Ni dataskyddsnördar som flitigt scrollar flödet på dataskyddsnyheterna på LinkedIn, kan ha gjort samma observation som jag har gjort; nämligen alla oändliga inlägg om alla tillsynsbeslut som tillsynsmyndigheterna i EU producerar i högt tempo. Ibland känner man som dataskyddsjurist att man behöver be sin arbetsgivare om en halvtidstjänst bara för att kunna hålla sig uppdaterad inom området.
En annan viktig observation jag har gjort är att det är få som ifrågasätter besluten från dessa tillsynsmyndigheter. Nu behöver jag vara tydlig för att inte missuppfattas i detta sammanhang – jag tycker att tillsynsmyndigheterna i EU är experter på det de gör. De är riktiga experter på dataskydd! Det är inget jag ifrågasätter. Som jurist som har ägnat sex år av mitt liv på Datainspektionen (nuvarande IMY), har jag stor respekt för den kompetens som denna myndighet besitter.
Jag har dock kommit fram till en viktig insikt efter mina tolv år som jurist och sju år som dataskyddsjurist och det är att vi jurister sysslar med en bedömningssport. När jag hade arbetat med dataskydd i ett halvt år, kände jag att det här är hur enkelt som helst. Det här kan jag och nu kan jag bara gå vidare till ett annat rättsområde. Så fel jag hade!
Ju mer jag har arbetat med dataskydd desto mer har jag insett hur komplext detta område är. Det handlar dessutom många gånger om bedömningsfrågor. I dataskyddsvärlden pratar vi många gånger om och ena sidan och å andra sidan.
Om vi samlar en grupp på fem jurister och ber dem att svara på en juridisk fråga relaterad till dataskydd, skulle jag inte bli förvånad om vi får mer än ett svar. Om inte fem olika svar! Detta handlar inte om att några av dessa jurister har rätt och några har fel. Utan ibland kan alla ha rätt då det är en bedömningsfråga det handlar om. Men det är bara en tolkning som i slutändan ska ske för att kunna ge ett svar.
Därför blir jag förvånad när jag ser att besluten från tillsynsmyndigheterna, många gånger, tas emot av juristvärlden såsom om de har vunnit laga kraft. Jag blir även förvånad att vi jurister inte ifrågasätter saker och ting mer.
Nu till Kammarrättsdomarna!
Som många av er redan har uppmärksammat så har Kammarrätten upphävt Förvaltningsdomstolens domar och IMY:s beslut om sanktionsavgifter avseende fem vårdgivare. Dessa domar som är oerhört intressanta berör bl.a. bevisbördan i dataskydd.
De sistnämnda domarna handlar om den granskning som IMY gjorde gällande den behovs- och riskanalys som krävs för att kunna ge personalen rätt behörighet till personuppgifter i journalsystemen. Behörighetshantering är reglerad i patientdatalagen och tillhörande föreskrifter. IMY ansåg att det hos samtliga regioner saknades behovs- och riskanalyser kring personalens behov av åtkomst till journalsystemen och ansåg att detta bröt mot GDPR och att vårdgivarna därmed kunde åläggas sanktionsavgifter.
Kammarrätten bedömde att beslut om administrativ sanktionsavgift i dessa fall har straffrättslig karaktär varför beviskravet av rättssäkerhetsskäl bör ställas högt. Å andra sidan måste det beaktas att syftet med sådana ingripanden är att bevaka bl.a. intresset för fysiska personers skydd för sina personuppgifter. Beviskravet kan därför enligt Kammarrätten inte ställas lika högt som för en fällande dom i ett brottmål (jfr RÅ 1994 ref. 88). Kammarrätten ansåg därför att beviskravet ska vara detsamma som gäller för att påföra skattetillägg, dvs. det ska klart framgå att förutsättningarna för att besluta om administrativ sanktionsavgift är uppfyllda.
Kammarrätten delade IMY:s bedömning att aktuella bestämmelser i patientdatalagen med anslutande föreskrifter anger ett krav på att behörighetstilldelning föregås av behovs-och riskanalyser så att varje vårdgivare säkerställer att varje användare får rätt behörighet för sin åtkomst till patientjournaler.
Kammarrätten bedömde dock till skillnad från IMY att det inte ställs något krav på att en behovs- och riskanalys ska ha en särskild form, exempelvis att det har upprättats ett särskilt dokument om analysen. Den ansvarsskyldighet som föreskrivs i artikel 5.2 i dataskyddsförordningen innebär inte heller, enligt Kammarrättens mening, något krav på i vilken form den personuppgiftsansvarige ska visa att principerna för behandling av personuppgifter i artikel 5.1 efterlevs.
Kammarrätten bedömde slutligen att IMY inte har förmått bevisa att sjukhusen har brustit i sina skyldigheter att säkerställa en lämplig säkerhetsnivå vid tilldelning av behörighet till sjukhusens journalsystem. Det saknades därför grund för att påföra sjukhusen sanktionsavgifter.
Utan att djupdyka mer än så i dessa domar, så vill lyfta att jag inte är förvånad över att Kammarrätten kom fram till andra slutsatser än IMY gjorde. Det är svåra bedömningsfrågor där vi inte har mycket praxis i området. Frågan är om beviskraven inte ska harmoniseras i hela EU eller om det är så att sanktionsavgifter enligt GDPR ska jämföras med skattetillägg. Jag anser att denna fråga inte är avgjord än.
Jag som inte kunde låta bli att tänka på dessa domar under fikat idag, passade på att fråga vår konsultchef Lisa Lundin om dem.
– Vad tycker du om domarna Lisa? frågade jag nyfiket.
– Jag tycker i regel att det är bra när tillsynsmyndigheternas beslut överklagas, inte för att de nödvändigtvis är fel, utan för att vi behöver mer praxis på området. Dataskyddsarbete innebär avvägningar mellan olika intressen och vi behöver mer vägledning om hur det bör göras – inte minst när IMY:s slutsatser tangerar tillämpningen av andra regelverk eller annan praxis, svarade Lisa.
Jag kan bara instämma med Lisa och ser fram emot fortsättningen i detta. Så bli inte så förvånade om dessa domar överklagas.