GDPR-sanktion på grund av uppgifter i fönsterkuvert
Av en dom från kammarrätten framgår att uppgifter om specifika vårdinrättningar i fönsterkuvert utgör behandling av känsliga personuppgifter, vilket ställer stora krav på säkerhet. Tillsammans med ett avgörande från EU-domstolen klargör domen att säkerheten behöver hanteras även vid hantering av pappershandlingar och muntliga besked. Vår expert Monika Wendleby analyserar avgörandet och beskriver vad domen får för konsekvenser.
Bakgrund
Integritetsskyddsmyndigheten (IMY) inledde en tillsyn mot Hälso- och sjukvårdsregionen i Dalarna med anledning av information som framkommit i ett klagomål från en registrerad. Hen hade i maj 2021 mottagit en kallelse via brev till vårdbesök inom Region Dalarna (regionen). Den registrerade var missnöjd med att kallelsen låg i ett fönsterkuvert och att uppgifter om att det var en kallelse, klagandens namn och adress samt den vårdinrättning kallelsen avsåg var fullt synliga i kuvertets fönster. I det aktuella fallet rörde det sig om en kallelse till besök hos Sömnlaboratoriet i Avesta och Samtalsmottagningen för barn och unga i Falun.
Tillsynen ledde till ett beslut (2023-01-17, IMY-2022-695) där en sanktionsavgift på 200 000 kronor beslutades på grund av att regionen brutit mot artikel 32 i Europaparlamentets och rådets förordning (EU) 2016/679 (dataskyddsförordningen, GDPR), som reglerar säkerhet vid personuppgiftsbehandling.
Beslutet överklagades. Både Förvaltningsrätten i Stockholm (2023-09-07, mål nr 1930-23) och Kammarrätten i Stockholm (2024-03-27, mål nr 5794-23) fastställde beslutet.
Beslutet och domarna innehåller ett antal intressanta frågor, som jag i denna analys kommer att fördjupa mig i.
Dataskyddsförordningen är tillämplig för utskick av fysiska brev
Frågan rör uppgifter som syns i fönstret på kuvert, vilket gör att man först måste fastställa om dataskyddsförordningen ens är tillämplig. Detta är inte helt självklart eftersom behandlingen inte företagits på automatisk väg. För att bedöma detta behöver omfattningen av artikel 2.1 GDPR prövas.
Av artikel 2.1 GDPR framgår att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
IMY bedömer i sitt beslut att förordningen är tillämplig eftersom regionens ”behandling av personuppgifterna består av en serie av åtgärder där regionens utlämnande av personuppgifter med fysisk post varit en del”. IMY konstaterar även att den bakomliggande delen av processen var automatiserad. Sammantaget bedöms därför behandlingen omfattas av dataskyddsförordningen.
Båda överinstanserna instämmer i att det rörde en delvis automatiserad behandling av personuppgifter som omfattas av dataskyddsförordningens tillämpningsområde.
Slutsatsen som görs av de tre instanserna är rimlig, särskilt efter den bedömning som EU-domstolen nyligen gjort i mål C-740/22 (Endemol Shine Finland Oy, dom den 7 mars 2024). I den domen konstaterade domstolen att till och med muntliga besked kan omfattas av dataskyddsförordningen, om de föregås av behandlingar i ett register eller kommer att hamna i ett register. I det fallet ville en person få ta del av handlingar som förvarades i en tingsrätt. Då domstolen inte kunde svara på frågan utan att använda sitt målregister blev dataskyddsförordningen tillämplig. Till saken hör även att EU-domstolen tidigare lagt en låg ribba för vad som kan anses vara ett register, se C-25/17 (Jehovan todistajat, dom den 10 juli 2018).
Slutsatsen av de olika avgörandena är att ribban för när dataskyddsförordningen blir tillämplig är låg, sannolikt lägre än många räknade med när de genomförde sina GAP-analyser under 2018. Även om en organisation hanterar pappershandlingar eller ger muntliga besked kan dataskyddsförordningen bli tillämplig om personuppgifter ingår och det ingår en automatisk behandling av personuppgifter i kedjan (antingen före eller efter), eller om uppgifterna kommer från eller ska ingå i ett register. Detta innebär sannolikt att många organisationer har en hel del personuppgiftsbehandling som man inte hanterat enligt regelverket. Sannolikt finns även en hel del incidenter som inte identifierats. Som kammarrättens avgörande visar får avgränsningen även stor betydelse när det gäller säkerhet vid behandling (se vidare avsnittet ”Risker med behandlingen”).
Känsliga personuppgifter
En fråga som diskuterats i alla tre avgöranden är om hanteringen omfattat känsliga personuppgifter, vilket enligt min mening borde vara självklart eftersom begreppet är mycket vitt, se EU-domstolens mål C-101/01 (Lindqvist) och C-184/20 (Vyriausioji tarnybines etikos komisija) som åberopas i avgörandena.
