BAKGRUND

I april 2022 publicerade EU-kommissionen traditionellt en lista över vilka formella underrättelser (”Letter of Formal Notice”) som skickats ut till medlemsstaterna (kallas för ”april package” eftersom kommissionen publicerar en lista över sina fall den månaden). Sverige och Finland finns med under område 4 ”Justice” eftersom länderna enligt kommissionen ”… have failed to fulfil their obligations as regards the right to effective judicial remedy for data subjects in certain cases” (https://cyprus.representation.ec.europa.eu/news/april-infringements-package-key-decisions-2022- 04-06_en).

En formell underrättelse är det första steget EU-kommissionen tar när den ska utöva sin roll som fördragets försvarare. Berörda medlemsstater får möjlighet att svara, oftast inom två månader (så också i det aktuella fallet). Därefter tas ställning till nästa steg som kan vara att kommissionen meddelar sin syn, en ”Reasoned Opinion”. I den föreläggs berörd medlemsstat att svara på vilka åtgärder som vidtagits. Blir kommissionen inte nöjd kan den gå vidare och väcka talan i EU-domstolen (se vidare kommissionens beskrivning av förfarandet, https://ec.europa.eu/commission/presscorner/detail/en/MEMO_12_12).

En formell underrättelse är enligt min erfarenhet inget Sverige eller andra medlemsstater tar lätt på. Sådana brukar leda till en febril analys av hur lagstiftningen införlivats och de facto tillämpas. Kan man rätta till felaktigheter gör man det; väljer Sverige i ett enstaka fall att inte göra det har frågan en större principiell vikt för regeringen. Oftast räcker de två första stegen till för att kommissionen ska bli nöjd med visad efterlevnad. I ungefär 95 procent av fallen stannar det där, men i några fall hamnar ärendet hos EU-domstolen som är det sista steg kommissionen kan ta.

VAD HANDLAR DEN FORMELLA UNDERRÄTTELSEN OM?

När jag läste att Sverige fått en formell underrättelse rörande rättsmedel för registrerade blev jag inte förvånad. Detta är ett område där både Integritetsskyddsmyndigheten (IMY) och svenska förvaltningsdomstolar (Förvaltningsrätten i Stockholm och Kammarrätten i Stockholm) har agerat på ett sätt som inte synes vara förenligt med GDPR:s ordalydelse och EU-domstolens uttalanden i Schrems II, något jag tidigare beskrivit i en analys. De fall som jag då tittat på har handlat om att registrerade inte getts rätt att överklaga IMY:s beslut till en domstol. Jag har även tidigare kommenterat frågan i lagkommentaren till 7 kap. 3 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (kompletteringslagen).

Det fall som EU-kommissionen nu vill ha utrett handlar om en annan aspekt på rätten till rättsmedel, nämligen möjligheten att klaga efter passivitet från IMY. Kommissionen anger i den formella underrättelsen daterad den 6 april 2022 (INFR(2022)2022, C(2022)1665 final) att den har mottagit ett klagomål rörande ett annat medlemsland (sannolikt Finland eftersom det landet också nämns i pressmeddelandet) om ”… avsaknaden av effektiva rättsmedel i de fall där dataskyddstillsynsmyndigheten inte har behandlat ett klagomål eller där behandlingen har försenats (artikel 78.2 i dataskyddsförordningen och artikel 53.2 i dataskyddsdirektivet)”. Efter ett digitalt möte med företrädare för justitiedepartementet i februari 2022 och en analys av den svenska lagstiftningen, har kommissionen dragit slutsatsen att samma sorts problem även finns i Sverige.

Kommissionen noterar (som framgår av citatet) i underrättelsen problem i förhållande till artiklarna 78.2 GDPR och 53.2 direktiv 2016/680 (dataskyddsdirektivet). Det sistnämnda direktivet har i svensk rätt genomförts genom brottsdatalagen. Synpunkterna från kommissionen är desamma rörande båda de åberopade regelverken. I den här analysen koncentrerar jag mig fortsättningsvis endast på GDPR- perspektivet, men det är bra att veta att motsvarande problem alltså finns även i brottsdatalagens struktur.

VAD SÄGER GDPR OCH DEN SVENSKA LAGEN?

