Mannheimer Swartling har företrätt Capio S:t Görans Sjukhus mot Integritetsskyddsmyndigheten
I december 2020 fattade Integritetsskyddsmyndigheten (”IMY”) ett beslut mot Capio S:t Görans Sjukhus för påstådda överträdelser av GDPR.
Genom beslutet påförde IMY Capio S:t Görans Sjukhus en sanktionsavgift om 30 miljoner kronor och utfärdade ett föreläggande för sjukhuset att vidta vissa åtgärder.
Sanktionsavgiften grundades på påstådda överträdelser gällande personalens åtkomst till sjukhusets journalsystem. IMY hävdade att Capio S:t Görans Sjukhus hade överträtt nationella bestämmelser och föreskrifter och därigenom brustit i genomförandet av tekniska och organisatoriska åtgärder i enlighet med GDPR. IMY gjorde också gällande att sjukhuset hade överträtt GDPR genom att inte i tillräcklig utsträckning begränsa personalens åtkomst till sjukhusets journalsystem.
Beslutet överklagades till Förvaltningsrätten i Stockholm, som fastställde beslutet men sänkte sanktionsavgiften till 10 miljoner kronor. Efter att domen överklagats av båda parter upphävde Kammarrätten i Stockholm IMY:s beslut, främst av det skälet att IMY inte hade visat tillräcklig grund för beslutet.
Kammarrätten konstaterade att bevisbördan ligger på tillsynsmyndigheten och att det måste stå klart att förutsättningarna för att påföra en sanktionsavgift är uppfyllda. Eftersom IMY varken hade visat att Capio S:t Görans Sjukhus hade underlåtit att vidta tekniska och organisatoriska åtgärder i enlighet med GDPR eller att personalens åtkomst till journalsystem var för vid, upphävdes beslutet.
IMY överklagade domen till Högsta förvaltningsdomstolen, som den 30 juni 2023 beslutade att inte meddela prövningstillstånd. Därmed är målet slutligt avgjort och IMY:s beslut undanröjt.