Förvaltningsrätten gör dock i denna fråga en bedömning som enligt min mening inte har stöd i rättspraxis när den konstaterar följande:
”Förvaltningsrätten kan mot bakgrund av ovanstående konstatera att den vård som bedrivs vid Barn- och ungdomsmedicinska mottagningen Mora visserligen är specifik i det avseendet att den riktar sig mot barn och ungdomar samt att den sjukvård som bedrivs kräver mer specialistkunskap och resurser än vad som normalt finns på vårdcentralen. Vid en kallelse till mottagningen går det dock inte att dra någon närmare slutsats om vilket hälsotillstånd som ligger till grund för själva kallelsen, eftersom den vård som bedrivs vid mottagningen omfattar ett brett spektrum av insatser. Förvaltningsrätten anser därför att uppgiften om att någon är kallad till mottagningen inte ger någon konkret information om den kallades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Det rör sig därför inte om en uppgift om hälsa i den mening som avses i artikel 4.15 dataskyddsförordningen.”
I rättsfall från EU-domstolen som citeras i avgörandena framgår att känsliga personuppgifter är ett brett begrepp. I mål C-184/20 finner EU-domstolen att uppgiften att man är gift eller sambo med en person kan avslöja sexuell läggning, som är en känslig personuppgift. Att man är gift eller sambo behöver förstås inte entydigt klargöra sexuell läggning, men ger tillräckliga indikationer. Kammarrätten gör utifrån detta en rimligare bedömning:
”Den omständigheten att en person kallas till en vårdinrättning kan enligt kammarrätten ge medicinsk information om den kallade personen under förutsättning att den vård som ges vid vårdinrättningen är specifik på så sätt som är fallet för de i målet aktuella vårdinrättningarna. En kallelse till en sådan vårdinrättning kan därmed anses avslöja uppgifter om den kallade.”
Jämför man kammarrättens dom med EU-domstolens domar kanske även kammarrätten är för strikt i sin bedömning. De flesta vårdinrättningar indikerar genom namn på kliniker eller mottagningar vilken typ av vård som ges eller vilka sjukdomstillstånd som kan aktualiseras. Den som hanterar känsliga personuppgifter bör därför enligt min mening vara mycket försiktig med vad som framgår av kuvert. Att enbart ha namnet på ett större sjukhus eller, än hellre, regionens namn bör räcka på kuvertet. Behöver man kunna hantera returer kanske man kan ange koder som inte avslöjar något för obehöriga.
Risker med behandlingen
Efter att ha konstaterat att regionen är personuppgiftsansvarig för behandlingen och att behandlingen omfattat känsliga personuppgifter prövar IMY hur regionen hanterat sina skyldigheter i artikel 32 GDPR.
Av artikel 32.1 GDPR följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen. Bedömningen av vilka åtgärder som är lämpliga ska ske med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. I skäl 75 GDPR anges faktorer som ska beaktas vid bedömningen av risken för fysiska personers rättigheter och friheter. Bland annat nämns förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt samt om behandlingen avser uppgifter om hälsa eller sexualliv.
IMY finner i sitt beslut att behandlingen har inneburit en hög risk. I detta har myndigheten beaktat följande:
”Enligt uppgift från regionen har kallelser som visat avsändande mottagning skickats från Barn- och ungdomsmedicinska mottagningen Mora, Samtalsmottagningen barn och unga Falun och Sömnlaboratoriet i Avesta. Utredningen i ärendet visar att mottagningarna erbjuder vård för barn och unga i åldern 0–17 år med sjukdomar och ohälsa som kräver mer specialistkunskap och resurser än vad som normalt finns på vårdcentral, hjälp för barn och unga upp till 17 år med lindrig till måttlig psykisk ohälsa respektive utredning och behandling av olika sömnbesvär.
IMY konstaterar att begreppet hälsa ska tolkas brett och bedömer att den vård som ges vid vårdinrättningarna i fråga är så pass specifik att en kallelse till besök på någon av dessa mottagningar får anses ge information om den enskildes fysiska eller psykiska hälsotillstånd.
IMY bedömer mot den bakgrunden att uppgifterna gällande dessa vårdinrättningar, som varit fullt synliga vid utskicken, utgör uppgifter om hälsa i den mening som avses i artikel 4.15 i dataskyddsförordningen. Uppgifterna är därmed s.k. känsliga personuppgifter som omfattas av skyddet enligt artikel 9.1 i förordningen.”
IMY konstaterar även att uppgifterna omfattas av sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), OSL. Myndigheten väger även in att vårdinrättningarnas verksamhet rör personer under 17 år och att barn anses särskilt skyddsvärda.
Överinstanserna fördjupar sig inte i riskbedömningen. Det finns dock ett resonemang hos förvaltningsrätten, som inte känns hållbart. Domstolen verkar inte särskilt oroad över att distributionen skett med post, eftersom tjänstemän där har tystnadsplikt. Däremot menar domstolen att uppgiften kan ha röjts för andra personer i hushållet, vilket förstås är en riktig slutsats.