I artikel 78.2 GDPR, som åberopas i den formella underrättelsen, anges följande:

”Utan att det påverkar något annat administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad person ha rätt till ett effektivt rättsmedel om den tillsynsmyndighet som är behörig i enlighet med artiklarna 55 och 56 underlåter att behandla ett klagomål eller att informera den registrerade inom tre månader om hur arbetet med det klagomål som ingetts med stöd av artikel 77 fortskrider eller om dess resultat”.

I skäl 141 GDPR anges att registrerade ”… bör ha rätt att lämna in ett klagomål till en enda tillsynsmyndighet, särskilt i den medlemsstat där den registrerade har sin hemvist, och ha rätt till ett effektivt rättsmedel i enlighet med artikel 47 i stadgan, om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om tillsynsmyndigheten inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter”.

Kommissionen konstaterar i underrättelsen att det inte finns några regler i kompletteringslagen om registrerades rätt att lämna in klagomål eller rättsmedel när tillsynsmyndigheten underlåter att behandla klagomålet. Detta är en korrekt iakttagelse av EU-kommissionen. I SOU 2017:39 s. 381 föreslogs visserligen en bestämmelse som avsåg att tvinga tillsynsmyndigheten att ”… lämna ett besked om myndigheten avser att utöva tillsyn med anledning av klagomålet, eller i ett särskilt beslut avslå begäran om besked”. I en annan paragraf föreslogs att ett avslagsbeslut var överklagbart (a.a. s. 385). Detta förslag genomfördes dock inte.

I propositionen (prop. 2017/18:105 s. 153) framfördes i stället att IMY borde klara av att lämna besked inom tre månader, vilket skulle innebära att myndighetens informationsplikt var hanterad. Vidare angavs:

”För det undantagsfall att den registrerade ändå inte skulle få något besked från tillsynsmyndigheten rörande klagomålet inom rimlig tid, kan den registrerade vända sig till Riksdagens ombudsmän och göra en anmälan om brister i handläggningen. Riksdagens ombudsmän har också befogenhet att väcka åtal om tjänstefel. Om den registrerade anser att tillsynsmyndighetens dröjsmål lett till skada kan denne också begära skadestånd enligt skadeståndslagen, antingen genom att väcka talan i allmän domstol eller genom att framställa
kravet direkt till myndigheten. Enligt förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten kan en skadelidande få ett sådant skadeståndskrav prövat inom ramen för statens frivilliga skadereglering. Slutligen bör det noteras att även 12 § i den nya förvaltningslagen, som ger den enskilde rätt att föra en dröjsmålstalan mot myndigheten vid långsam handläggning, skulle kunna aktualiseras i ett ärende som initierats genom ett klagomål, men då avseende tillsynsmyndighetens slutliga avgörande. Detta förutsätter dock att den registrerade anses ha ställning som part i förvaltningslagens mening”.

Det kan konstateras att de förhoppningar regeringen hade om snabb handläggning var överdrivna (i dag avgörs fortfarande ärenden med diarienummer som startar på DI, det vill säga de anhängiggjordes på den tid IMY hette Datainspektionen). Uttalandena är även märkliga då 3-månaders handläggningstid är ganska utmanande för myndigheter: varför skulle just IMY klara detta galant i ett läge där myndigheten dessutom fick ett omfattande nytt regelverk att hantera?

Vidare kan noteras att regeringen i samma proposition (s. 164) framhöll att talerätten regleras i 41–42 §§ förvaltningslagen, vilket innebär att ”[t]alerätt tillkommer … den som beslutet angår, om beslutet har gått denne emot”. På samma sida står det:

”I praktiken innebär detta i normalfallet att det är den som beslutet riktas mot, oftast en personuppgiftsansvarig, ett personuppgiftsbiträde eller ett certifieringsorgan, som har rätt att överklaga. Det kan dock inte uteslutas att ett beslut skulle kunna ha rättsligt bindande följder även för andra än den som beslutet riktas mot. Dessa skulle i så fall också ha rätt att överklaga beslutet, enligt förvaltningslagens generella bestämmelse om talerätt.”

