Beslut rörande klagomål är överklagbara
Det har varit en uppförsbacke för registrerade som lämnat in klagomål till IMY. Trots tydligt formulerade GDPR-artiklar och Schrems II-målet har myndigheten ansett att besluten inte är överklagbara, vilket baserats på förvaltningsdomstolarnas domar. I en intressant dom från kammarrätten öppnas det nu upp för att besluten ska kunna överklagas. Då domen rörde ett beslut att lämna över ett ärende till en annan tillsynsmyndighet, var det aktuella beslutet dock inte överklagbart. Eftersom samarbetet mellan tillsynsmyndigheterna har vissa frågetecken är det synd att beslutet inte ansågs överklagbart. Det anser JP Infonets dataskyddsexpert Monika Wendleby i en analys om avgörandet.
BAKGRUND
En registrerad har enligt artikel 77.1 GDPR rätt att lämna in klagomål till tillsynsmyndigheten (i Sverige Integritetsskyddsmyndigheten, IMY). Hen ska även enligt artikel 78.2 GDPR ha ett rättsmedel både när beslut har fattats efter ett klagomål och vid tillsynsmyndighetens inaktivitet:
”Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med det klagomål som ingetts med stöd av artikel 77 fortskrider eller om dess resultat.”
I skäl 141 GDPR förklaras att den registrerade har rätt till ett effektivt rättsmedel när hen anser att hens rättigheter har kränkts ”[…] eller om tillsynsmyndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter”. Vidare klargörs i skäl 143 GDPR att:
”[o]m ett klagomål avslås eller avvisas av en tillsynsmyndighet, kan den enskilde väcka talan vid domstolarna i samma medlemsstat.”
7 kap. 3 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (kompletteringslagen) klargör att IMY:s beslut enligt GDPR kan överklagas, men trots detta har myndighetens beslut kopplade till klagomål inte ansetts överklagbara (detta tydligast manifesterat i Kammarrätten i Stockholm 2020-08-20, mål nr 30-20). Den domen, som baserades på ett gammalt rättsfall från Högsta förvaltningsdomstolen (RÅ 2010 ref. 29) meddelades två veckor efter att EU-domstolen satt ner fötterna i Schrems II (EU-domstolen 2020-07-16, mål C-311/18, Data Protection Commissioner mot Facebook Ireland Ltd och Maximillian Schrems). I den domen anger EU-domstolen bland annat följande:
”Enligt artikel 78.1 och 78.2 [GDPR] har var och en rätt till ett effektivt rättsmedel, bland annat om tillsynsmyndigheten underlåter att behandla ett klagomål. I skäl 141 i förordningen hänvisas även till denna ”rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan ”för det fall tillsynsmyndigheten ”inte agerar när så är nödvändigt för att skydda den registrerades rättigheter.””
I min bok Dataskyddsförordningen GDPR: Hantera registrerades rättigheter (Sanoma Utbildning AB, s 653-654) drog jag följande slutsats efter Schrems II:
”Kammarrättsavgörandet rimmar illa med både Schrems I och Schrems II och måste på så sätt anses överspelat. Jag antar att förvaltningsdomstolarna, om en liknande situation uppstår, kommer att beakta vad EU-domstolen säger vilket rimligen kommer att leda till motsatt utgång. Genom Schrems II finns ett facit, vilket måste göra att förarbetsuttalandet och olika tankar kring förvaltningslagen (se kammarrättsdomen) blivit helt obsoleta. Det kan enligt min mening nu inte finnas någon tvekan om att ett meddelande om att tillsyn inte inleds (se Integritetsskyddsmyndighetens nuvarande arbetssätt) borde ses som ett beslut som kan överklagas (jämför även 7 kap. 3 § kompletteringslagen som anger att beslut enligt dataskyddsförordningen är överklagbara).”
Jag har därefter följt frågan med stort intresse, men först ett drygt år efter Schrems II har Kammarrätten i Stockholm nu landat i frågan.
