I slutet av 2020 kom Integritetsskyddsmyndigheten (som tidigare hette Datainspektionen) fram till att flera vårdgivare behandlat personuppgifter i strid med GDPR. Det skulle ha skett genom att göra uppgifterna tillgängliga för ett stort antal anställda utan att genomföra behovs- och riskanalyser. Vårdgivarna som myndigheten kritiserade var Sahlgrenska universitetssjukhuset, Capio S:t Görans sjukhus, Karolinska universitetssjukhuset, Region Östergötland och Region Västerbotten.

IMY beslutade att vårdgivarna skulle betala sanktionsavgifter. Vårdgivarna bestred besluten i domstol, men Förvaltningsrätten i Stockholm gav IMY rätt. Det betydde att sanktionsavgifterna, som gick från 2,5 till 10 miljoner kronor, låg kvar.

Men domarna överklagades. Och nu har kammarrätten upphävt den tidigare domen, vilket gör att vårdgivarna slipper sanktionsavgifterna.

– Behandling av personuppgifter inom sjukvården omfattas av olika regelverk. De handlar både om behovet av patientuppgifter för att kunna ge god och säker vård och om enskildas rätt till skydd av personuppgifterna. Det innebär svåra avvägningar för vårdgivaren att förena dessa krav vid sjukvårdens personuppgiftsbehandling. I de nu prövade målen har IMY inte lyckats bevisa att sjukhusen och regionerna brustit i sina skyldigheter enligt dataskyddsförordningen, säger rättens ordförande kammarrättsrådet Eva Östman Johansson, i ett pressmeddelande.

Läs även:

Sjukhus får betala miljonbelopp för övertramp mot GDPR