Dessa uttalanden, som alltså inte specifikt pekar ut registrerade som part, har legat bakom de domstolsavgöranden som finns. Det är för mig oklart hur regeringen kunde förlita sig på de allmänna bestämmelserna i förvaltningslagen om man verkligen ville uppnå det som krävs i förordningen. Det är även märkligt att domstolar bortsett från tydliga skrivningar i GDPR om rättsmedel för registrerade när de prövat frågorna. Skrivningen i propositionen om rättsmedel framstår därför sammantaget som tämligen ihålig.

VAD ÄR ETT EFFEKTIVT RÄTTSMEDEL?

I underrättelsen konstaterar kommissionen följande:

”Som klargörs i skäl 141 i dataskyddsförordningen … är begreppet effektivt rättsmedel enligt artikel 78.2 i dataskyddsförordningen … i allt väsentligt detsamma som i artikel 47 i stadgan. Med andra ord kan ett rättsmedel som inte anses vara ett effektivt rättsmedel enligt artikel 47 i stadgan inte heller anses vara ett effektivt rättsmedel enligt artikel 78.2 i dataskyddsförordningen…

Ett effektivt rättsmedel enligt artikel 47 i stadgan, jämförd med artikel 13 i Europakonventionen, kräver att det nationella rättsmedlet kan hindra den påstådda lagöverträdelsen från att inträffa eller från att fortgå, och att det ger tillräcklig upprättelse för eventuella överträdelser som redan har ägt rum. Det rättsmedel som finns att tillgå måste därmed kunna direkt avhjälpa den omtvistade situationen. Dessutom måste rättsmedlet vara tillräckligt och tillgängligt och uppfylla kravet på skyndsamhet, och det ska göras gällande vid en domstol som är fullt behörig att pröva huruvida klagomålet är välgrundat. Slutligen är det de sammanlagda rättsmedel som föreskrivs i nationell rätt som ska beaktas och som kan uppfylla kraven i stadgan, även om inget enda rättsmedel i sig kan uppfylla dem helt och hållet.

Mer specifikt gällande kravet på rättsmedel inför en ’domstol’ har Europadomstolen slagit fast att befogenheten att fatta beslut ingår i själva begreppet ’domstol’ i den mening som avses i artikel 6.1 i Europakonventionen eftersom förfarandet inför domstolen måste säkerställa att tvistefrågor avgörs. Omständigheten att ett organs råd ofta följs är irrelevant i detta sammanhang.”

Detta är utgångspunkten när kommissionen sedan granskar det svenska regelverket.

DET RÄCKER INTE MED ATT HÄNVISA TILL JO OCH JK

I uppgiftsinhämtningen inför den formella analysen går kommissionen igenom den svenska konstruktionen, som bland annat stöds av att JO och JK kan vidta åtgärder. Kommissionen skriver:

”Kommissionen uppfattar det som att den svenska lagstiftningen inte ger registrerade rättsmedel i fall av inaktivitet från dataskyddstillsynsmyndighetens sida. I stället skulle registrerade kunna klaga hos justitiekanslern eller riksdagens ombudsman. Dessa institutioner har en konstitutionell roll i att se till att alla offentliga myndigheter, inbegripet tillsynsmyndigheten, följer lagen i sin tjänsteutövning. Registrerades klagomål skulle normalt sett hanteras genom ett yttrande som gör tillsynsmyndigheten uppmärksam på förseningar i behandlingen av klagomål och dess skyldighet att behandla klagomålen utan onödigt dröjsmål, som krävs enligt lag. Yttrandena respekteras i allmänhet väl av myndigheter och tjänstemän, men de är inte rättsligt bindande och kan inte bestridas inför domstol”.

När kommissionen sedan bedömer om JO eller JK kan anses vara effektiva rättsmedel slås därefter följande fast:

”När det gäller begreppet ’effektivt’ rättsmedel har Europadomstolen ansett att varken justitiekanslern eller ombudsmannen på egen hand kan anses som ett effektivt rättsmedel i den mening som avses i artikel 13
i [Europa]konventionen. I detta sammanhang är det värt att notera att begreppet effektivt rättsmedel i artikel 47 i stadgan är snävare än begreppet i artikel 13, som kräver ett rättsmedel inför en ’nationell myndighet’, medan stadgan uttryckligen kräver ett rättsmedel inför en ’domstol’.”

