma i vilken utsträckning ett klagomål ska utredas och vilka utredningsåtgärder som är lämpliga, nödvändiga och proportionerliga i det enskilda fallet. Även med beaktande av vad [JS] fört fram i sitt överklagande anser därför förvaltningsrätten att IMY har möjlighet att besluta att inte utreda ett klagomål vidare och avsluta ett ärende genom att skicka ett informationsbrev till den personuppgiftsansvarige. Detta utrymme är dock inte helt obegränsat.”
Därefter konstaterar domstolen att ”det vid tidpunkten för IMY:s beslut måste ha framstått som osäkert om regionen uppfyllt sina skyldigheter enligt artikel 6 i EU:s dataskyddsförordning”. Då det funnits en osäkerhet har det enligt förvaltningsrätten varit befogat att skicka ett informationsbrev. Därefter konstaterar domstolen krasst:
”Det har därför varit motiverat att skicka ett informationsbrev till regionen på det sätt som gjorts. Däremot anser förvaltningsrätten att det vid en sammantagen bedömning av underlaget i målet, och med beaktande av vad som redovisats ovan, inte finns skäl att ifrågasätta IMY:s uppfattning att någon ytterligare utredningsåtgärd inte varit nödvändig.”
Förvaltningsrätten bortser vidare från ett arbetsdokument från Europeiska dataskyddsstyrelsen EDPB, eftersom det inte är bindande.
Enligt min mening finns det många konstiga slutsatser i förvaltningsrättens avgörande som mest verkar vila på ett svenskt förarbetsuttalande som kom tidigare än de domar från EU-domstolen som också åberopas i skälen. Till det behöver man fundera på frågan utifrån svensk förvaltningsrätt. Jag fördjupar den analysen senare. Det kan redan nu konstateras att domstolen bedömer det osäkert om regionen följt artikel 6 GDPR men ändå tycker att utredningen är fullgod, vilket rimmar illa med förvaltningslagens krav.
Däremot delar jag domstolens bedömning att EDPB:s arbetsdokument inte är en stark rättskälla. Nedan kommer jag redovisa min syn på frågan både från ett EU-rättsligt perspektiv och utifrån förvaltningslagen. Först kommer jag dock först redogöra för noybs slutsatser i överklagandet.
Noybs överklagande
Det är intressant att noyb, en ideell organisation ledd av Maximilian Schrems, gett sig in i leken med stöd av artikel 80.1 GDPR. Noyb arbetar konsekvent med att följa upp hur GDPR tillämpas och har framgångsrikt drivit ett antal fall både nationellt och på EU-nivå. Organisationen har även bevakat hur olika tillsynsmyndigheter sköter sina uppdrag och har under många års tid riktat skarp kritik och inlett flera rättsliga åtgärder mot den irländska tillsynsmyndigheten. Det är därför intressant (och kanske inte helt smickrande för IMY) att notera att IMY nu hamnat i skottgluggen.
I sitt överklagande anger noyb:
”Enligt praxis, och kommande praxis, från EU-domstolen behöver en utredning av klagomål göras med vederbörlig omsorg. Detta innebär att dataskyddsmyndigheter enbart har mandat att avgöra hur en utredning av klagomål ska genomföras, men att de inte har mandat att avgöra om en utredning ska genomföras. Praxisen stadgar även att den nationella domstolens roll är att fullständigt granska och bedöma korrektheten av tillsynsmyndighetens agerande i ljuset av GDPR.
Om en utredning av klagomål inte resulterar i klarhet huruvida regelbrott föreligger eller ej kan inte utredningen ha ansetts vara gjord med vederbörlig omsorg. Kammarrättens bedömning bör således vara att utredningen inte är fullgod.”
Slutsatser i Schrems II
För att kunna analysera förvaltningsrättens och IMY:s bedömningar behöver man titta djupare på EU-domstolens motiveringar. I Schrems II (som var ett fall drivet av noyb och Maximilian Schrems) konstaterar EU-domstolen att ”varje tillsynsmyndighet… ([är] skyldig att inom sitt territorium behandla klagomål… enligt artikel 77.1 i förordningen”. Vidare anges att tillsynsmyndigheten i den utsträckning det är nödvändigt ska pröva syftet med behandlingen och ”med vederbörlig omsorg utreda ett sådant klagomål ”.
