Inspelade samtal hos 1177 låg öppet på internet – sanktionsavgift
Inspelade samtal hos 1177 låg öppet på internet – sanktionsavgift
Efter att det uppmärksammats att inspelade samtal till 1177 legat öppet tillgängliga på̊ internet inledde Integritetsskyddsmyndigheten, IMY, en tillsyn som utmynnade i att flera aktörer bedömdes ha begått brott mot EU:s dataskyddsförordning, GDPR, och därför tvingades betala sanktionsavgifter. En av dessa aktörer var Region Värmland som överklagade myndighetens beslut till Förvaltningsrätten. Domstolen fann emellertid att regionen brustit i sin behandling av personuppgifter varför överklagandet avslogs.
2,7 miljoner inspelade samtal avseende vårdupplysning har lagrats på lättillgänglig server
Tidningen Computer Sweden publicerar år 2019 en artikel med rubriken ”2,7 miljoner inspelade samtal till 1177 Vårdguiden helt oskyddade på nätet”, vilket föranleder IMY att inleda en granskning. Vid granskningen visar det sig att inspelningar av sjukvårdsrådgivning över telefon som tillhandahållits av tre regioner, däribland region Värmland, hamnat på en helt öppen server som kunnat nås av vem som helst. Vad som hänt är att Inera, ett bolag ägt av bland andra Sveriges regioner som arbetar med digitalisering inom vården, har anlitat företaget MedHelp. Sistnämnda företag är en av de vårdgivare som anlitats av 1177 för att ge sjukvårdsrådgivning. MedHelp har i sin tur anlitat ett bolag baserat i Thailand för att hantera samtal under helger och nätter. När personer ringt till 1177 för rådgivning har deras samtal kopplats från MedHelp, via växlar tillhörande ett bolag kallat Voice, till företaget i Thailand. Det är på en server tillhörande Voice som de inspelade samtalen hittats av Computer Sweden. Anledningen till att ljudinspelningarna kunnat nås av vem som helst är att servern varit felkonfigurerad och inte har använt krypterad kommunikation.
Region Värmland har brustit i sin informationsskyldighet
Att personuppgifterna funnits öppet tillgängliga på det här sättet är enligt IMY ytterst problematiskt med hänsyn till GDPR. Det har vidare varit många aktörer inblandade och myndighetens granskning av incidenten har till stor del handlat om att reda ut vem som bär ansvaret för vad. De personuppgifter som just regionerna ansvarat för behandlingen av visar sig vara uppringarnas kommun-id och telefonnummer. Vidare bedömer IMY att den behandling som Region Värmland genomfört av dessa personuppgifter i sig varit godtagbar enligt dataskyddsförordningen. GDPR föreskriver dock även en långtgående informationsplikt för de aktörer som behandlar personuppgifter och i just det avseendet har Region Värmland inte levt upp till de krav som ställs. Informationsplikten innebär främst att personer vars uppgifter registreras ska upplysas om att detta sker och varför. IMY beslutar därför om att påföra Region Värmland en sanktionsavgift på 250 000 kr i juni 2021. Regionen anser emellertid att det rör sig om en överträdelse av mindre allvarlig karaktär och att sanktionsavgiften är en allt för långtgående konsekvens. Man överklagar därför beslutet till Förvaltningsrätten med yrkande om att avgiften ska ersättas av mildare sanktion, eller i vart fall sättas ned till ett lägre belopp.
Uppgifter hämtade från telefonoperatör ska anses komma direkt från den registrerade
Inledningsvis anför Region Värmland att IMY grundat sin bedömning på fel bestämmelse i GDPR. Enligt IMY har personuppgiftsbehandlingen skett i strid med art. 13 som föreskriver vilken information som ska tillhandahållas när personuppgifter samlas in direkt från den person som registreras, samt hur den informationen ska delges. Då uppgifterna i fallet inhämtats från de registrerades telefonoperatörer, för att sedan vidarebefordras till 1177, menar regionen att uppgifterna inte insamlats direkt från de registrerade och att det därför är art. 14 som ska tillämpas. Tillämpning av art. 14 innebär enligt regionen att information behöver utlämnas till de registrerade i ett senare skede än vad som gäller för art. 13.
Regionen medger visserligen att korrekt information fortfarande inte lämnats ut, men hävdar att det faktum att informationsskyldigheten inträtt senare än vad IMY gör gällande innebär att myndigheten gjort en felaktig bedömning av situationens allvar.