Slutsatsen är alltså att JO och JK inte kan anses vara ett rättsmedel (inte ens enligt Europakonventionens lägre krav) och att dessa inte heller kan anses vara en ”domstol”. När denna slutsats dras används bland annat Europadomstolens dom av den 6 juni 2006, Segerstedt-Wiberg m.fl. mot Sverige, som stöd. I den domen, som rörde säkerhetspolisen, slås fast att ”… riksdagens ombudsman och justitiekanslern inte kan betraktas som ett effektivt rättsmedel på grund av att de saknar befogenhet att fatta ett rättsligt bindande beslut, men även … att de utövar allmän tillsyn och inte har något särskilt ansvar för utredningar av hemlig övervakning eller införande och lagring av information om säkerhetspolisen”. Min reflektion är att rättsfallet kom långt innan kompletteringslagen togs fram och att det därför borde ha beaktats i bedömningar som gjordes i den lagen.

Kommissionen fortsätter sin analys:

”Bristen på rättsmedel understryks ytterligare av det inte finns någon möjlighet att överklaga justitiekanslerns och ombudsmannens beslut. Rätten till rättsmedel kan således inte utövas ens efter klagomål till dessa institutioner genom en domstolsprövning av deras beslut. Det faktum att dessa institutioner undantagsvis kan väcka disciplinärt eller straffrättsligt åtal i fall av allvarlig försummelse från en myndighets eller tjänstemans sida påverkar inte denna slutsats”.

FÖRVALTNINGSLAGENS REGLERING INTE ADEKVAT

Kommissionen granskar även förvaltningslagen, som också åberopades i prop. 2017/18:105 (se citatet i tidigare avsnitt). Följande noteras:

”I 12 § första stycket i lagen föreskrivs särskilda åtgärder vid förseningar. Där anges följande: ’Om ett ärende som har inletts av en enskild part inte har avgjorts i första instans senast inom sex månader, får parten skriftligen begära att myndigheten ska avgöra ärendet. Myndigheten ska inom fyra veckor från den dag då en sådan begäran kom in antingen avgöra ärendet eller i ett särskilt beslut avslå begäran.’ I 12 § andra stycket anges dessutom att ett ́beslut enligt första stycket att avslå en begäran om att ärendet ska avgöras får överklagas till den domstol eller förvaltningsmyndighet som är behörig att pröva ett överklagande av avgörandet i ärendet ́. Den rättsliga prövningen är därmed begränsad till de fall då tillsynsmyndigheten fattar ett beslut i vilket den uttryckligen avslår en begäran om att avgöra det ärende som klagomålet avser.”

Till det kommer, som ovan noterats, att svenska förvaltningsdomstolar inte tillerkänt registrerade partsställning och därför avvisat överklaganden, även när IMY avgjort klagomålsfrågor genom beslut. Denna aspekt lyfts inte av kommissionen men den kommer förhoppningsvis att bli uppmärksammad inom ramen för den fördjupade utredning som nu sker.

Konstruktionen med förvaltningslagen underkänns alltså av kommissionen, som även påpekar följande:

”I detta sammanhang bör det också påpekas att såväl artikel 47 i stadgan som artikel 78.2 i dataskyddsförordningen … uttryckligen kräver att det finns rättsliga medel (’inför en domstol’) för klagomål som rör tillsynsmyndighetens inaktivitet. Detta är i linje med det underliggande behovet av att säkerställa att alla klagomål kan bedömas i sak av en domstol som är behörig att ge upprättelse vid överträdelser av dataskyddsförordningen …”.

I dag har registrerade inga möjligheter att få sin sak prövad i domstol. Jag har tidigare analyserat en dom från Kammarrätten i Stockholm där kammarrätten granskar det irländska förfarandet. I den domen gjorde domstolen tolkningar som antyder att den ansåg att det skulle gå att överklaga beslut, men detta har inte fått vare sig IMY eller domstolarna att ändra sin praxis att avvisa överklaganden. Jämför man den faktiska hanteringen i domstolarna med det som kommissionen anger i underrättelsen finns i dag stora problem med den svenska lagstiftningen.

