lagen.
Högsta förvaltningsdomstolen

HFD 2023 ref. 54

Domstol
Högsta förvaltningsdomstolen
Avgörandedatum
2023-11-17
Målnummer
6193-22, 3691-22

Källa

Hänvisat till av

Sökord Överklagbarhet · Effektivt rättsmedel · EU:s dataskyddsförordning · Dataskyddslagen

Integritetsskyddsmyndighetens beslut att inte utreda ett klagomål vidare (I) respektive att avsluta ett tillsynsärende utan åtgärd (II) är överklagbar

I.

Högsta förvaltningsdomstolen meddelade den 17 november 2023 följande dom (mål nr 6193-22).

Bakgrund

1 EU:s dataskyddsförordning har till syfte att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Den som anser att en behandling av personuppgifter som avser henne eller honom strider mot förordningen har rätt att lämna in ett klagomål till en tillsynsmyndighet. Enligt förordningen ska var och en även ha rätt till ett effektivt rättsmedel mot tillsynsmyndighetens rättsligt bindande beslut eller om tillsynsmyndigheten t.ex. underlåter att behandla ett klagomål.

2 I Sverige är Integritetsskyddsmyndigheten tillsynsmyndighet inom dataskyddsområdet. Myndighetens beslut enligt EU:s dataskyddsförordning får överklagas till allmän förvaltningsdomstol.

3 R.B. har framfört ett klagomål till Integritetsskyddsmyndigheten mot vissa tjänstemän på en bank som enligt honom har vägrat ge honom utdrag som han har rätt till enligt EU:s dataskyddsförordning. Integritetsskyddsmyndigheten beslutade att avsluta ärendet. I beslutet angavs att myndigheten skickat information om klagomålet till banken i syfte att ge banken möjlighet att själv se över sin behandling av personuppgifter och rätta till eventuella brister.

4 Förvaltningsrätten i Stockholm avvisade R.B:s överklagande dit. Som skäl för beslutet angavs att Integritetsskyddsmyndighetens beslut att inte vidta någon åtgärd med anledning av klagomålet inte påverkar honom på ett sådant sätt att det är överklagbart.

5 R.B. överklagade avvisningsbeslutet till Kammarrätten i Stockholm. Kammarrätten avslog överklagandet och anförde följande. Tillämpliga bestämmelser innehåller inte någon uttrycklig reglering av vilka beslut av tillsynsmyndigheten i klagomålsärenden som ska kunna överklagas. Frågan om överklagbarheten får därför bedömas i varje enskilt fall med en tillämpning av 41 § förvaltningslagen (2017:900). Avgörande är vilka faktiska verkningar beslutet får för den som berörs. Beslutet har inga faktiska verkningar i den meningen att det kan uppfattas som bindande i något avseende med följd att det kan få verkningar enligt sitt innehåll och påverka andra beslutsorgan eller enskildas handlande. Beslutet har därför inte en sådan påverkan som krävs enligt 41 § förvaltningslagen för att det ska vara överklagbart. Det kan inte heller uppfattas som ett rättsligt bindande beslut som aktualiserar rätten till ett effektivt rättsmedel enligt EU:s dataskyddsförordning.

Yrkanden m.m.

6 R.B. fullföljer sin talan.

7 Integritetsskyddsmyndigheten anser att överklagandet ska avslås.

Skälen för avgörandet

Frågan i målet

8 Frågan i målet är om Integritetsskyddsmyndighetens beslut att inte utreda ett klagomål vidare är överklagbart.

Rättslig reglering m.m.

9 Av artikel 78.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EU:s dataskyddsförordning, följer att varje fysisk eller juridisk person ska ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.

10 I 7 kap. 3 § första stycket lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, anges att tillsynsmyndighetens beslut enligt EU:s dataskyddsförordning får överklagas till allmän förvaltningsdomstol.

Högsta förvaltningsdomstolens bedömning

11 EU:s dataskyddsförordning började tillämpas den 25 maj 2018 och ersatte därmed personuppgiftslagen (1998:204). I dataskyddslagen finns bestämmelser som på ett generellt plan kompletterar förordningen.