Domstolen hänvisar i Schrems II till sin dom den 6 oktober 2015 i mål C- 362/1 (ofta kallad Schrems I). Möjligen ville domstolen med detta även understryka att den passivitet tillsynsmyndigheterna visade efter Schrems I inte var godtagbar (tillsynsmyndigheterna valde efter att EU-domstolen upphävt ett adekvansbeslut rörande USA att avvakta ett nytt adekvansbeslut och tog alltså inte tag i frågan om tredjelandsöverföringar trots att EU-domstolen klargjort rättsläget). Det är därför särskilt intressant att EU-domstolen mycket tydligt klargör att passivitet från tillsynsmyndigheterna inte är godtagbar (punkterna 111-112 i domen):
”För att behandla inkomna klagomål tillerkänns varje tillsynsmyndighet enligt artikel 58.1 DSF betydande utredningsbefogenheter. När en sådan myndighet, efter att ha avslutat sin utredning, anser att den registrerade vars personuppgifter har överförts till ett tredjeland inte åtnjuter en adekvat skyddsnivå i detta land, är den enligt unionsrätten skyldig att reagera på lämpligt sätt för att avhjälpa den konstaterade bristande skyddsnivån, och detta oberoende av orsaken till eller arten av denna brist. I artikel 58.2 i denna förordning anges de olika korrigerande åtgärder som tillsynsmyndigheten kan vidta i detta sammanhang.
Även om det ankommer på tillsynsmyndigheten att välja en lämplig och nödvändig åtgärd, och att denna ska göra detta val med beaktande av samtliga omständigheter i samband med den aktuella överföringen av personuppgifter, är tillsynsmyndigheten icke desto mindre skyldig att fullgöra sitt uppdrag med erforderlig omsorg och att därvid tillse att DSF iakttas fullt ut.”
Denna skrivning från EU-domstolen rimmar enligt min mening mycket illa med förvaltningsrättens slutsats. Tillsynsmyndigheterna kan inte göra valet att inte agera om det objektivt sett finns skäl att utreda en fråga om avvikelse från GDPR. I detta ska myndigheten enligt domen både lägga ner omsorg och vidta korrigerande åtgärder. Dessa korrigerande åtgärder finns listade i artikel 58.2 GDPR. Att skicka informationsbrev finns, som JS och noyb konstaterat, inte med i listan över möjliga korrigerande åtgärder.
Slutsatser i SCHUFA
EU-domstolen fortsätter klargöra rättsläget i SCHUFA-domen. Den domen är särskilt intressant eftersom den fråga EU-domstolen hade att pröva liknade den fråga som nu är aktuell. Den tyska tillsynsmyndigheten gjorde i det målet gällande att domstolsprövningen av en tillsynsmyndighets beslut endast kunde avse formalia och inte en sakprövning, eftersom klagomålen var utformade som en rätt att inge framställningar.
Till att börja med upprepar domstolen de slutsatser den gjort i Schrems II och fortsätter sedan resonemanget (punkterna 57 och 58):
”Av detta följer… att klagomålsförfarandet, som inte liknar förfarandet för en framställning, är utformat som en mekanism som är ägnad att på ett effektivt sätt skydda de registrerades rättigheter och intressen.
Med hänsyn till de omfattande befogenheter som tillsynsmyndigheten har enligt dataskyddsförordningen skulle kravet på ett effektivt domstolsskydd inte vara uppfyllt om en sådan tillsynsmyndighets beslut i samband med utövandet av utredningsbefogenheter eller korrigerande åtgärder endast kunde bli föremål för en begränsad domstolsprövning.”
