Sök

Förvaltningsrätten i Stockholm ändrade den 10 juni 2022 Integritetsskyddsmyndighetens beslut om att MedHelp AB ska betala sanktionsavgifter om 12 miljoner för överträdelse av dataskyddsförordningen. Skälet för beslutet var bland annat bolagets överföring av personuppgifter till det thailändska bolaget MediCall (Sweden) Co, som behandlat personuppgifter i samband med sjukrådsupplysning via 1177 som utförts på uppdrag av MedHelp. Förvaltningsrätten upphävde beslutet och återförvisade det i en del till IMY. I övriga delar ändrade förvaltningsrätten beslutet på så sätt att de utfärdade sanktionsavgifterna sattes ned.

Förvaltningsrätten fann, till skillnad från IMY, att MedHelp haft rätt att överföra personuppgifter till MediCall och låta bolaget behandla personuppgifter i samband med den sjukvårdsupplysning som bolaget utförde på uppdrag från MedHelp. I korthet var grunden att MediCall varit att anse som vårdgivare vars personal omfattats av tystnadsplikt för svensk hälso- och sjukvård samt de avtal som MedHelp träffat med de berörda regionerna. Mot bakgrund av detta upphävde förvaltningsrätten IMY:s beslut i denna del. Förvaltningsrätten konstaterade dock att överlämnandet av personuppgifter till MediCall inneburit att personuppgifterna överförts till tredjeland. Eftersom IMY inte prövat huruvida den aktuella överföringen uppfyllt kraven vid tredjelandsöverföring återförvisade förvaltningsrätten målet i denna del till IMY för förnyad prövning.

I likhet med IMY fann förvaltningsrätten att MedHelp brustit i sin skyldighet att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en lämplig säkerhetsnivå, inte uppfyllt sin informationsskyldighet gentemot de registrerade samt inte vidtagit lämpliga tekniska säkerhetsåtgärder för att säkerställa förmågan att återställa tillgänglighet och tillgång till personuppgifter vid en incident. Vidare fann förvaltningsrätten, i likhet med IMY, att det fanns skäl att påföra sanktionsavgift för överträdelserna. Med hänsyn till att MedHelp efter incidenten vidtagit åtgärder för att förhindra ytterligare skada och förebygga framtida incidenter, vilka i vissa fall varit mer långtgående än vad som krävts enligt lagstiftning, fann dock förvaltningsrätten att det fanns skäl att sätta ned sanktionsavgiften. Sammantaget bestämdes den sammanlagda sanktionsavgiften i stället till 8 800 000 kr.

 

Kontakta oss gärna om ni är intresserade av att ta del av en mer utförlig sammanfattning eller domen i sin helhet!

TM & Partners har biträtt ett industribolag med en upphandling av globala nätverkstjänster. Det omfattande projektet, som pågick i flera år, involverade upphandling av SD-WAN, transport- och andra nätverkstjänster. Utrullningen kommer att ske på ca 500 siter i ca 150 länder.

Vi hjälpte klienten genom hela processen, från RFP till avtalssignering.

Avtalen ingicks under våren/sommaren 2022.

TM & Partners team bestod av Fredrik Gustafsson, Erik Woodcock, Karolina Kjellberg och Arvid Riemer.

TM & Partners har medverkat vid avtalsutformning och förhandlingar om ett avtal som omfattar såväl arbetsplatstjänster, nätverkstjänster som servertjänster i hybridmoln m.m., allt i syfte att få till stånd ett strategiskt samarbete för fastighetsbolagets fortsatta digitalisering.

Avtalet ingicks i mars 2022.

TM & Partners team bestod av Erik Woodcock, Fredrik Gustafsson och Arvid Riemer.

TM & Partners har biträtt en bank med ett avtal rörande en kortutgivningsplattform (CaaS, Card as a Service). Utöver avtalsfrågor och avtalsförhandlingar biträde Tech, tillsammans med Bank och Finans-gruppen, även klienten med finansregulatoriska frågor, såsom EBA:s riktlinjer om outsourcing och PSD 2.

Avtalet ingick i december 2021.

TM & Partners team bestod av Fredrik Gustafsson, Erik Woodcock, Eva Sundling, Karolina Kjellberg och Kristoffer Vasberg.

TM & Partners har biträtt ett industribolag med ett avtal avseende SD-WAN och andra globala nätverkstjänster. Tjänsterna kommer att rullas ut i alla de länder (40+) där bolaget är etablerat.