12 I förarbetena till dataskyddslagen diskuterades frågan om förordningen förutsätter att den enskilde ska ha en generell rätt att överklaga tillsynsmyndighetens beslut att t.ex. inte vidta någon åtgärd med anledning av ett klagomål. Regeringen ansåg att det var oklart om förordningen medför att den registrerade har rätt att överklaga tillsynsmyndighetens beslut att inte vidta någon åtgärd med anledning av ett klagomål. Oavsett hur förordningen ska tolkas i detta avseende, krävdes det emellertid inte några författningsåtgärder i svensk rätt. Det överlämnades i stället till domstolarna att, genom en tolkning av förvaltningslagens generella bestämmelser om överklagande, ta ställning i frågan om svensk rättspraxis alltjämt är relevant eller om förordningen har förändrat rättsläget (prop. 2017/18:105 s. 164 f.).

13 Rätten till ett effektivt rättsmedel enligt artikel 78.1 i EU:s dataskyddsförordning gäller i fråga om rättsligt bindande beslut som meddelats av en tillsynsmyndighet. Av skäl 141 och 143 i ingressen till förordningen framgår att den registrerade bör ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en tillsynsmyndighet som har rättsliga följder för denna person. Som exempel nämns bland annat beslut där tillsynsmyndigheten helt eller delvis avslår eller avvisar ett klagomål.

14 Enligt Högsta förvaltningsdomstolen innebär detta att ett beslut vars innebörd är att Integritetsskyddsmyndigheten inte kommer att göra vad som begärts i ett klagomål måste betraktas som ett rättsligt bindande beslut som är överklagbart enligt artikel 78.1 i EU:s dataskyddsförordning.

15 R.B:s klagomål till Integritetsskyddsmyndigheten har inte lett till de av honom begärda åtgärderna. Av det anförda följer att R.B. har rätt att överklaga Integritetsskyddsmyndighetens beslut. Kammarrättens och förvaltningsrättens avgöranden ska därför upphävas och målet återförvisas till förvaltningsrätten för ny handläggning.

Högsta förvaltningsdomstolens avgörande

Högsta förvaltningsdomstolen upphäver kammarrättens och förvaltningsrättens avgöranden och återförvisar målet till förvaltningsrätten för ny handläggning.

I avgörandet deltog justitieråden Jermsten, Bull, Jönsson och Medin. Föredragande var justitiesekreteraren Max Uhmeier.

Förvaltningsrätten i Stockholm (2022-04-06, Furberg):

Av 41 § förvaltningslagen framgår att ett beslut får överklagas om det kan antas påverka någons situation på ett inte obetydligt sätt.

Högsta förvaltningsdomstolen har tidigare bedömt att Datainspektionens beslut att inte vidta någon åtgärd med anledning av ett klagomål inte är överklagbart (rättsfallet RÅ 2010 ref. 29). Kammarrätten i Stockholm har i dom den 9 juli 2020 i mål nr 30-20 bedömt att rättsläget inte har förändrats med anledning av ikraftträdandet av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen).

Förvaltningsrätten finner mot bakgrund av ovan redovisad praxis att Integritetsskyddsmyndighetens beslut att inte vidta någon åtgärd med anledning av R.B:s klagomål inte påverkar honom på ett sådant sätt att det är överklagbart.

Överklagandet ska därmed avvisas.

- Förvaltningsrätten avvisar överklagandet.

Kammarrätten i Stockholm (2022-10-17, Liljeqvist, Reimers och Axelsson):

Det föreskrivs varken i dataskyddsförordningen eller i de svenska bestämmelser som kompletterar förordningen någon skyldighet för Integritetsskyddsmyndigheten att inleda tillsyn med anledning av ett klagomål från en registrerad. Tvärtom framgår av förordningen att tillsynsmyndigheten ska vara oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter samt att det i myndighetens ansvar att behandla klagomål från en registrerad ingår att där så är lämpligt undersöka den sakfråga som klagomålet gäller.

Tillämpliga bestämmelser innehåller inte heller någon uttrycklig reglering av vilka beslut av tillsynsmyndigheten i klagomålsärenden som ska kunna överklagas. Frågan om överklagbarhet får därför bedömas i varje enskilt fall med en tillämpning av 41 § förvaltningslagen. En sådan tillämpning ska också vara förenlig med rätten till ett effektivt rättsmedel enligt artikel 78.1 i dataskyddsförordningen.