EU-domstolens slutsatser är intressanta och rimmar även i detta fall illa med förvaltningsrättens. Förvaltningsrätten kan ju efter IMY:s prövning enbart göra en formalia-bedömning om ärendet borde ha utretts mer, eftersom IMY undvikit att bedöma saken. Detta innebär i sin tur att JS inte kan få själva saken (avvikelse på grund av att rättslig grund saknats) prövad.
I SCUFA klargör EU-domstolen vidare att tillsynsmyndighetens val av korrigerande åtgärd enligt artikel 58.2 GDPR till viss del vilar på en skönsmässig bedömning. Detta leder enligt EU-domstolen till att en domstol i efterföljande prövning är bunden av den korrigerande åtgärd som valts (i klartext: om tillsynsmyndigheten valt en sanktionsavgift kan domstolen alltså inte mildra till en reprimand). Domstolens prövning i den delen avser enligt EU-domstolen endast ”huruvida tillsynsmyndigheten har iakttagit gränserna för sitt utrymme för skönsmässig bedömning”.
Då IMY i detta fall varken utrett frågan (som den enligt EU-domstolen ska göra med omsorg) eller tagit ställning i sak samt undvikit att använda de korrigerande åtgärder som artikel 58.2 GDPR medger finns inte någon likhet mellan det förfarande som faktiskt används och det förfarande EU-domstolen har klargjort ska gälla.
Förvaltningslagens utredningsskyldighet
Det förfarande IMY har att skicka informationsbrev i stället för att utreda känns som en innovation i svensk myndighetshantering. Förfarandet har inget stöd i förvaltningslagens bestämmelser.
Tvärtom anges i 23 § första stycket förvaltningslagen att ”en myndighet ska se till att ett ärende blir utrett i den omfattning som dess beskaffenhet kräver”. Bestämmelsen ger enligt Lars Clevesjö uttryck för den så kallade officialprincipen och den EG-rättsliga så kallade omsorgsprincipen (att omsorgsfullt och opartiskt pröva alla relevanta omständigheter) (se lagkommentaren till 23 § förvaltningslagen).
Utredningsansvaret har tillkommit för att tyngdpunkten ska ligga i första instans, vilket innebär att myndigheten behöver utreda frågan så den leder till materiellt riktiga beslut.
I det aktuella fallet måste 23 § första stycket förvaltningslagen tolkas mot EU-domstolens domar, som klargör att myndigheten måste ingripa om den skyddsnivå som GDPR ska garantera inte upprätthålls. För att kunna göra denna bedömning måste myndigheten avgöra om det föreligger en överträdelse eller inte baserat på vad klaganden har angett. Om myndigheten inte direkt kan konstatera att ett klagomål inte beskriver något som kan vara en avvikelse från förordningen, behöver den alltså kommunicera klagomålet med motparten. Myndigheten kan till och med behöva verka för att en part (särskilt om denne är i en svagare position) förtydligar eller kompletterar sin framställning, se tredje stycket nämnda lagrum. Oavsett finns inget utrymme att undvika att utreda ett ärende och i stället vidta andra åtgärder som brevskrivande.
I sammanhanget är det även intressant att titta på vad ett klagomål är. Som framgår av EU-domstolens domar är det något som alltid ska utredas för att kunna bedöma om det finns en avvikelse. Detta innebär att klagomål inte kan jämställas med tillsyn eller kontroller som en myndighet själv kan initiera. Om man jämför med skatteområdet behöver beslut fattas efter att deklarationer inkommit i alla fall, men Skatteverket har en frihet att inleda kontroller om den bedömer att det är befogat.
Det finns substans i sakfrågan
JS klagomål handlade om att man behandlat hens uppgifter utan rättslig grund. Det kan därför slutligen vara intressant att även titta på den frågan. Om JS klagomål innehållit uppgifter som indikerar avvikelser från GDPR är förstås förvaltningsrättens godtagande av IMY:s hantering än mer märklig i ljuset av rättspraxis och förvaltningslagen.
Av noybs överklagande kan utläsas fler omständigheter kring klagomålet som sprider ljus i frågan:
”Den klagande tog kontakt med region Uppsala efter en personuppgiftsincident. Hen ringde regionens kundtjänst för kollektivtrafik eftersom det var inom kollektivtrafiken som personuppgiftsincidenten skett.
