Kan man drabbas av straffrättsligt ansvar för dataintrång som skett av misstag?
Min fru har av misstag gått in i en patientjournal hon inte ska kunna ha tillgång till när den felaktigt visats vid en sökning. Nu hotar arbetsgivaren med rättsliga påföljder och upp till 15 års fängelse.
Patientens namn kom upp i en sökning och hon klickade av misstag på namnet, hon insåg dock misstaget direkt och tog inte del av någon information, det kan vara så att ingen information förut namnet ens fanns tillgänglig. Hon går regelbundet igenom alla journaler för uppföljning av sina patienter. Systemet hon använder ger henne normalt inte tillgång till patienter hon inte är direkt delaktig i vården av och den ger henne tillgång till alla patienter, så ett nytt okänt namn kan ha fått henne att undra och klicka utan eftertanke.
Nu har hennes chef och IT-chefen skrämt upp henne rejält och hotar med allt från avsked till 15 år i fängelse och hon är ju självklart förtvivlad.
Min läsning av lagen är att för det första hade hon inget uppsåt och för det andra tog hon inte del av nån information, så ev. brott är extremt ringa, möjligen försök till ringa dataintrång, vilket inte är straffbart i sig.
Hur kan jag lugna henne i detta? Jag ser det grövre felet vara att patientens namn överhuvudtaget kunde komma upp i en sökning och att detta mest låter som ledningen försöker skylla på henne för sina misstag.
Lawline svarar
Hej och tack för att du vänder dig till Lawline med din fråga!
Som jag förstår din fråga kan du nog lugna din fru genom att läsa upp detta svar. Det är visserligen sant att den automatiserade uppgiften i din fråga (patientjournalen) omfattas av dataintrångsbestämmelsen 4 kap 9c § Brottsbalken (BrB). Den aktuella paragrafen talar om att man ska "bereda sig tillgång till" vilket innebär att det i sammanhanget inte ska spela någon avgörande roll huruvida din fru faktiskt läser något eller inte. Det väsentliga är att hon bereder sig tillgång till själva journalen i fråga och kan läsa den.
Däremot är det ju så, precis som du skriver, att din fru ska ha haft uppsåt till själva intrånget. Alla brott i brottsbalkens fjärde kapitel kräver nämligen uppsåt i någon form från gärningsmannen. Det går här enligt mig inte på ett rimligt sätt att föra ett resonemang kring att din fru ens skulle ha ett likgiltighetsuppsåt utifrån förutsättningarna du beskriver i frågan. Likgiltighetsuppsåt är den lägsta nivån av uppsåt i svensk rätt i dagsläget och för att din fru ska anses ha detta bör hon åtminstone ha "trott" och varit "likgiltig" inför det faktum att hon skulle komma åt och kunna läsa den aktuella patientjournalen. Ingenting i din fråga tyder ju dock på detta utan det hela låter istället mer som ett misstag. Det är möjligt att arbetsgivaren menar att din fru "borde ha förstått" och "tänkt efter" innan hon lyckades komma åt journalen. Denna typ av oaktsamhet är dock inte tillräcklig för att ådra sig straffansvar för dataintrång. Ett oaktsamt dataintrång är inte straffbart i Sverige.
Vidare måste poängteras att den aktuella arbetsgivaren inte tycks ha någon särskild koll på lagstiftningen. Att hota med 15 års fängelse är ju rent trams då maxstraffet för grovt dataintrång är sex års fängelse (4 kap 9 § andra stycket BrB). Att din fru (även om hon haft erforderligt uppsåt) skulle ha begått ett GROVT dataintrång är enligt mig högst osannolikt.
Det låter (även för mig) som att ledningen skyller ifrån sig lite i sammanhanget. Gällande avskedningen är det i grunden en arbetsrättslig fråga, varpå det är arbetsgivaren som i slutändan bestämmer om din fru ska få jobba krav eller inte. Ett avskedande får dock endast ske om en arbetstagaren grovt har åsidosatt sina förpliktelser gentemot arbetsgivaren, exempelvis genom att begå något brott i tjänsten. Ofta kan då en arbetsdomstol vänta in en dom från en allmän brottsmålsdomstol för att se om ett eventuellt avskedande kan vara motiverat. Då din fru enligt mig omöjligen kan anses ha begått brottet dataintrång är det alltså mycket möjligt att ett avskedande som enbart grundar sig på denna "intrångsincident" kommer förklaras ogiltigt av en arbetsdomstol. Om detta sker kommer din fru ha rätt till skadestånd från sin arbetsgivare (38-39 §§ lagen om anställningsskydd). Då det i sammanhanget handlar om ett ogiltigt avskedande brukar skadeståndet bli relativt högt.
Hoppas du känner att du fått lite klarhet i de juridiska aspekterna som omgärdar din fråga!