Av Högsta förvaltningsdomstolens praxis rörande förvaltningsbesluts överklagbarhet framgår att frågan får avgöras utifrån de allmänna regler om överklagbarhet som uttalats i praxis och som kommit till uttryck i

41 § förvaltningslagen. Avgörande är vilka faktiska verkningar beslutet får för den som berörs (se t.ex. HFD 2018 ref. 23 och där anmärkta rättsfall). Alla de konsekvenser av olika slag som förvaltningsbeslut regelmässigt ger upphov till för enskilda medför dock inte att ett beslut är överklagbart utan det krävs att det är frågan om en påverkan av tillräckligt kvalificerat slag. Det ska därför göras en objektiv bedömning av om ett beslut av visst slag typiskt sett medför att kravet på påverkan är uppfyllt (se HFD 2019 ref. 21 punkt 36). Ett besluts överklagbarhet bör också bedömas med utgångspunkt i det uppdrag och ansvar som den beslutande myndigheten har (HFD 2022 ref. 31 punkt 29).

Av det beslut Integritetsskyddsmyndigheten fattat med anledning av R.B:s klagomål rörande en banks behandling av hans personuppgifter framgår att myndigheten har skickat information till banken om klagomålet och om gällande regler. Syftet anges vara att ge banken möjlighet att själv se över sin behandling av personuppgifter och rätta till eventuella brister. Mot den bakgrunden har Integritetsskyddsmyndigheten inte funnit skäl att utreda klagomålet vidare.

Integritetsskyddsmyndighetens beslut har den konsekvensen för R.B. att myndigheten inte vidtar någon ytterligare åtgärd med anledning av hans klagomål. Beslutet har dock inga faktiska verkningar i den meningen att det kan uppfattas som bindande i något avseende med följd att det kan få verkningar enligt sitt innehåll och påverka andra beslutsorgan eller enskildas handlande. Beslutet har därför inte en sådan påverkan som krävs enligt 41 § förvaltningslagen för att det ska vara överklagbart. Det kan inte heller uppfattas som ett rättsligt bindande beslut som aktualiserar rätten till ett effektivt rättsmedel enligt dataskyddsförordningen. Eftersom Integritetsskyddsmyndighetens beslut alltså inte får överklagas har förvaltningsrätten gjort rätt i att avvisa R.B:s överklagande. Hans överklagande i kammarrätten ska därför avslås.

- Kammarrätten avslår överklagandet.

II.

Högsta förvaltningsdomstolen meddelade den 17 november 2023 följande dom (mål nr 3691-22).

Bakgrund

1 EU:s dataskyddsförordning har till syfte att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Den som anser att en behandling av personuppgifter som avser henne eller honom strider mot förordningen har rätt att lämna in ett klagomål till en tillsynsmyndighet. Enligt förordningen ska var och en även ha rätt till ett effektivt rättsmedel mot tillsynsmyndighetens rättsligt bindande beslut eller om tillsynsmyndigheten t.ex. underlåter att behandla ett klagomål.

2 I Sverige är Integritetsskyddsmyndigheten tillsynsmyndighet inom dataskyddsområdet. Myndighetens beslut enligt EU:s dataskyddsförordning får överklagas till allmän förvaltningsdomstol.

3 M.W. lämnade in ett klagomål till Integritetsskyddsmyndigheten som handlade om att hans grannar bedriver kamerabevakning med kameror riktade mot andras tomter samt mot en gemensam tillfartsväg. Integritetsskyddsmyndigheten inledde ett tillsynsärende med anledning av klagomålet. Myndigheten bedömde därefter att utredningen i tillsynsärendet inte visade att grannarna behandlade personuppgifter genom kamerabevakning. Dataskyddsförordningen var därmed inte tillämplig och ärendet avslutades därför utan åtgärd.

4 Förvaltningsrätten i Stockholm avvisade M.W:s överklagande dit. Som skäl för beslutet angavs att det överklagade beslutet inte påverkade honom på ett sådant sätt att det är överklagbart.

