Skadestånd på grund av Försäkringskassans utlämnande av sekretesskyddade handlingar
Justitiekanslerns beslut
Justitiekanslern tillerkänner AA ersättning med 7 000 kr.
Försäkringskassan ansvarar för att ersättningen betalas ut till henne.
Ärendet
Försäkringskassan har skickat sekretesskyddade handlingar innehållande känsliga personuppgifter om AA till fel person. Riksdagens ombudsmän har i ett beslut den 25 april 2019 riktat allvarlig kritik mot Försäkringskassan med anledning av händelsen.
AA har, för egen och sina barns räkning, begärt skadestånd av staten för kränkning på den grunden att handlingarna innehöll personuppgifter samt mycket privat information om henne och hennes barns hälsotillstånd.
Försäkringskassan har med ett eget yttrande lämnat över anspråket hit och anfört bl.a. följande.
Försäkringskassan har felaktigt lämnat ut ett flertal sekretesskyddade handlingar som innehåller integritetskänsliga uppgifter om AA. Utlämnandet har gjorts av misstag. Handlingarna har felaktigt lagts i ett kuvert tillsammans med handlingar avsedda för annan. Försäkringskassan har därefter skickat brevet med samtliga handlingar till den andra personen. Enligt journalanteckning i det aktuella ärendet har AA tillfrågats av handläggaren från Försäkringskassan om det var i sin ordning att den person som hade fått handlingarna skickade till sig behöll dem och AA sa att det var det. […]
Försäkringskassan beklagar det som har inträffat och ber om ursäkt för det felaktiga utlämnandet av AA:s handlingar. Tystnadsplikten har åsidosatts. Det har skett av oaktsamhet eftersom det måste höra till normal aktsamhet att handlingar som hämtas i ett skrivarfack gås igenom innan de lämnas ut. Det går att förstå att det som inträffade var allvarligt från AA:s sida sett. Försäkringskassan har ändå kommit fram till att villkoret för ideellt skadestånd är så pass högt satt att skadestånd inte kan tillstyrkas för kränkningen och lidandet av denna oaktsamhet.
AA har fått tillfälle att yttra sig över vad Försäkringskassan har anfört.
Justitiekanslern har inhämtat ett kompletterande yttrande från Försäkringskassan. När det gäller den skadeståndsgrundande handlingen har Försäkringskassan anfört följande.
Här har en registrering i ett datasystem lett till en utskrift istället för en kopiering. Det skadeståndsgrundande felet består i att en handläggare försummat att kontrollera att de handlingar som lades i ett kuvert avsåg mottagaren av brevet. Slutligen har mottagare öppnat brevet och dels fått ta del av sina egna handlingar men samtidigt av misstag tagit del av AA:s handlingar. Utredningen i detta ärende har visat att dessa handlingar innehöll känsliga uppgifter om sociala förhållanden och hälsotillstånd som omfattas av sekretess. Såvitt framgår har uppgifterna inte spridits till någon vidare krets. Hänsyn måste självklart tas till det stora obehag som detta inneburit för AA. Om JK anser att PUL är tillämplig tillstyrker Försäkringskassan att AA beviljas ett skäligt belopp för kränkningen.
Justitiekanslerns bedömning
Rättsliga utgångspunkter
De grundläggande bestämmelserna om det allmännas skadeståndsansvar finns i skadeståndslagen.
Enligt 3 kap. 2 § 1 skadeståndslagen ska staten ersätta personskada, sakskada eller ren förmögenhetsskada som vållas genom fel eller försummelse vid myndighetsutövning i sådan verksamhet som staten svarar för. Försäkringskassans handläggning av ärendet är sådan verksamhet.
Enligt 3 kap. 2 § 2 skadeståndslagen ska staten också ersätta skada på grund av att någon kränks på sätt som anges i 2 kap. 3 § samma lag genom fel eller försummelse vid myndighetsutövning. Ersättning för sådan ideell skada kan med stöd av dessa regler ges ut endast när den skadelidande har utsatts för en allvarlig kränkning genom vissa typiskt sett integritetskränkande brott.
Skadestånd kan också ges ut om Europakonventionen har överträtts, i den utsträckning det är nödvändigt för att gottgöra överträdelsen. (Jfr bl.a. rättsfallet NJA 2007 s. 584 och numera 3 kap. 4 § skadeståndslagen.)
Sedan den 25 maj 2018 gäller EU:s dataskyddsförordning i Försäkringskassans verksamhet. För skadefall som inträffat innan dataskyddsförordningen trädde ikraft gäller den numera upphävda personuppgiftslagen (se prop. 2017/18:105 s. 176). Det är i detta fall fråga om sådan behandling av personuppgifter som omfattas av personuppgiftslagen.
Enligt 13 § andra stycket personuppgiftslagen är det förbjudet att behandla personuppgifter som rör hälsa, s.k. känsliga personuppgifter.