OMSTÄNDIGHETERNA I DET NYA KAMMARRÄTTSFALLET
I det nya målet (Kammarrätten i Stockholm 2021-11-03, mål 3235-21) ville en registrerad, SA, få IMY:s beslut att avskriva ett klagomål rörande Googles insamling av personuppgifter prövat. Avskrivningen skedde i samband med att ärendet hade överlämnats till den irländska myndigheten Data Protection Commissioner (DPC). SA anförde att han hade rätt till ett rättsmedel eftersom hans ställning som klagande kraftigt hade försämrats och hans rättigheter enligt GDPR hade kränkts. När IMY lämnade över hans klagomål tillsammans med handlingarna i tillsynsärendet till DPC, förmodade han att DPC skulle ta över utredningen och behandla hans klagomål. DPC inledde i stället en så kallad tillsyn på eget initiativ. Den tillsynen granskade inte den tidsperiod han hänvisar till i sitt klagomål och han är inte part i DPC:s tillsyn.
Förvaltningsrätten fann med hänvisning till kammarrättsdomen i mål 30-20 att beslutet inte var överklagbart. I kammarrätten argumenterade SA på liknande sätt som jag gjorde i min bok (se föregående avsnitt): Kammarrättens dom meddelades före EU-domstolens avgörande i Schrems II ”vilket är det avgörande han menar förtydligar rättsläget och ger honom rätt att överklaga”.
IMY bestred ändring bland annat med hänvisning till den underrättspraxis som utvecklats. Det framfördes även att myndigheten enbart hade beslutat om att avsluta den inledda tillsynen eftersom myndigheten inte längre var behörig tillsynsmyndighet efter att ha överlämnat klagomålet till den irländska tillsynsmyndigheten för fortsatt handläggning, inom ramen för mekanismen för enhetlighet i artikel 60 GDPR. Myndigheten angav även att den fortsatt var kontaktpunkt för SA i förhållande till DPC och på så sätt kunde hålla SA uppdaterad om utvecklingen av hans klagomål. Vidare angavs följande:
”Enligt huvudregeln i artikel 60.7 ska beslutet antas av den ansvariga tillsynsmyndigheten och denna ska enligt artikel 56.6 vara enda motpart när det gäller den personuppgiftsansvariges gränsöverskridande behandling. Om klagomålet skulle avvisas eller avslås ska beslutet enligt artikel 60.8 antas av den tillsynsmyndighet till vilken klagomålet lämnades in, dvs. IMY.”
Google yttrade sig i målet och delade IMY:s bedömning.
KAMMARRÄTTENS INLEDANDE BEDÖMNING
Kammarrätten inleder domskälen med att hänvisa till praxis om besluts överklagbarhet.
”Avgörande för om en myndighets ställningstagande utgör ett överklagbart beslut är … vilka faktiska verkningar det får för den som berörs av det (se HFD 2018 ref. 23 och där angivna rättsfall). Ett avvisnings- eller avskrivningsbeslut har normalt sådana rättsverkningar att det är överklagbart (se SOU 2010:29 s. 629 och där angivna rättsfall). Frågan är om det i detta fall finns skäl att göra en annan bedömning på grund av dataskyddsförordningens förfaranderegler.”
Därefter går kammarrätten igenom artiklarna 77.1 och 78.1 GDPR samt skäl 141 och 143. De tre första har jag redan beskrivit i relevanta delar. Skäl 143 GDPR reglerar bland annat beslut från en tillsynsmyndighet som har rättsliga följder för en person, särskilt tillsynsmyndighetens utövande av utrednings-, korrigerings- och godkännandebefogenheter eller avvisande eller avslag på klagomål. Rätten till ett effektivt rättsmedel inbegriper dock inte åtgärder som vidtagits av tillsynsmyndigheter när dessa inte är rättsligt bindande, såsom yttranden som avgivits eller rådgivning som tillhandahållits av tillsynsmyndigheten.
Efter att kammarrätten gjort den genomgången kommer ett mycket intressant konstaterande:
”Rätten till ett effektivt rättsmedel vad gäller tillsynsmyndighetens beslut enligt dataskyddsförordningen tillgodoses i svensk lagstiftning genom möjligheten att överklaga beslut till en allmän förvaltningsdomstol (prop. 2017/18:105 s. 163). Denna rätt framgår av 7 kap. 3 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.”
Eftersom kammarrätten i äldre mål inte ansett att vanliga klagomål är överklagbara är uttalandet mycket intressant. Jag tolkar det som att kammarrätten bytt fot och nu anser att beslut rörande klagomål i princip är överklagbara.