Telefonsamtalet med kundtjänsten började med att en robotröst informerade den klagande att samtalet skulle spelas in i ”kvalitets och utbildningssyfte”. Då detta syfte uppfattades som svagt och det inte fanns möjlighet att begära att samtalet ej spelades in bad den klagande regionen om förtydligande avseende syftet med inspelningen av samtal.
Regionen meddelade den klagande att samtalen spelas in för att kunna behandla klagomål från enskilda. När den klagande invände mot detta med hänvisning att hen inte hade ett klagomål och därför inte behövde spelas hänvisades i stället regionen till att inspelningen av samtal var nödvändig med anledning av tillhandahållande av linjetrafik med tåg och buss.
Den klagande invände mot denna motivering och menade att det saknades lagstöd för att spela in samtal med hänvisning till regionens skyldigheter att tillhandahålla linjetrafik med tåg och buss. Något gehör mot denna invändning fick den klagande inte.”
I Schrems II säger EU-domstolen att tillsynsmyndigheterna ska bedöma syftet med behandlingen, det vill säga dess ändamål. Enligt artikel 5.1 C GDPR ska personuppgifter samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Av citatet ovan framgår att det först angivna ändamålet är luddigt formulerat, vilket innebär att det sannolikt inte kan anses var ”uttryckligt” angivet. Till det kommer att regionen två gånger ändrar sig och anger andra ändamål, där även det sistnämnda är ytterst luddigt och också svårbegripligt (kan regionen verkligen inte tillhandahålla linjetrafik om den inte får göra inspelningar?). Det andra ändamål som anges är inte ett som kan kopplas till den behandling som görs av JS röstinspelning, eftersom JS de facto inte vill lämna ett klagomål. Enligt min mening finns det alltså mycket som tyder på att det finns problem med ändamålsprincipen, vilket i sin tur omöjliggör att hitta en lämplig rättslig grund.
Jag håller således med noyb att det är svårt att härleda en rättslig grund, vilket är ett mycket centralt krav i GDPR. Av rättsfallet C-60/22 (UZ mot Bundesrepublik Deutschland, dom den 4 maj 2023) framgår att den som bryter mot någon av principerna i kapitel II GDPR utför en olaglig behandling och att denna då genast ska upphöra (raderas). I det klagomål JS inlämnat finns enligt min mening tydliga tveksamheter enligt både artikel 5 och 6 GDPR. Detta skulle kunna innebära att regionens behandling de facto varit olaglig.
Till det kommer, åtminstone utifrån beskrivningen, att regionen inte ens angett en rättslig grund. Detta innebär att regionen inte korrekt fullgjort sin informationsskyldighet enligt artikel 13 GDPR. Genom att inte lämna informationen försvårar regionen dessutom för den registrerade, vilket innebär ett brott mot artikel 12 GDPR. Även denna omständighet är något som tyder på att regionen avviker från GDPR:s regelverk.
Tittar man på JS klagomål finns alltså mycket som tyder på att det finns allvarliga avvikelser från GDPR, kanske till och med av så allvarlig grad att regionen genomfört en olaglig behandling. Genom att välja att inte gå in i en prövning, utan endast skicka ett informationsbrev, förtar IMY JS alla möjligheter att få tillstånd en rättelse och en korrekt hantering av hens personuppgifter. Detta står långt ifrån både EU-domstolens praxis och de krav som uppställs i förvaltningslagen.
Rimligen kommer Kammarrätten i Stockholm därför att bevilja prövningstillstånd och förhoppningsvis därefter undanröja domen och beslutet och återförvisa ärendet för prövning i sak till IMY. Skulle domstolen överväga samma tolkning som förvaltningsrätten gjort bör domstolen först fråga EU-domstolen, alternativt avvakta den dom som snart lär komma (se mål C-768/21 och generaladvokatens yttrande i det målet). I nämnda mål har frågan ställts om en tillsynsmyndighet alltid är skyldig att vidta någon korrigerande åtgärd enligt artikel 58.1 GDPR om en avvikelse konstateras. Generaladvokaten konstaterar i sitt yttrande i det målet att det ”skulle vara oförenligt med detta mandat om tillsynsmyndigheten hade möjlighet att helt enkelt bortse från den fastställda överträdelsen” samt att det ”är uppenbart att klagomålsförfarandet inte skulle vara till någon nytta om tillsynsmyndigheten kunde förhålla sig passiv inför ett rättsläge som strider mot unionsrätten”.