Av 48 § personuppgiftslagen framgår att den personuppgiftsansvarige är skyldig att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat.
Frågan om statens skadeståndsskyldighet
Av 1 kap. 1 § skadeståndslagen framgår att lagens bestämmelser ska tillämpas endast om inte annat är särskilt föreskrivet. Det innebär att frågan om statens skadeståndsskyldighet först ska prövas utifrån förutsättningarna i personuppgiftslagen.
Enligt 3 och 5 §§ personuppgiftslagen tillämpas lagen vid behandling av personuppgifter om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i ett manuellt register i form av en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Det står klart att de handlingar som Försäkringskassan har skickat har innehållit personuppgifter om AA. Det står vidare klart att utlämnande av personuppgifter genom översändande betraktas som behandling av personuppgifter enligt 3 § personuppgiftslagen (se SOU 2003:40 s. 190). Som framgått ovan krävs emellertid också att behandlingen har varit helt eller delvis automatiserad eller att uppgifterna har ingått i eller varit avsedda att ingå i ett manuellt register i form av en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Själva utlämnandet av handlingarna har i detta fall skett via vanlig post och har alltså inte varit helt eller delvis automatiserat eller uppfyllt kriterierna för ett manuellt register. Detta får dock anses ha mindre betydelse. Det avgörande måste istället vara vilken karaktär den bakomliggande behandlingen av personuppgifterna har haft. Om den behandlingen varit helt eller delvis automatiserad eller uppfyllt kriterierna för ett manuellt register måste även utlämnandet av personuppgifterna anses omfattas av den behandlingen (jfr SOU 2003:40 s. 190 f., Öman och Lindblom, Personuppgiftslagen, En kommentar, fjärde upplagan, s. 83 f. och s. 122 samt JK:s beslut den 12 juli 2016 i ärende med dnr 6002-15-42).
I detta fall har en registrering i Försäkringskassans datasystem av misstag lett till en utskrift av de aktuella handlingarna. Det står därmed klart att den bakomliggande behandlingen av personuppgifterna har varit automatiserad. Justitiekanslern bedömer därför att utlämnandet i detta fall, dvs. åtgärden att skicka de aktuella handlingarna med post, har varit en sådan behandling av personuppgifter som omfattas av personuppgiftslagen. Frågan om statens skadeståndsskyldighet ska således prövas enligt bestämmelserna i personuppgiftslagen.
Det är utrett att Försäkringskassan har skickat sekretesskyddade handlingar innehållande känsliga personuppgifter om AA till en utomstående person. Den felaktiga behandlingen av AA:s personuppgifter innebär att staten är skadeståndsskyldig gentemot AA enligt 48 § personuppgiftslagen. AA har därför rätt till ersättning för den kränkning av den personliga integriteten som det felaktiga utskicket har inneburit för henne.
AA har även begärt skadestånd av staten för sina barns räkning. Den bakomliggande registreringen har avsett AA. Det saknas därför förutsättningar att bevilja barnen skadestånd med anledning av personuppgiftsbehandlingen.
Ersättning för kränkning
Ersättning för kränkning som uppkommit till följd av en överträdelse av personuppgiftslagen får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. Vid bedömningen ska bl.a. beaktas sådana faktorer som eventuell risk för otillbörlig spridning av känsliga eller felaktiga uppgifter och om den registrerade på grund av den felaktiga behandlingen har blivit utsatt för beslut eller åtgärder som kunnat innebära något negativt för honom eller henne (se prop. 1997/98:44 s. 142).
Högsta domstolen har också uttalat att syftet med kränkningsersättning vid överträdelser av personuppgiftslagens regler är att kompensera känslor hos den skadelidande och ge upprättelse (se NJA 2013 s. 1046). Ersättningen ska enligt Högsta domstolen bestämmas utifrån en bedömning av den kränkning som typiskt sett kan anses ha uppkommit och ersättningsnivån bör i fall som inte kan anses allvarliga ligga under 5 000 kr.
I det här fallet har känsliga personuppgifter, som omfattas av sekretess, skickats till en utomstående person. Utredningen i ärendet talar inte för att uppgifterna har spridits vidare. Såvitt framkommit har det inträffade inte heller medfört några konkreta besvär för AA. Mot det ska vägas det stora obehag och den oro som det naturligtvis inneburit för AA att uppgifter om bl.a. hennes hälsotillstånd lämnats ut till en för henne okänd person.
Vid en samlad bedömning – där hänsyn även tagits till Justitiekanslerns tidigare beslut i liknande fall (se bl.a. Justitiekanslerns beslut i ärenden med dnr 5280-19-4.2 och 5981-19-4.2) – anser Justitiekanslern att AA ska få ersättning med skäliga 7 000 kr för den kränkning som Försäkringskassans agerande har orsakat henne.