Individer får överklaga IMY:s beslut

Författare:

|

Datum:

|

Den som anser att en behandling av personuppgifter som avser henne eller honom strider mot GDPR har rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY). Samtidigt har det fram till nu inte varit självklart att den som klagar har någon rätt att vara inblandad i hur myndigheten handlägger klagomålet.

Den 17 november 2023 kom det två avgöranden från Högsta förvaltningsdomstolen (HFD) som banar vägen för att ge den klagande en starkare ställning. 

  • I mål nr 6193-22 hade Integritetsskyddsmyndigheten beslutat att avsluta ett klagomålsärende. HFD fann att ett sådant beslut, vars innebörd är att IMY inte kommer att göra vad som begärts i ett klagomål, är överklagbart enligt GDPR. 
  • I mål nr 3691-22 hade IMY avslutat ett klagomålsärende i samband med att ett tillsynsärende öppnades. Myndigheten beslutade därefter att avsluta tillsynsärendet utan åtgärd. HFD fann att även ett sådant beslut, där utgången i tillsynsärendet avviker från vad som begärts i det bakomliggande klagomålet, är överklagbart enligt GDPR.

De två vägledande domarna kastar på sätt och vis omkull ett djupt rotat antagande i svensk förvaltningspraxis. Svensk praxis har i allmänhet utgått från att en tillsynsmyndighets beslut uteslutande rör tillsynsmyndigheten och tillsynsobjektet (den organisation som granskas). Den här ordningen har också gällt under personuppgiftslagen som gällde innan GDPR trädde i kraft i maj 2018. Enligt denna praxis har individen som lämnat klagomålet oftast inte ställning som berörd part. Därmed har hen varken haft rätt att yttra sig om vad tillsynsobjektet svarat eller överklaga tillsynsbeslutet. 

EU-ländernas nationella förvaltningsrätt har sett olika ut när det kommer till den klagandes ställning. I GDPR-klagomål som dataskyddsmyndigheter i olika EU-länder samarbetat med, så kallade gränsöverskridande ärenden, har klaganden haft olika rätt att vara inblandade beroende på vilket land de bor i. Detta är något som EU-kommissionen velat ändra. 

Forum för Dataskydd rapporterade den 30 oktober 2023 att IMY i ett remissvar yttrat sig över ett förslag från EU-kommissionen som ändrar reglerna för hur GDPR-klagomål i gränsöverskridande ärenden ska handläggas. EU-kommissionens förslag är att den som lämnar ett klagomål i ett gränsöverskridande ärende ges en partsliknande ställning. IMY är kritisk till den delen av EU-kommissionens förslag och skriver så här i remissvaret: “Klaganden har hittills inte bedömts vara part i IMY:s tillsynsärenden”. Sedan varnar IMY för att personer som klagar på behandlingen av deras personuppgifter kommer att ha olika rätt att delta i tillsynsprocessen beroende på om deras klagomål är ett gränsöverskridande ärende eller inte. 

Enligt 41-42§§ i förvaltningslagen får den som på ett betydligt sätt påverkas av ett beslut av en myndighet och om beslutet är negativt för individen överklaga beslutet. Samtidigt definierar förvaltningslagen inte uttryckligen vem som är part. När regeringen utredde hur Sverige skulle anpassa sina regler till GDPR bedömde den svenska regeringen att det var oklart om GDPR ska tolkas så att den enskilde har rätt att överklaga tillsynsmyndighetens beslut. Regeringen menade att det är upp till domstolarna att utifrån GDPR och de generella reglerna i förvaltningslagen avgöra vad som gäller (Prop. 2017/18:105 sid 165). Nu har äntligen HFD svarat på den frågan.

Läs mer:

Högsta Förvaltningsdomstolens avgöranden

Högsta förvaltningsdomstolens pressmeddelande, 17 Nov 2023

Forum för dataskydd, “IMY kommenterar förslag om GDPR-klagomål”, 30 Okt 2023

Integritetsskyddsmyndighetens remissvar, 20 Okt 2023

Förvaltningslagen, Riksdagens hemsida

Regeringens proposition 2017/18:105 om en ny dataskyddslag