Sverige: Kammarrätten anser att sjukhus och regioner ska slippa sanktionsavgifter för överträdelse av GDPR

Kammarrätten upphäver förvaltningsrättens och Integritetsskyddsmyndighetens (IMY) beslut att fem sjukhus och regioner ska betala sanktionsavgift enligt dataskyddsförordningen (läs mer om detta här). Även IMY:s förelägganden om att brister ska åtgärdas upphävs utom i ett fall.

Kammarrätten anser att det ska ställas höga krav på IMY:s bevisning för att sanktionsavgift ska få beslutas. Enligt kammarrätten har IMY inte kunnat bevisa att Styrelsen för Karolinska Universitetssjukhuset, Hälso- och sjukvårdsnämnden i Region Västerbotten, Styrelsen för Sahlgrenska Universitetssjukhuset, Capio S:t Görans Sjukhus AB och Regionstyrelsen i Region Östergötland har brustit i sina skyldigheter enligt dataskyddsförordningen att säkerställa en lämplig säkerhetsnivå vid tilldelning av behörigheter i journalsystemen. Det har därför inte funnits skäl att påföra sanktionsavgifter och dessa ska upphävas. IMY:s förelägganden om att bristerna ska åtgärdas upphävs därför också. För ett av sjukhusen anser kammarrätten att det finns fog för ett föreläggande om att förbättra innehållet i loggar om åtkomst till journalsystem.

Enligt kammarrättens omfattas behandling av personuppgifter inom sjukvården av olika regelverk. De handlar både om behovet av patientuppgifter för att kunna ge god och säker vård och om enskildas rätt till skydd av personuppgifterna. Det innebär svåra avvägningar för vårdgivaren att förena dessa krav vid sjukvårdens personuppgiftsbehandling. I de nu prövade målen har IMY inte lyckats bevisa att sjukhusen och regionerna brustit i sina skyldigheter enligt dataskyddsförordningen.

Läs kammarrättens pressmeddelande här och dom (4611-21) mot Regionsstyrelsen i Region Östergötland här. Resterande domar finns att beställa på kammarrättens webbplats.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.