Ersättningsanspråk med anledning av utlämnande av skyddade personuppgifter
Justitiekanslerns beslut
Justitiekanslern avslår RN:s anspråk på skadestånd av staten.
Ärendet
Bakgrund
En tjänsteman vid Västra Götalands allmänna försäkringskassa har lämnat ut sekretesskyddade personuppgifter avseende RN. Uppgifterna har hamnat i händerna på politiskt högerextrema grupper. Tjänstemannen har dömts för brott mot tystnadsplikt av Göteborgs tingsrätt den 30 november 2001 (mål nr B 8608-00).
Anspråket
RN har hos Västra Götalands läns allmänna försäkringskassa begärt skadestånd med 10 000 kr för psykiskt lidande med anledning av att hans skyddade personuppgifter lämnats ut. Han har vidare begärt ersättning med 9 730 kr för de flyttkostnader som utlämnandet av uppgifterna förorsakat honom. Han har slutligen begärt ersättning med 10 000 kr eftersom problem med postgången med anledning av hans skyddade adress medfört att han dragit på sig betalningsanmärkningar och inte kunnat få lån eller krediter under tre års tid. Han har till stöd för sitt anspråk anfört att den person som har röjt de sekretesskyddade uppgifterna naturligtvis måste bära huvudansvaret för detta men att försäkringskassan också har ett ansvar för sina interna säkerhetsrutiner.
Förordningen (1995:1301) om handläggningen av skadeståndsanspråk mot staten innehåller regler om vilken myndighet som på statens vägnar skall handlägga sådana anspråk. Reglerna innebär i korthet att Justitiekanslern handlägger anspråk som grundas på 3 kap. 1 eller 2 § skadeståndslagen (1972:207) och som avser s.k. beslutsskador (3 §), medan anspråk på grund av s.k. faktiska skador handläggs av den centrala förvaltningsmyndighet inom vars område en viss skada har inträffat (5 §).
Justitiekanslern har med stöd av 10 § förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten beslutat att ta över handläggningen av RN:s anspråk trots att det inte i första hand ankommer på Justitiekanslern att ta ställning till anspråk av detta slag.
Utredningen
Riksförsäkringsverket har i ett yttrande hit uttalat att verket anser att RN:s begäran om skadestånd bör avslås och anfört följande.
"Försäkringskassan har inte haft vetskap om att tjänstemannen har lämnat ut sekretesskyddade personuppgifter. När tjänstemannen kvitterade ut sitt behörighetskort undertecknade hon en kvittens där det bl.a. angavs att kortet endast fick användas vid handläggning av ärenden i tjänsten och i den utsträckning som krävdes för att hon skulle kunna utföra sina arbetsuppgifter. Tjänstemannen har missbrukat sitt behörighetskort. Visserligen förutsatte brottet att tjänstemannen hade den anknytning till försäkringskassan som hennes anställning gav men när hon lämnade ut uppgifterna gällde det emellertid inte något ärende i tjänsten. Hon gjorde det inte med arbetsgivarens vetskap eller för dennes räkning utan bröt mot gällande regler trots att hon kände till dem. Möjligheterna att förutse och helt förebygga brott av detta slag är små. Brottet kan på grund av dessa omständigheter inte anses ha ett sådant nära samband med tjänstemannens tjänsteförhållande som medför att staten skall åläggas skadeståndsskyldighet."
RN har bl.a. lämnat följande synpunkter på yttrandet. Säkerhetsrutinerna på försäkringskassan har skärpts sedan han och andra drabbades av röjda personuppgifter. Om försäkringskassan anser att man haft brister i säkerhetsrutinerna och åtgärdat dessa brister, bör de som drabbats av de bristfälliga rutinerna kompenseras för detta.
RN har vidare begärt språklig bearbetning av Riksförsäkringsverkets yttrande avseende frågan om principalansvar. Justitiekanslern har inte funnit det vare sig möjligt eller nödvändigt med en språklig bearbetning av yttrandet i fråga.
Justitiekanslern har tagit del av Göteborgs tingsrätts dom i mål n B 8608-00.