Förvaltningsrätten anför inledningsvis att bestämmelserna är i stort sett likvärdiga avseende vilken information som ska lämnas ut och under vilka omständigheter. Enligt domstolen gör det därmed ingen större skillnad för bedömningen vilken artikel som används. Dessutom konstaterar domstolen att vad som åsyftas i art. 13 dels är uppgifter som den registrerade medvetet lämnat över, dels information som inhämtats genom observationer av den registrerade. Enligt rätten innebär den process att telefonoperatörerna vidarebefordrat uppgifter till 1177 en sådan observation som kan utgöra grund för tillämpning av art. 13. IMY har därmed inte använt fel bestämmelse som utgångspunkt för sin bedömning av regionens informationsplikt.
Region Värmland har brutit mot art. 13 och 5.1 a
Region Värmland framför även att undantag från informationsplikten föreligger i situationer då den registrerade redan innehar relevant information om hur personuppgifter kommer behandlas. Enligt regionen utgår vårdsökande, som använder en tjänst såsom 1177, troligtvis från att deras uppgifter förmedlas vidare varför informationsplikten borde anses uppfylld.
Domstolen konstaterar att det visserligen finns ett undantag i art. 13.4 som innebär att informationsplikten kan anses uppfylld om den registrerade redan har relevant kunskap om hur dennes personuppgifter kommer att behandlas. Enligt Förvaltningsrätten räcker det emellertid inte att någon kan förvänta sig en viss typ av behandling, utan personen i fråga ska veta exakt hur personuppgiftsbehandlingen sker och varför. Regionen har därmed inte uppfyllt sin informationsplikt enligt art. 13 vilket innebär ett brott mot GDPR. IMY gör även gällande att regionen, genom att inte lämna ut relevant information, brutit mot öppenhetsprincipen i art. 5.1 a som stadgar att personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade. Då det redan konstaterats att regionen brutit mot art. 13 finner även Förvaltningsrätten att behandlingen av personuppgifter likaledes utgjort en överträdelse av öppenhetsprincipen.
Allvarliga överträdelser och inga förmildrande omständigheter – sanktionsavgiften ska betalas
Nästa fråga som domstolen har att avgöra är huruvida sanktionsavgift ska utgå, och i så fall med vilket belopp. Enligt regionen föreligger vissa förmildrande omständigheter som talar emot utdömande av sanktionsavgift. För det första, menar Region Värmland, så har IMY felaktigt framfört att regionen inte har kontaktuppgifter till personuppgiftsansvarig publicerade på sin hemsida. Dessutom påpekas att 1177 är en mycket viktig tjänst för det svenska vårdsystemet. Regionen ser det därmed som otroligt att utgivande om korrekt information avseende behandling av personuppgifter skulle leda till att personer i behov av vårdrelaterade upplysningar skulle avhålla sig från att kontakta 1177. Vidare anför regionen att det inte är visat att någon lidit skada av bristen på information. Avslutningsvis understryks att regioner, enligt lagen om kompletterande bestämmelser till GDPR, normalt inte ska påföras sanktionsavgifter.
Avseende det faktum att kontaktuppgifter finns publicerade på regionens hemsida anför domstolen att det inte tjänat mycket till i och med att de registrerade inte ens informerats om den behandling av personuppgifter som skett. Gällande invändningen att personer i behov av upplysningar knappast skulle avhållit sig från att kontakta 1177, även om de fått korrekt information, menar Förvaltningsrätten att det snarare är en försvårande omständighet. Domstolen poängterar 1177 fyller en viktig funktion för de svenska medborgarna och att det därför är av än större vikt att personer ges den information de har rätt till när tjänsten används. Rätten ser det inte heller som en förmildrande omständighet att regionen inte har vetskap om att det uppstått skada för någon som registrerats. I stället anför domstolen att kränkningen av registrerade personers rättigheter i sig innebär att en skada har uppstått. Avseende påståendet att regioner vanligtvis inte ska behöva betala sanktionsavgift på grund av överträdelser av GDPR bekräftar rätten att så visserligen är fallet. I förevarande situation anser domstolen dock att det rör sig om en så pass allvarlig överträdelse, sett till hur många registrerade som berörts och hur länge överträdelsen har pågått, att sanktionsavgift ändå ska utgå. Domstolens sammantagna bedömning är att det inte finns någon anledning att underlåta utdömande av sanktionsavgift, eller att beräkna den avgiften annorlunda än vad IMY har gjort. Förvaltningsrätten avslår därmed Region Värmlands överklagande.