Integritetsskyddsmyndigheten, IMY, beslutade i juni 2021 att påföra två företag samt Region Stockholm och Region Värmland sanktionsavgifter för att ha behandlat personuppgifter i strid med EU:s dataskyddsförordning.
IMY inledde en granskning mot aktörerna efter att det framkommit att 650 000–900 000 inspelade samtal till sjukvårdsupplysningen på 1177 legat öppet tillgängliga på internet.
Det sjukvårdsrådgivningsbolag som agerat personuppgiftsansvarig för lagringen påfördes en sanktionsavgift om cirka tolv miljoner kronor. Det andra bolaget, personuppgiftsbiträdet, påfördes en sanktionsavgift om 650 000 kronor medan regionerna skulle betala 250 000 respektive 500 000 kronor.
Sjukvårdsrådgivningsbolaget slöt ett avtal med Region Stockholm och Region Värmland om sjukvårdsrådgivning. För uppdraget anlitade bolaget en thailändsk underleverantör som enbart bedriver verksamhet i Thailand, men sjuksköterskorna som arbetar där har svensk legitimation. Cirka 20 procent av trafiken gick till underleverantören medan sjukvårdsrådgivningsbolaget hanterade resten av samtalen.
Utöver att ha orsakat att ett stort antal känsliga personuppgifter låg öppet tillgängliga under lång tid fann IMY att bolaget hade lämnat ut uppgifter till den thailändska underleverantören i strid med kravet på att personuppgifter inom sjukvården bara får behandlas av vårdgivare i Sverige.
Bolagen och regionerna överklagade besluten till Förvaltningsrätten i Stockholm, som satte ned sanktionsavgifterna för företagen men i övrigt fastställde IMY:s beslut.
Till skillnad från IMY ansåg förvaltningsrätten att den thailändska underleverantörens behandling av personuppgifter i sig inte har inneburit en överträdelse av dataskyddsförordningen. Domstolen bedömde nämligen att det thailändska bolaget var en svensk vårdgivare som omfattades av tystnadsplikt. Denna del av beslutet upphävdes därför.
Genom överlämnandet av personuppgifter till underleverantören i Thailand har dock sjukvårdsrådgivningsbolaget överfört personuppgifter till ett land utanför EU. Målet återförvisas i denna del till IMY för prövning av om överföringen hade skett i enlighet med kapitel V i dataskyddsförordningen.
Beträffande själva lagringen konstaterade domstolen att sjukvårdsrådgivningsbolaget inte har uppfyllt sina skyldigheter i flera avseenden – bland annat genom att inte säkerställa en lämplig säkerhetsnivå och informera de registrerade.
Eftersom förvaltningsrätten återförvisade en beslutspunkt skulle den del av sanktionsavgiften som är hänförlig dit – tre miljoner kronor – inte påföras bolaget. Därutöver beaktade rätten att bolaget hade vidtagit informationssäkerhetsåtgärder efter incidenten och ansåg sammantaget att avgiften skulle bestämmas till 8,8 miljoner kronor.
För personuppgiftsbiträdet sänktes sanktionsavgiften till 500 000 kronor, men regionernas överklaganden avslogs.
IMY yrkar i Kammarrätten i Stockholm att sanktionsavgiften mot sjukvårdsrådgivningsbolaget ska bestämmas till 11,3 miljoner kronor. Bolaget, å sin sida, yrkar att beslutet om sanktionsavgift upphävs.
Såväl IMY som bolaget menar att förvaltningsrättens återförvisning innebär en utvidgning av ramarna för tillsynen och att detta strider mot IMY:s oberoende samt att detta riskerar att bli till nackdel för enskild.
Kammarrätten anser i likhet med parterna att förvaltningsrätten inte har haft rätt att återförvisa ärendet för utredning av en potentiell överträdelse som inte tidigare prövats av IMY. En sådan återförvisning strider nämligen mot principen reformatio in pejus, det vill säga att klaganden inte ska riskera att hamna i ett sämre läge genom att överklaga ett tillsynsbeslut. Förvaltningsrättens återförvisningsbeslut ska därför undanröjas.
Frågan därefter är om sjukvårdsrådgivningsbolaget har haft rättsligt stöd för att överföra personuppgifter till underleverantören i Thailand och låta det bolaget behandla sådana uppgifter.
Kammarrätten konstaterar här att hälso- och sjukvård är en nationell angelägenhet och ska bedrivas inom Sveriges gränser. Domstolen anser på grund av detta att underleverantören inte kan anses vara vårdgivare enligt hälso- och sjukvårdslagen. Att bolaget har gett sjukvårdsupplysningar på svenska till svenskar samt att det varit yrkesutövare med svensk sjuksköterskelegitimation som besvarar samtalen ändrar inte bedömningen.
Sjukvårdsrådgivningsbolaget, som anlitat underleverantören, anses ha möjliggjort behandling av känsliga personuppgifter i strid med dataskyddsförordningen. Även i övrigt fastställs IMY:s beslut. Sanktionsavgiften bestäms därför till yrkade 11,3 miljoner kronor.