KAMMARRÄTTENS SLUTSATSER I MÅLET
Därefter prövar kammarrätten de faktiska omständigheterna i målet mot 41 § förvaltningsprocesslagen. Följande bedömning görs:
”Av handlingarna framgår att IMY den 2 september 2020 dels fattat ett beslut att avskriva ärendet om tillsyn avseende Google LLC:s personuppgiftsbehandling, dels skickat en upplysning till [SA] om hans klagomål. I upplysningen informeras [SA] om att hans klagomål mottagits av den irländska dataskyddsmyndigheten den 18 januari 2019. [SA] informeras också om sina rättigheter relaterade till klagomålet. Det anges att klagomålet ska hanteras av den irländska dataskyddsmyndigheten, att han kan överklaga ett beslut av den myndigheten till irländsk domstol om han påverkas rättsligt av det, och att för det fall hans klagomål avvisas eller avslås har han rätt att överklaga det beslutet i Sverige.
IMY har i det överklagade beslutet avskrivit tillsynsärendet då myndigheten inte längre ansett sig vara behörig tillsynsmyndighet. Ärendet har istället lämnats över till IMY:s irländska motsvarighet inom ramen för dataskyddsförordningens bestämmelser om samarbete och enhetlighet. Av handlingarna i målet framgår att [SA:s] ärende fortfarande är öppet hos IMY. Han har vidare via IMY informerats om att han har rätt att överklaga ett rättsligt bindande beslut från den irländska dataskyddsmyndigheten till irländsk domstol samt, för det fall hans klagomål avvisas eller avslås av den irländska dataskyddsmyndigheten, om sin rätt att överklaga ett sådant beslut i Sverige. [SA] har därigenom tillgång till ett effektivt rättsmedel och dessa möjligheter till överprövning är tillräckliga för att tillgodose [SA]:s behov av rättsskydd. IMY:s beslut att avskriva tillsynsärendet har med hänsyn till detta inte heller sådana faktiska verkningar för [SA] att det är överklagbart enligt 41 § förvaltningslagen. Kammarrätten bedömer därmed att IMY:s beslut inte är överklagbart. Förvaltningsrättens beslut att avvisa överklagandet är därför riktigt.”
GJORDE KAMMARRÄTTEN RÄTT?
Jag tolkar som jag redan nämnt kammarrättens generella slutsats om 7 kap. 3 § kompletteringslagen som att kammarrätten nu godtar att ”vanliga” klagomål är överklagbara. Eftersom domstolen tidigare funnit att vanliga klagomål ska avvisas med stöd av 41 § förvaltningsprocesslagen hade det varit rimligt om domstolen annars klargjorde att den fortfarande hade den inställningen. Jag är lite förvånad över att domstolen inte berör uttalandena i Schrems II, särskilt eftersom SA pekat på den domen, men eftersom domstolens slutsats är förenlig med den domen är problemet inte lika stort.
Det aktuella målet rörde dock en mer intrikat fråga än vanliga klagomål. Här kommer det in i bedömningen GDPR:s kapitel VII om samarbete och enhetlighet. Här är det förstås intressant att titta på hur EU-domstolen bedömt gränsöverskridande ärenden. Det kan här konstateras att EU-domstolen har sett rätt strikt på behörigheter och hur den så kallade ”one-stop shop”-mekanismen ska tolkas (se EU-domstolen 2021-06-15, mål C-645/19, Facebook Ireland Ltd, Facebook Inc. och Facebook Belgium BVBA mot Gegevensbeschermingsautoriteit). I domen klargjordes att huvudregeln är att endast den ansvariga tillsynsmyndigheten (även i detta fall den irländska myndigheten) kan utöva tillsyn om inte ett undantag från mekanismen kan tillämpas. Utifrån det perspektivet var IMY inte behörig att pröva frågorna i klagomålet, vilket gör det rimligt att överlämna ärendet till den ansvariga tillsynsmyndigheten.