5 M.W. överklagade avvisningsbeslutet till Kammarrätten i Stockholm. Kammarrätten undanröjde beslutet och återförvisade målet till förvaltningsrätten för prövning av M.W:s överklagande. Kammarrätten anförde följande. Beslutet i tillsynsärendet innebär att Integritetsskyddsmyndigheten har tagit ställning till M.W:s klagomål i sak genom att avslå det. Det är fråga om ett sådant rättsligt bindande beslut av tillsynsmyndigheten i förhållande till honom mot vilket han enligt EU:s dataskyddsförordning ska ha rätt till ett effektivt rättsmedel.

Yrkanden m.m.

6 Integritetsskyddsmyndigheten yrkar att Högsta förvaltningsdomstolen ska upphäva kammarrättens dom och fastställa förvaltningsrättens beslut samt anför följande. Högsta förvaltningsdomstolen har tidigare bedömt att Integritetsskyddsmyndighetens beslut att inte vidta någon åtgärd med anledning av ett klagomål inte är överklagbart (RÅ 2010 ref. 29). Frågan i det nu aktuella målet skiljer sig från rättsfallet såtillvida att det överklagade beslutet fattades inom ramen för ett tillsynsärende. Klagomålsärendet avslutades genom ett beslut i samband med att tillsynsärendet öppnades. Beslut om att skriva av ett klagomålsbaserat tillsynsärende och beslut om att inte inleda tillsyn bör dock bedömas på samma sätt. Sådana beslut får inte några rättsverkningar eller andra betydande konsekvenser vare sig för den som lämnat in klagomålet eller för någon annan.

7 M.W. anser att överklagandet ska avslås.

Skälen för avgörandet

Frågan i målet

8 Frågan i målet är om Integritetsskyddsmyndighetens beslut att avsluta ett tillsynsärende utan åtgärd är överklagbart.

Rättslig reglering m.m.

9 Av artikel 78.1 i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EU:s dataskyddsförordning, följer att varje fysisk eller juridisk person ska ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.

10 I 7 kap. 3 § första stycket lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, anges att tillsynsmyndighetens beslut enligt EU:s dataskyddsförordning får överklagas till allmän förvaltningsdomstol.

Högsta förvaltningsdomstolens bedömning

11 EU:s dataskyddsförordning började tillämpas den 25 maj 2018 och ersatte därmed personuppgiftslagen (1998:204). I dataskyddslagen finns bestämmelser som på ett generellt plan kompletterar förordningen.

12 I förarbetena till dataskyddslagen diskuterades frågan om förordningen förutsätter att den enskilde ska ha en generell rätt att överklaga tillsynsmyndighetens beslut att t.ex. inte vidta någon åtgärd med anledning av ett klagomål. Regeringen ansåg att det var oklart om förordningen medför att den registrerade har rätt att överklaga tillsynsmyndighetens beslut att inte vidta någon åtgärd med anledning av ett klagomål. Oavsett hur förordningen ska tolkas i detta avseende, krävdes det emellertid inte några författningsåtgärder i svensk rätt. Det överlämnades i stället till domstolarna att, genom en tolkning av förvaltningslagens generella bestämmelser om överklagande, ta ställning i frågan om svensk rättspraxis alltjämt är relevant eller om förordningen har förändrat rättsläget (prop. 2017/18:105 s. 164 f.).

13 Rätten till ett effektivt rättsmedel enligt artikel 78.1 i EU:s dataskyddsförordning gäller i fråga om rättsligt bindande beslut som meddelats av en tillsynsmyndighet. Av skäl 141 och 143 i ingressen till förordningen framgår att den registrerade bör ha rätt till ett effektivt rättsmedel vid den behöriga nationella domstolen mot ett beslut av en tillsynsmyndighet som har rättsliga följder för denna person. Som exempel nämns bland annat beslut där tillsynsmyndigheten helt eller delvis avslår eller avvisar ett klagomål.

14 Enligt Högsta förvaltningsdomstolen innebär detta att ett beslut vars innebörd är att Integritetsskyddsmyndigheten inte kommer att göra vad som begärts i ett klagomål måste betraktas som ett rättsligt bindande beslut som är överklagbart enligt artikel 78.1 i EU:s dataskyddsförordning.

