Flera sjukhus och regioner slipper sanktionsavgift enligt GDPR
Kammarrätten upphäver förvaltningsrättens och Integritetsskyddsmyndighetens (IMY) beslut att fem sjukhus och regioner ska betala sanktionsavgift enligt GDPR. Även IMY:s förelägganden om att brister ska åtgärdas upphävs utom i ett fall.
Kammarrätten anser att det ska ställas höga krav på IMY:s bevisning för att sanktionsavgift ska få beslutas. Enligt kammarrätten har IMY inte kunnat bevisa att sjukhusen och regionerna har brustit i sina skyldigheter enligt GDPR att säkerställa en lämplig säkerhetsnivå vid tilldelning av behörigheter i journalsystemen. Det har därför inte funnits skäl att påföra sanktionsavgifter och dessa ska upphävas. IMY:s förelägganden om att bristerna ska åtgärdas upphävs därför också. För ett av sjukhusen anser kammarrätten att det finns fog för ett föreläggande om att förbättra innehållet i loggar om åtkomst till journalsystem.
Publicerad 9 jun 2022