Att IMY överlämnat ärendet innebär inte att myndigheten inte fortsättningsvis kan agera inom ramen för enhetlighet. Detta visades tydligt i beslutet rörande Whats App som jag tidigare analyserat. Som framgår av den aktuella kammarrättsdomen har IMY även roller i det fortsatta förfarandet i förhållande till SA. I strikt mening har IMY alltså fortfarande kvar ett ärende, även om den ansvariga myndigheten tagit över ansvaret enligt kapitel VII GDPR att hantera SA:s klagomål i sak. Det beslut som överklagats har rört själva överlämnandet av ärendet till ansvarig myndighet. Jämför man detta med ordalydelsen i skäl 143 som anger att rättsmedel särskilt ska finnas avseende ”utrednings-, korrigerings- och godkännandebefogenheter eller avvisande av eller avslag på klagomål” känns kammarrättens dom inte oväntad. Däremot kan man ifrågasätta konstaterandet att SA tillerkänts ett effektivt rättsmedel i Irland som görs i domen. Att effektiviteten kan ifrågasättas beror bland annat på att samarbetet mellan tillsynsmyndigheter i dag är dysfunktionellt.
SAMARBETET MELLAN TILLSYNSMYNDIGHETER
Den sista aspekten som jag tycker är intressant i målet rör den registrerades, SA:s, situation. I målet gör han gällande att han känner sig rättslös då DPC valt att inte hantera hans klagomål utan göra en bredare tillsyn där han inte ses som part och som inte omfattar den tidsperiod han anser ska prövas. Det är ett problem att tillsynsmyndigheter, tidigare även IMY, valt att hantera klagomålsinstitutet som att det är valfritt vad myndigheten gör i förhållande till klagomål och att myndigheten fritt kan välja att göra ingenting eller hänvisa till andra tillsynsärenden.
Det är i detta sammanhang även intressant att titta på det interna dokument som EDPB tagit fram och som omnämns i domen. I dokumentet Internal EDPB Document 02/2021 on SAs duties in relation to alleged GPDR infringements Version 1.0 Adopted on 2 February 2021 har EDPB tolkat flera artiklar i GDPR som har betydelse för de registrerade och deras möjlighet att få rätt. Då detta dokument kan styra tillsynsmyndigheternas agerande är det synd att det endast är internt och därför inte får samma genomlysning som publika riktlinjer, som remissbehandlas innan de antas.
I det interna dokumentet (till skillnad från i kammarrättsdomen) lyfts den tolkning som EDPB gör av Schrems II upp:
“Furthermore, the Court underlined with reference to Article 57(1)(f) and Article 77(1) that supervisory authorities must handle a complaint with all due diligence and examine the nature of the complaint as necessary: “In addition, under Article 57(1)(f) of the GDPR, each supervisory authority is required on its territory to handle complaints which, in accordance with Article 77(1) of that regulation, any data subject is entitled to lodge where that data subject considers that the processing of his or her personal data infringes the regulation, and is required to examine the nature of that complaint as necessary. The supervisory authority must handle such a complaint with all due diligence (see, by analogy, as regards Article 25(6) of Directive 95/46, judgment of 6 October 2015, Schrems, C 362/14, EU:C:2015:650, paragraph 63).””
Man kan fråga sig om SA:s klagomål hanterats på detta sätt av DPC och förstås vad han i den moment 22-situationen kan göra för att göra sin rätt hörd. En intressant fråga som kammarrätten hade kunnat fördjupa sig i är om en klagande borde anses ha ett intresse enligt 41 § förvaltningsprocesslagen, om det är uppenbart att hens möjlighet till ett rättsmedel inte uppfylls (jämför domstolens konstaterande att det fanns ett effektivt rättsmedel i Irland). Hade målet prövats i sak hade domstolen kunnat begära ett förhandsavgörande från EU-domstolen där även det interna dokumentet hade kunnat prövas.
Samtidigt är det förstås vanskligt att läka brister i det irländska förfarandet genom svensk processrätt. Här är några uttalanden i dokumentet spännande:
“In C-78/98 Preston and Others ruling, the Court stated that: ”(...) according to settled case-law, in the absence of relevant Community rules, it is for the national legal order of each Member State to designate the competent courts and to lay down the procedural rules for proceedings designed to ensure the protection of the rights which individuals acquire through the direct effect of Community law, provided that such rules are not less favourable than those governing similar domestic actions (principle of equivalence) and are not framed in such a way as to render impossible in practice the exercise of rights conferred by Community law (principle of effectiveness)
[---]
Different national administrative rules exist. Such differences may partly be the reason why supervisory authorities handle complaints in different ways and investigate them to different extents. Nevertheless, these differences in national procedural law can never lead to situations in which the principles of equivalence and effectiveness are undermined.”