SKADESTÅNDSVÄGEN INTE HELLER ADEKVAT

I prop. 2017/18:105 framhölls möjligheten att få skadestånd som en del i de ”rättsmedel” som Sveriges lagstiftning erbjuder. Denna fråga gås även igenom av kommissionen:

”I vissa fall har Europadomstolen godtagit skadestånd som ett effektivt rättsmedel enligt artikel 13 i Europakonventionen. Detta har till exempel varit fallet vid kränkningar där återställande av försutten
tid (restitutio in integrum) var omöjligt (t.ex. kränkning av rätten till liv, förbud mot tortyr, orimligt långa förfaranden). Europadomstolen anser också att skadeståndstalan vid nationella domstolar i allmänhet kan utgöra ett effektivt rättsmedel i fall av påstådd rättsstridighet eller vårdslöshet från offentliga myndigheters sida (se till exempel målet Hugh Jordan, § 162–163).

Det bör dock noteras att Europadomstolen i ett mål som rör polisens lagring av personuppgifter i Sverige drog slutsatsen att även om hänsyn tas till andra rättsmedel, såsom justitiekanslerns möjlighet att sörja för skadestånd med möjlighet till rättslig prövning av avslaget på ett skadeståndskrav, kan det, med tanke på att de berörda organen inte kan fatta beslut om att beordra att akter förstörs eller att informationen i akterna raderas eller rättas, inte anses att det finns ett effektivt rättsmedel och detta uppvägs inte av de sökandes möjligheter att begära skadestånd”.

Kommissionens slutsats blir följande:

”När det gäller möjligheten att begära skadestånd enligt skadeståndslagen har Europadomstolen som nämndes tidigare i vissa fall godtagit skadestånd som ett effektivt rättsmedel enligt artikel 13 i Europakonventionen. Det bör dock noteras att Europadomstolen i ett mål som rör polisens lagring av personuppgifter i Sverige drar slutsatsen att enbart möjligheten att begära ersättning inte är tillräckligt för att garantera ett effektivt rättsmedel med tanke på att inget beslut fattas i det aktuella fallet. Samma tillvägagångssätt kan tillämpas på rättsmedlet att erhålla ersättning i händelse av inaktivitet från dataskyddstillsynsmyndighetens sida i den mån som domstolen inte avgör alla frågor om påstådd överträdelse av dataskyddsförordningen eller dataskyddsdirektivet som uppstår till följd av den registrerades klagomål. När det gäller möjligheten att utöva sin rätt till ett effektivt rättsmedel är det också viktigt att påpeka att möjligheten att begära skadestånd är begränsad endast till de registrerade som har visat att de lidit skada på grund av tillsynsmyndighetens inaktivitet eller försening. Rättsmedel som grundar sig på skadeståndslagen uppfyller således inte de krav på ett effektivt rättsmedel som avses i artikel 78.2 i dataskyddsförordningen …”.

YTTERLIGARE ASPEKTER PÅ SKADESTÅND

När jag skrev boken Dataskyddsförordningen GDPR : Hantera registrerades rättigheter (Sanoma utbildning, 2021) fick jag anledning att även djupdyka i frågan om skadestånd som rättsmedel. Även avseende regleringen av skadestånd finns många komplexa frågor att beakta. En av dessa är de ersättningsnivåer som gällt under personuppgiftslagens tid. I boken (s. 691 ff.) ifrågasätter jag om dessa nivåer är rimliga utifrån rekvisitet ”full och effektiv ersättning” i artikel 82 GDPR.

Även i denna del finns en del konstigheter i förarbetsuttalandena. I boken (s. 694) gör jag följande
analys (notera att personuppgiftsdirektivet som nämns i citatet genomfördes genom personuppgiftslagen; detta är ett annat direktiv än det som i dag genomför brottsdatalagen även om de brukar benämnas med samma kortform ”dataskyddsdirektivet”):

”Det kan noteras att Dataskyddsutredningen anser att praxis baserad på personuppgiftslagen kan vara vägledande vid prövning av ersättningen, vilket inte är alldeles lätt att förstå utifrån hur regelverket i dataskyddsförordningen ser ut … Jag tror till skillnad från utredningen att svenska domstolar noga kommer att behöva bedöma hela det materiella regelverket och inte luta sig på gamla avgöranden. Domstolarna behöver då även notera att personuppgiftsdirektivet som ledde till regleringen av personuppgiftslagen har en helt annan lydelse än artikel 82. I artikel 23.1 i personuppgiftsdirektivet föreskrevs att medlemsstaterna skulle föreskriva ’att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit’.