Varför hanterar Integritetsskyddsmyndigheten klagomål så här?
IMY arbetar enligt sin webbplats ”för att skydda alla dina personuppgifter, till exempel om hälsa och ekonomi, så att de hanteras korrekt och inte hamnar i orätta händer”. I det fall JS anhängiggjort finns flera indikationer på att hanteringen inte varit korrekt. Så varför väljer myndigheten att agera på ett sätt som inte överensstämmer med de fina orden på webbplatsen?
Det enkla svaret är resursbrist. IMY:s hantering av klagomål baseras antagligen till stor del på att myndigheten anser sig sakna resurser. Det finns skäl att tro att myndigheten är underresurssatt om uppdraget är att kunna hantera alla klagomål korrekt på det sätt EU-domstolen anger. Samtidigt finns också tecken på att myndigheten skapat sin balans på grund av ett alltför omständligt arbetssätt. I stället för att ta tag i den frågan fortsätter myndigheten att ta genvägar och akta sig för att behöva lägga tid på att bedöma och utreda. Detta leder till behov av omtag (notera att IMY angav att JS kunde höra av sig igen vilket sannolikt många gör och skulle kammarrätten underkänna hanteringen har man en stor balans av felaktigt hanterade ärenden).
En komplikation i IMY:s hantering är att myndigheten valt ett förfarande att inleda tillsyn när den går in i sakprövning. Detta innebär att myndigheten anser sig behöva fatta formella beslut om tillsyn för att kunna göra en sakprövning. Enligt min mening är detta onödigt komplicerat då alla klagomål enligt HFD:s praxis är överklagbara och enligt EU-domstolens domar alltid ska prövas i sak. Jag tror att myndigheten skulle behöva hantera klagomål som en helt egen ärendegrupp (kanske kallad klagomålstillsyn) och inte försöka jämka ihop den med den aktiva tillsyn man väljer att ha i andra fall (till exempel efter incidentanmälningar). Hanteringen av klagomål idag är alltså enligt min mening både ineffektiv och felaktig. Dessutom tyder hanteringen på att myndigheten kan behöva öka kompetensen i förvaltningslagens bestämmelser.
Det är enligt min mening lite sorgligt att IMY inte vill ta registrerades rättigheter på allvar, vilket blir slutsatsen efter att ha tittat på det klagomål JS fört fram. Hela tanken bakom GDPR är ju att stärka människors rätt till sin egen integritet. Bristande resurser är inget godtagbart skäl att inte följa rättspraxis och lag, varken för IMY eller andra myndigheter. Bristande resurser är heller inte något som anses förmildrande om en personuppgiftsansvarig påförs en sanktionsavgift.
Jag tycker även att förvaltningsrättens avgörande visar på en bristande kunskap om GDPR, vilket förhoppningsvis är ett undantag eftersom den domstolen ska överpröva IMY:s avgöranden. Erfarenhetsmässigt stärks kunnandet på myndigheter av att domstolar levererar relevanta domar, som baseras på tidigare rättspraxis och lag. Eftersom förvaltningsdomstolarna under en längre tid (fram till HFD:s avgöranden) inte ansett att det förelegat klagorätt och att en domare nu ger IMY rätt i att myndigheten inte behöver sakpröva klagomål blir incitamenten för myndigheten att genomföra en korrekt hantering mindre. Kanske är detta också en bidragande orsak till IMY:s agerande.
Analys av Förvaltningsrätten i Stockholm 2024-07-17, mål nr 6034-24.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 3 sep 2024
Jurist, managementkonsult och författare av GDPR-böcker