Om man utgår ifrån att behandlingen omfattas av dataskyddsförordningen är slutsatsen som IMY gör rimlig. Däremot verkar förvaltningsrätten blanda ihop olika regelverk. Bara för att någon har tystnadsplikt kan denne inte få tillgång till mer uppgifter än man behöver för att utföra arbetet, vilket följer av principen om uppgiftsminimering i artikel 5 GDPR. Postanställda behöver inte veta vilken mottagning som skickat handlingen eller ens att det är en kallelse, här räcker det med att veta adressen. Förvaltningsrättens synsätt är alltså inte korrekt. Sekretess och tystnadsplikt minskar inte skyldigheten att uppgiftsminimera. Det påverkar inte heller några andra principer (till exempel principen om konfidentialitet) i artikel 5 GDPR. Jag har ibland sett att domstolar skickat ut domar med känsliga personuppgifter utan kryptering eftersom domen är en allmän handling. OSL och dataskyddsförordningen kompletterar varandra i vissa avseenden, men man kan inte dra några långtgående slutsatser i bedömningar enligt dataskyddsförordningen av vad som omfattas av sekretess.
Krav på säkerhet måste följas upp
Med tanke på att det föreligger stora risker behöver enligt artikel 32 GDPR relevanta åtgärder vidtas. Alla instanserna är överens om att de åtgärder som vidtagits inte varit tillräckliga.
IMY noterar i denna del att regionen borde ha säkerställt att de känsliga personuppgifterna inte var synliga. När detta inte gjorts hade regionen brutit mot artikel 32 GDPR. I sammanhanget är det intressant att regionen enligt IMY:s beslut försökt att vidta åtgärder:
”Det kan konstateras att regionens uppfattning visserligen är att det inte ska framgå av kuvertet vilken mottagning som en kallelse till vårdbesök avser och att regionen därför upphandlat en tjänst i syfte att dölja avsändande mottagning. Efter att IMY inlett tillsyn genomförde regionen dock en utredning som visade att den aktuella tjänsten endast omfattade kallelser om maximalt fem A4-ark och att övriga kallelser skickats i kuvert som visat vilken klinik som besöket avsåg. IMY konstaterar att det har ankommit på regionen som personuppgiftsansvarig att inför behandlingen i fråga säkerställa att den aktuella tilläggstjänsten uppfyllde behovet av att hålla uppgifterna dolda från andra än mottagaren av brevet.”
Förvaltningsrätten konstaterar i sin dom att regionen under processens gång vidtagit åtgärder i form av ändringar av den mall som användes (den som omfattade fler än fyra sidor) och anger torrt att ”justeringen förefaller inte varit förenat med några större genomförandekostnader”.
Den slutsats man kan dra är att det inte räcker med goda intentioner i en upphandling. Man måste även följa upp hur hanteringen ser ut i praktiken. En annan aspekt är att all personal som arbetar med personuppgifter måste förstå regelverket. Med en bra grundutbildning kan medarbetare bli aktiva i arbetet att säkerställa att arbetet blir korrekt, i det här fallet att mallen inte förorsakade de problem den gjorde.
Man kan inte heller åberopa behoven av en effektiv hantering som skäl för att slippa vidta åtgärder. Sannolikt var det dyrare att upphandla en tjänst som medgav fler än fyra sidors brev, men detta håller inte. Kammarrätten underkänner i sin dom regionens argument om effektivitetsvinster: ”Vad Region Dalarna fört fram om att den aktuella hanteringen underlättat bland annat returer medför inte att det finns skäl att göra någon annan bedömning.” Det är intressant att regionen åberopat returhanteringen, vilket antyder att man kanske egentligen ville ha alla uppgifter synliga?
Andra slutsatser av avgörandet
Avgörandet kan enligt min mening tjäna som en väckarklocka, eftersom det visar att artikel 32 GDPR är tillämplig i många fall i det dagliga arbetet. Domen rörde personuppgifter på fönsterkuvert men även annan hantering av pappershandlingar bör ses över. Ett riskområde kan vara utskrifter som blir liggande i skrivare eller framme på bord. Ett annat kan vara pärmar med papper som står framme så fler än de som behöver arbeta med handlingarna kan ta del av dem. Sitter man i gemensamma lokaler kan det vara svårt att dölja innehållet på skärmar från andra anställda.
Till det kommer hanteringen av muntliga besked som baseras på uppgifter i register. Det är inte ovanligt att personer som sitter i väntrum inför ett läkarbesök kan överhöra vad som sägs om andra patienter, till exempel när de ska betala. Ofta behöver den patient som betalar även ange sitt personnummer, som är en annan integritetskänslig uppgift.
Av samma sätt kan kontorslandskap i miljöer där många känsliga personuppgifter hanteras innebära risker. Saknar man möjlighet att gå in i tysta rum vid samtal finns det risk att andra hör dem, vilket kan innebära brister i säkerheten.
Analys av Kammarrätten i Stockholm 2024-03-27, mål nr 5794-23.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 6 maj 2024
Jurist, managementkonsult och författare av GDPR-böcker