Det interna dokumentet anger att utgången av ett ärende ska leda till att den registrerade förstår utgången (jämför SA:s dilemma i målet). Här finns ett antal intressanta avsnitt i dokumentet:
“Article 78(1) provides the affected person (natural or legal) with a right to an effective judicial remedy against a legally binding decision of a supervisory authority concerning them. The dismissal or rejection of a complaint is such a legally binding decision affecting the complainant, cf. recital 143 GDPR. Article 78(2) provides data subjects with a right to an effective judicial remedy against a supervisory authority if it does not handle a complaint or does not inform the data subject within three months on the progress or outcome of the complaint lodged. This indicates a duty of a supervisory authority to inform the complainant within 3 months after the submission of the complaint about the process of handling the case unless the result of the proceeding is established. It does not, however, require the case to be closed in this tight timeframe nor to inform the complainant repeatedly every three months of the status of the case. The complainant should, however, as indicated by Recital 141 be informed that the matter requires further investigation.
[---]
Taken as a whole, the provisions in question imply that every admitted complaint that is not granted must result in an outcome specifying the reasons for the decision to enable the complainant to understand the result of his or her complaint and enabling a given competent authority to exercise its power of review.
For every admitted complaint - which is not withdrawn –SAs must thus provide an outcome specifying the facts and legal considerations for e.g. rejecting the complaint or dismissing the complaint i.e. not investigating it further, with a view to make it a legally attackable act.”
RÄTTSOMRÅDET KOMMER ATT FORTSÄTTA UTVECKLAS
Det har varit en uppförsbacke för registrerade i flera EU-länder att få sina klagomål hanterade och ännu har dessa inte tillförsäkrats det förordningen kräver i praktiken. Högtidstal om hur viktig personlig integritet och GDPR är klingar falskt, så länge det inte finns en enkel väg för registrerade som stämmer överens med förordningstext och rättsfall. I det aktuella kammarrättsfallet handlar det primära problemet om DPC:s ovilja att agera och det är svårt för svenska domstolar att hantera det problemet givet reglerna om ”one-stop shop”-mekanismen.
Samtidigt kan det förstås konstateras att den svenska rättsordningen hittills inte har agerat exemplariskt. Det tog lång tid innan IMY började hantera klagomål och fortfarande finns konstigheter i hanteringen. Vidare har svenska domstolar fram till denna kammarrättsdom inte velat tillerkänna registrerade ett rättsmedel som stämmer överens med den sedvanliga uppdelningen av arbetsuppgifter mellan förvaltningsdomstolar och allmänna domstolar. Jag ser dock att positiva steg tas. Kanske kommer slutet av 2021 att bli startpunkten för en ny period när registrerades klagomål får den tyngd och det genomslag som GDPR anger?
För tillsynsmyndigheternas del tror jag att de behöver förstå att hanteringen skadar deras trovärdighet. Tillsynsmyndigheterna har förstås, liksom personuppgiftsansvariga och biträden, svårt att mäkta med allt som ska göras. Ser andra som kämpar med GDPR att de utsedda tillsynsmyndigheterna inte tar sina egna skyldigheter på allvar kan det vara svårt att känna motivation för arbetet. Och egen motivation är betydligt bättre att bygga på än sanktionsavgifter! Jag hoppas dock på bättre tider eftersom uppdragen är viktiga och mycket arbete som görs i dag från myndigheterna är bra. För svenskt vidkommande tror jag att IMY behöver resursförstärkning, så visst ansvar vilar även på lagstiftaren som gett ett för stort uppdrag i förhållande till resurserna.
Av Monika Wendleby, jurist, managementkonsult, föreläsare och författare till GDPR-böcker.
Ursprungligen publicerad i JP ITnet.
Publicerad 22 nov 2021
Jurist, managementkonsult och författare av GDPR-böcker