Gällande bestämmelser
Av 3 kap. 1 § skadeståndslagen följer att den som har arbetstagare i sin tjänst skall ersätta person- eller sakskada som arbetstagaren vållar genom fel eller försummelse i tjänsten. Motsvarande gäller i fall då arbetstagaren i tjänsten vållar ren förmögenhetsskada.
Staten har alltså ett ansvar som arbetsgivare (principalansvar) för de person- eller sakskador som en arbetstagare vållar genom fel eller försummelse i tjänsten och för ren förmögenhetsskada som arbetstagaren vållar genom brott i tjänsten. Av lagtexten framgår inte närmare hur uttrycket "i tjänsten" skall förstås. Den frågan behandlas däremot i lagens förarbeten (prop. 1972:5 s. 469 f. och 479 f.).
Av förarbetena framgår att uttrycket "i tjänsten" syftar till att begränsa principalansvaret. Detta skall kunna inträda endast under förutsättning att det råder ett visst samband - ett funktionellt samband - mellan den skadevållande handlingen och vederbörande arbetstagares verksamhet för arbetsgivarens räkning. Arbetsgivaren skall bära ett ganska vidsträckt ansvar också för vållande till skada genom sådana handlingar av arbetstagare som ligger utanför de egentliga tjänsteåliggandena. När det gäller handlingar av detta slag skall dock som ett minimikrav för principalansvar gälla att det till väsentlig del är just på grund av tjänsteförhållandet eller de konkreta arbetsuppgifter arbetstagaren haft att utföra som han kommit att vålla skada. Vad särskilt angår uppsåtligt skadevållande av en arbetstagare är enligt motiven försiktighet påkallad. Ett vidsträckt principalansvar för sådana skadefall skulle många gånger leda till resultat som ter sig obilliga mot arbetsgivaren. Det bör sålunda krävas att det är fråga om en risk som framstår som åtminstone i någon mån beräknelig och inte helt onormal för verksamheten i fråga.
När det gäller ansvar för rena förmögenhetsskador, som förutsätter vållande genom brott, finns det enligt förarbetena anledning att - i linje med motivuttalandena om uppsåtligt skadevållande - vara återhållsam med att ålägga arbetsgivaren skadeståndsskyldighet, särskilt när övervakningsmöjligheterna är begränsade.
Enligt 3 kap. 2 § skadeståndslagen skall staten vidare ersätta skador som vållas genom fel eller försummelse vid myndighetsutövning i verksamhet som staten svarar för.
Justitiekanslerns bedömning
Som framgått av redogörelsen för den rättsliga regleringen kan det finnas ett skadeståndsansvar för staten i det aktuella fallet om utlämnandet av de sekretesskyddade uppgifterna har skett i tjänsten. Det krävs att arbetstagarens handlande skall ha ett funktionellt samband med arbetstagarens tjänst men det fordras inte att handlingen direkt avser fullgörandet av ett tjänsteåliggande. Som ett minimikrav gäller dock att det till väsentlig del är just på grund av tjänsteförhållandet eller de konkreta arbetsuppgifter arbetstagaren haft att utföra som han kommit att vålla skada.
Enligt min mening framgår det av utredningen i ärendet att tjänstemannen i fråga inte har agerat i tjänsten. Hon har visserligen utnyttjat sina tjänstebefogenheter för att komma åt de aktuella uppgifterna, men hon har handlat helt utifrån privata bevekelsegrunder och lämnat ut de sekretesskyddade uppgifterna till sin son på hans begäran. Hon har lång erfarenhet av arbete inom försäkringskassan och har således haft kännedom om gällande bestämmelser avseende behörighetskort m.m. Hon har agerat i full vetskap om att hon inte haft rätt att använda sig av arbetsgivarens dataregister på det sätt som skett. Hon har inte handlagt några ärenden beträffande de personer vars uppgifter hon lämnat ut och uppgifterna hade inte heller i övrigt något samband med hennes arbetsuppgifter.
Vid sådana förhållanden skall enligt min mening staten i egenskap av arbetsgivare inte svara för tjänstemannens brottsliga handlande.
Staten kan också vara skadeståndsansvarig om det har förekommit fel eller försummelse vid försäkringskassans myndighetsutövning. Det inträffade ger inte stöd för att det förekommit något sådant fel eller någon sådan försummelse.
RN:s begäran om skadestånd skall alltså avslås.
Ärendet avslutas här.