15 När Integritetsskyddsmyndigheten avslutar ett klagomålsärende för att inleda ett tillsynsärende kommer ställning att tas till klagomålet först när tillsynsärendet behandlas. Om utgången i tillsynsärendet sedermera kommer att avvika från vad som begärts i klagomålet uppkommer samma situation som om klagomålsärendet direkt avslutats utan att klagomålet hörsammats. För att rätten till ett effektivt rättsmedel inte ska gå förlorad måste alltså även ett sådant beslut betraktas som ett rättsligt bindande beslut enligt artikel 78.1.

16 M.W:s klagomål till Integritetsskyddsmyndigheten har inte lett till de av honom begärda åtgärderna. Av det anförda följer att M.W. har rätt att överklaga Integritetsskyddsmyndighetens beslut. Integritetsskyddsmyndighetens överklagande ska därför avslås.

Högsta förvaltningsdomstolens avgörande

Högsta förvaltningsdomstolen avslår överklagandet.

I avgörandet deltog justitieråden Jermsten, Bull, Jönsson, och Medin. Föredragande var justitiesekreteraren Max Uhmeier.

Förvaltningsrätten i Stockholm (2022-02-11, Une-Larsson):

Ett beslut får överklagas om beslutet kan antas påverka någons situation på ett inte obetydligt sätt. Det framgår av 41 § förvaltningslagen. Högsta förvaltningsdomstolen har tidigare bedömt att Datainspektionens beslut att inte vidta någon åtgärd med anledning av ett klagomål inte är överklagbart (rättsfallet RÅ 2010 ref. 29). Kammarrätten i Stockholm har i dom den 9 juli 2020 i mål nr 30-20 bedömt att rättsläget inte har förändrats med anledning av ikraftträdandet av den nya förvaltningslagen och EU:s dataskyddsförordning (EU) 2016/679.

Förvaltningsrätten finner mot bakgrund av ovan redovisad praxis att Integritetsskyddsmyndighetens beslut att inte vidta någon åtgärd med anledning av M.W:s klagomål inte påverkar honom på ett sådant sätt att det är överklagbart. Överklagandet ska därmed avvisas.

- Förvaltningsrätten avvisar överklagandet.

Kammarrätten i Stockholm (2022-05-18, Linder, Reimers och Axelsson):

Av det beslut från Integritetsskyddsmyndigheten som M.W. har överklagat till förvaltningsrätten framgår att Integritetsskyddsmyndigheten inledde en tillsyn med anledning av hans klagomål som rörde att en viss kamerabevakning bedrevs. I beslutet bedömde Integritetsskyddsmyndigheten att det som kommit fram i ärendet inte visade att berörda personer behandlade personuppgifter genom kamerabevakning. Tillsynsärendet avslutades därmed.

Integritetsskyddsmyndighetens beslut innebär att myndigheten tagit ställning till M.W:s klagomål i sak genom att avslå det. Enligt kammarrätten är det frågan om ett sådant rättsligt bindande beslut av tillsynsmyndigheten i förhållande till honom mot vilket han enligt dataskyddsförordningen ska ha rätt till ett effektivt rättsmedel. Det rättsmedel som är tillämpligt för den situation som är aktuell i målet, dvs. att Integritetsskyddsmyndigheten bedömt att det inte bedrivs någon behandling av personuppgifter, finns i 7 kap. 3 § dataskyddslagen. Rätten att överklaga tillsynsmyndighetens beslut får då avgöras med ledning av 41 § förvaltningslagen (jfr prop. 2017/18:105 s. 162-165). Enligt den bestämmelsen finns en rätt att överklaga om ett beslut från en myndighet kan antas påverka någons situation på ett inte obetydligt sätt. Kammarrätten anser att Integritetsskyddsmyndighetens beslut att avslå M.W:s klagomål har en sådan karaktär och är därför överklagbart. Förvaltningsrättens beslut ska alltså undanröjas och målet visas åter till förvaltningsrätten för prövning av M.W:s överklagande.

- Kammarrätten undanröjer förvaltningsrättens beslut och visar målet åter till förvaltningsrätten för prövning av M.W:s överklagande.