Företag i tredje land omfattas inte av svensk hälso- och sjukvårdsreglering – sanktionsavgift för utlämnande av känsliga personuppgifter

I en ny dom slår kammarrätten fast att ett företag som bedrev sjukvårdsrådgivning ska betala en sanktionsavgift för överträdelse av EU:s dataskyddsförordning då samtal till 1177 kopplats vidare till ett thailändskt vårdföretag.

Integritetsskyddsmyndigheten (IMY) beslutade i juni 2021 att sjukvårdsrådgivningsföretaget Medhelp skulle betala sanktionsavgifter för överträdelser av EU:s dataskyddsförordning (GDPR) i samband med att Medhelp tagit emot samtal till 1177. Detta eftersom Medhelp i strid med GDPR, hade:

• Lämnat ut personuppgifter till ett thailändskt bolag, Medicall, och låtit det thailändska bolaget behandla personuppgifter,
• Exponerat personuppgifter i ljudfiler med inspelade telefonsamtal till 1177 mot internet utan skydd för obehörigt röjande av eller obehörig åtkomst till uppgifterna,
• Underlåtit att lämna information till vårdsökande om bolagets personuppgiftsbehandling i samband med insamling av personuppgifterna.

Medhelp överklagade IMY:s beslut till förvaltningsrätten som delvis ändrade beslutet. Såväl IMY som Medhelp överklagade förvaltningsrättens dom till Kammarrätten i Stockholm som i februari konstaterade att Medhelp hade agerat i strid med GDPR vid behandlingen av personuppgifter.*

Utlämnande av uppgifter

Medicall hade fått tillgång till personuppgifter på dataskärm via Medhelps journalsystem och genom att svara på samtal till 1177 som Medhelp vidarekopplade till Medicall.

Det är huvudsakligen den svenska lagstiftningen, bland annat hälso- och sjukvårdslagstiftningen, som utgör det rättsliga stödet för att personuppgiftsbehandling inom vården ska vara laglig enligt GDPR.

Kammarrätten konstaterade att den svenska lagstiftningen på grund av territoriell begränsning inte kan anses omfatta hälso- och sjukvård som bedrivs av ett thailändskt bolag såsom Medicall. Den omständigheten att Medicall bedrev sjukvårdsrådgivning på svenska, inriktat till svenska patienter och att det varit personer med svensk sjuksköterskelegitimation som arbetade i det thailändska bolaget innebar inte att verksamheten omfattas av den svenska hälso- och sjukvårdslagstiftningen. Medicall var därför inte att betrakta som vårdgivare eller personuppgiftsansvarig vårdgivare.

Eftersom Medicalls verksamhet inte omfattades av svensk hälso- och sjukvårdsreglering saknades det rättsligt stöd för Medhelp att ge Medicall åtkomst till personuppgifter, och det oavsett om regionerna hade godkänt upplägget. Kammarrätten ansåg därför i likhet med IMY att Medhelp genom att anlita MediCall som underleverantör för sjukvårdsrådgivning möjliggjort personuppgiftsbehandling i strid med GDPR.

Att det hade funnits viss oklarhet i fråga om vad som är att betrakta som en vårdgivare som omfattas av svensk sjukvårdslagstiftning var inga skäl att sätta ned avgiften i denna del.

Information till de registrerade

En grundläggande förutsättning för att enskilda ska kunna utöva sina rättigheter enligt GDPR är att de får information om den behandling av personuppgifter som sker. Utöver information i talsvarsmeddelande om att samtalet spelas in i patientsäkerhets- och kvalitetssyfte lämnades ingen information om Medhelps behandling av personuppgifter.

Medhelp menade att informationen i talsvaret och på hemsidan för 1177 styrdes av regionerna och att Medhelp inte hade kontroll över informationen.

Kammarrätten instämde dock i förvaltningsrättens bedömning om att bristande inflytande över hemsidan eller talsvaret inte fråntog Medhelp ansvaret att som personuppgiftsansvarig informera de registrerade om behandlingen och att Medhelp hade brustit i informationsskyldigheten.

Exponering av personuppgifter utan skydd för obehörig åtkomst

Bolagen hade själva anmält en personuppgiftsincident där känsliga personuppgifter hade exponerats mot internet utan några skyddsmekanismer. Det var fråga om lagringsfiler som innehöll inspelade samtal till 1177 som personal hos Medicall hade besvarat och som lagrats hos en tredje part.

Som personuppgiftsansvarig för behandlingen av uppgifterna hade Medhelp det yttersta ansvaret att vidta lämpliga tekniska och organisatoriska åtgärder för att upprätthålla en lämplig säkerhetsnivå. Kammarrätten ansåg att Medhelp hade brustit i detta ansvar varför en avgift skulle utgå även för denna överträdelse.

Övrigt

IMY ansåg i beslutet att Medhelp, i strid med bestämmelserna i GDPR om lämplig säkerhet för personuppgifter inte hade säkerhetskopierat ljudfiler med inspelade samtal till 1177 som hade besvarats av bolagets sjuksköterskor. IMY frånföll dock denna invändning i kammarrätten.

Kammarrätten fastställde den sammanlagda sanktionsavgiften för de tre överträdelserna till 11 300 000 kronor.

* Kammarrätten i Stockholms dom av den 12 februari 2024 i mål nr 4058-22.