Avtalen ingicks under juni 2021.

TM & Partners team bestod av Fredrik Gustafsson.

 

TM & Partners har biträtt ett industribolag med ett managed service-avtal avseende cyber security, inklusive Application Operations (AO) och konsulttjänster.

Avtalsvärdet uppgår till ca 4 miljoner SEK per år.

Avtalet ingicks under mars 2021.

TM & Partners team bestod av Fredrik Gustafsson och John Park.

TM & Partners har biträtt ett drivmedelsföretag med ett avtal rörande nya betalkortterminaler och digitala betalningslösningar. Utrullningen kommer att pågå under längre tid, på hundratals platser i flera länder. Avtalet är en del i företagets digitala transformation.

Avtalet ingicks i december 2021.

TM & Partners team bestod av Fredrik Gustafsson och Erik Woodcock.

TM & Partners har biträtt ett industribolag med ett Application Development och Maintenance-avtal (ADM) med en av de globala IT-leverantörerna. Tjänsterna kommer att användas i flera jurisdiktioner.

Avtalsvärdet uppgår till ca 4 miljoner euro per år.

Avtalen ingicks under augusti 2021.

TM & Partners team bestod av Fredrik Gustafsson, Erik Woodcock och Karolina Kjellberg.

Kammarrätten upphävde den 16 maj förvaltningsrättens och IMY:s beslut om att fem aktörer inom hälso- och sjukvården ska betala sanktionsavgifter för överträdelse av EU:s dataskyddsförordning. I samtliga fall utom ett upphävdes också IMY:s förelägganden om att aktörerna skulle åtgärda vissa brister.

I alla mål fäste kammarrätten betydande vikt vid bevisbördans placering och vilket beviskrav som ska tillämpas vid sanktionsavgifter. Kammarrätten konstaterade att IMY har bevisbördan för att förutsättningarna för att påföra en sanktionsavgift enligt dataskyddaförordningen är uppfyllda. Vad gäller beviskravet ska det klart framgå att förutsättningarna för att besluta om en administrativ sanktionsavgift är uppfyllda. Det är ett högt beviskrav och detsamma som gäller för att påföra skattetillägg, men inte lika högt som för en fällande dom i brottmål.

Kammarrätten konstaterade också att den behovs- och riskanalys som ska föregå tilldelning av behörigheter till sjukhuspersonal inte är bunden av formkrav. Avgörande är i stället att personuppgiftsansvarig har säkerställt en lämplig säkerhetsnivå. Vad gäller behörighet för tillgång till personuppgifter konstaterade kammarrätten att behörigheten var anpassad till vad användaren behöver för att kunna fullgöra sina arbetsuppgifter. Detta mot bakgrund av att en användare skyndsamt kan behöva tillgodogöra sig samtliga uppgifter om en patient för att vårda denne. Funktionen ”aktiva val” hade använts som integritetshöjande åtgärd. Kammarrätten konstaterade att behörigheten inte kunde bedömas utan underlag avseende vilken behörighet som krävs för en god och säker vård. Sådant underlag hade inte presenterats av IMY.

TM & Partners har biträtt en IT leverantör vid en första generationens outsourcing från ett försäkringsbolag. Avtalet omfattar flera jurisdiktioner. Utöver avtalsfrågor och förhandlingar biträde vi även klienten med arbetsrättsliga frågor.

Avtalsvärdet beräknas uppgå till ca 5 miljoner euro per år.

Avtalet ingick i mars 2022.

TM & Partners team bestod av Per Granström, Fredrik Gustafsson, Karolina Kjellberg och Lisa Ericsson.

Cookie Policy
TM & Partners

För att göra denna hemsidas funktioner och information tillgängliga för dig använder vi oss av cookies. En cookie är en textfil som sparas på din enhet, förutsatt att du har godkänt det. För närmare information, vänligen se Cookie Policy.

Nödvändiga

Nödvändiga cookies sparar en anonym cookie lokalt på din enhet för att minnas om du avböjt eller accepterat övriga cookies.

Prestanda

Prestandacookies används specifikt för att samla in data om hur besökare använder en websida, vilka sidor som besöks mest frekvent och förekommande felmeddelanden. Den här sortens cookies övervakar endast websidans prestanda när besökaren interagerar med den. De samlar inte in identifierbar information om unika besökare, vilket betyder att samtliga data är anonym och endast används för att förbättra websidans funktionalitet.