Till det kommer att man kan fråga sig om de svenska låga nivåerna leder till resultat som ’fullt ut återspeglar förordningens mål’ och om det svenska skadeståndet i så fall verkligen utgör ett ’effektivt rättsmedel’.”

I boken fördjupar jag analysen om skadestånd verkligen kan vara ett effektivt rättsmedel om det är för låga möjliga ersättningsnivåer (s. 702 ff.). Detta särskilt om registrerade för att klara att föra talan kan behöva använda advokat. I den här delen har även Conny Larsson gjort en intressant analys med följande slutsats:

”Detta medför sammantaget att den registrerade till följd av begränsningarna i RB:s regler om ersättning för rättegångskostnader och i hemförsäkringsvillkoren kan räkna med att inte få betalt för sina kostnader för juridiskt biträde, inte ens om han eller hon vinner målet och får rätt till skadestånd”.

FALL I EU-DOMSTOLEN
Medan Sverige inte tillerkänner registrerade några rättsmedel i form av möjlighet till domstolsprövning ser situationen annorlunda ut i andra medlemsländer, vilket avspeglar sig i fall som kommer att prövas av EU- domstolen:

En tysk domstol har flera gånger ställt frågor om domstolsprövningens innehåll (ska den vara enbart en formaliakontroll eller också pröva frågor rörande klagomålet materiellt?), se bland annat C-26/22, SCHUFA Holding AG.

En ungersk domstol har ställt frågor om det finns skillnader mellan artikel 77.1 och 79.1 GDPR och om tillsynsmyndigheten är primärt behörig att slå fast att det föreligger en överträdelse (det vill säga att klagomålshanteringen ska ha företräde framför civilrättslig talan), se C-132/21, Nemzeti Adatvédelmi és Információszabadság Hatóság (ungerska tillsynsmyndighetens namn).

SVERIGE BORDE KUNNA BÄTTRE

I internationella sammanhang vill Sverige gärna se sig som en stark försvarare av mänskliga rättigheter. GDPR syftar ytterst till att stärka de mänskliga rättigheterna integritet och skydd av personuppgifter. I detta är förstås människan, den registrerade, viktig. När man ser hur styvmoderligt svensk lagstiftning hanterar frågorna och hur Integritetsskyddsmyndigheten och domstolarna agerar kan man konstatera att de registrerade inte alls är i fokus. Utan rättsmedel och med skadeståndsnivåer som får registrerade att behöva betala för kalaset blir GDPR tämligen tandlös för dem. Jag tycker därför det är intressant att kommissionen nu börjat granska det svenska agerandet. Kanske kommer kommissionen nås av flera klagomål, kanske kommer EU-domstolen att få pröva frågan. Förhoppningsvis blir dock underrättelsen en väckarklocka som gör att Sverige förbättrar sin hantering av rätten till integritet.

I sammanhanget kan det även vara intressant att titta på hur IMY faktiskt hanterar klagomål. I interna rutiner (se ”Rutin för vägval vid handläggning av klagomål om tillgång” daterade den 25 februari 2021) framgår att myndigheten ställt upp ganska många krav på den som klagar, bland annat att den måste kontakta den personuppgiftsansvarige (inte alltid det enklaste om deras GDPR-information brister). Vidare har IMY ett förfarande där vissa personuppgiftsansvariga får motta brev med tips i stället för att faktiska beslut tas (se min tidigare analys). Även om registrerade skulle tillerkännas talerätt efter kommissionens ingripande finns alltså många sådana hinder också kvar för dem att faktiskt kunna göra sig hörda.

Monika Wendleby
Jurist, managementkonsult, föreläsare och författare till GDPR-böcker

https://www.jpinfonet.se/skaffa-testkonto/