Höga beviskrav vid sanktionsavgifter

Kammarrätten upphävde den 16 maj förvaltningsrättens och IMY:s beslut om att fem aktörer inom hälso- och sjukvården ska betala sanktionsavgifter för överträdelse av EU:s dataskyddsförordning. I samtliga fall utom ett upphävdes också IMY:s förelägganden om att aktörerna skulle åtgärda vissa brister.

I alla mål fäste kammarrätten betydande vikt vid bevisbördans placering och vilket beviskrav som ska tillämpas vid sanktionsavgifter. Kammarrätten konstaterade att IMY har bevisbördan för att förutsättningarna för att påföra en sanktionsavgift enligt dataskyddaförordningen är uppfyllda. Vad gäller beviskravet ska det klart framgå att förutsättningarna för att besluta om en administrativ sanktionsavgift är uppfyllda. Det är ett högt beviskrav och detsamma som gäller för att påföra skattetillägg, men inte lika högt som för en fällande dom i brottmål.

Kammarrätten konstaterade också att den behovs- och riskanalys som ska föregå tilldelning av behörigheter till sjukhuspersonal inte är bunden av formkrav. Avgörande är i stället att personuppgiftsansvarig har säkerställt en lämplig säkerhetsnivå. Vad gäller behörighet för tillgång till personuppgifter konstaterade kammarrätten att behörigheten var anpassad till vad användaren behöver för att kunna fullgöra sina arbetsuppgifter. Detta mot bakgrund av att en användare skyndsamt kan behöva tillgodogöra sig samtliga uppgifter om en patient för att vårda denne. Funktionen ”aktiva val” hade använts som integritetshöjande åtgärd. Kammarrätten konstaterade att behörigheten inte kunde bedömas utan underlag avseende vilken behörighet som krävs för en god och säker vård. Sådant underlag hade inte presenterats av IMY.