Sanktionsmöjligheterna aktualiserar frågor om rättssäkerhet och skydd för de enskilda verksamhetsutövarnas rättigheter. Syftet med denna artikel är att analysera länsstyrelsens beslut och de skäl som angavs för den relativt höga avgiften, med tanke på att den maximala avgiften är tio miljoner kronor, samt om verksamhetsutövarens rättigheter upprätthållits under beslutsförfarandet.
Beslutet har överklagats och frågan om storleken på sanktionsavgiften kommer snart att prövas i domstol. Avgörandet kommer troligen att få betydelse för liknande fall där en sanktionsavgift ska utgå och ge en fingervisning om hur verksamhetsutövare ska agera för att undvika utredningar och sanktionsavgifter.
Bakgrund
Bakgrunden är att VA Syd hörde av sig till Säkerhetspolisen för att ställa frågor om tecknade säkerhetsskyddsavtal. Säkerhetspolisen angav att några säkerhetsskyddsavtal inte fanns registrerade hos dem. VA Syd påbörjade då en intern utredning och konstaterade att den tidigare säkerhetsskyddschefen inte vidtagit de åtgärder som var nödvändiga för att följa säkerhetsskyddslagstiftningen.
Det hela ledde så småningom till att Länsstyrelsen i Skåne, som ansvarig tillsynsmyndighet, tog upp frågan och bedömde att VA Syd gjort sig skyldiga till flera överträdelser. VA Syd hade underlåtit att säkerhetspröva personal och leverantörer, att uppdatera säkerhetsskyddsanalysen, ha en säkerhetsskyddschef, anmäla att de bedriver säkerhetskänslig verksamhet samt ha en systematisk uppföljning av säkerhetsskyddsarbetet.
I överklagandet av länsstyrelsens beslut medger VA Syd att det varit fråga om uppenbara och allvarliga överträdelser av säkerhetsskyddet som motiverar en sanktionsavgift. Däremot tycker VA Syd att avgiftens storlek är hög mot bakgrund av den korta tid under vilken en sanktionsavgift har kunnat påföras, att det berott på en enskild medarbetares brister och att VA Syd relativt snabbt vidtagit åtgärder för att omhänderta dessa missförhållanden.
Ärendet aktualiserar frågor om rättssäkerhet och skydd för de enskilda verksamhetsutövarnas rättigheter. Utgångspunkten för en enskild verksamhetsutövares rättssäkerhetsgarantier återfinns i regeringsformens inledande paragraf som ger uttryck för legalitetsprincipen och konstaterar att ”all offentlig makt ska utövas under lagarna”.
Principen är särskilt relevant i områden med sanktioner av straffliknande karaktär. Det inkluderar de sanktionsavgifter som kan riktas mot enskilda verksamhetsutövare.
I förarbetena till de senaste ändringarna i Säkerhetsskyddslagen, SSL, konstateras att lagstiftningen ska vara tillräckligt tydlig ”så att det är förutsebart för verksamhetsutövare i vilka fall en sanktionsavgift får tas ut, eftersom sanktionsavgifter har en straffliknande karaktär och kommer kunna uppgå till betydande belopp”.
Att en sanktionsavgift anses ha en straffrättslig karaktär får konsekvenser för en tillsynsmyndighets möjlighet att påföra en avgift. Det ger enskilda verksamhetsutövare rättssäkerhetsgarantier som innebär att den enskilda verksamhetsutövaren ska kunna förutse vilka handlingar som kan leda till straff.
Det inrymmer även ett flertal principer som bland annat innebär att sanktionsavgifter måste ha stöd i lag, att det inte är möjligt att sanktionera överträdelser som skett innan lagstiftningen trätt i kraft och att lagstiftningen måste vara tydlig. Det ställer också krav på att tillsynsmyndigheternas utredningar måste utredas väl och utmynna i välmotiverade och robusta beslut.
Dessa principer gäller såväl för lagstiftaren när lagen tas fram som för tillsynsmyndigheterna när de tillämpar lagstiftningen. Nedan följer en analys kring länsstyrelsens beslut.
Analys – Uppfyller länsstyrelsens beslut de grundläggande principerna om rättssäkerhet och verksamhetsutövarnas rättigheter?
Det skulle vara möjligt att kommentera stora delar av länsstyrelsens utredning och beslut. Eftersom VA Syd medgett att det varit fråga om uppenbara överträdelser av lagstiftningen finns det dock anledning att begränsa analysen till den höga sanktionsavgiften och mer specifikt kort beröra frågorna om länsstyrelsen dels respekterat förbudet mot retroaktiv lagtillämpning, dels uppfyllt sin utredningsbörda och motiveringsskyldighet.
Den första frågan avser förbudet mot retroaktiv lagtillämpning som syftar till att säkerställa att det inte ska var möjligt att bestraffas för överträdelser som skett innan lagstiftningen trätt i kraft.
Principen har beaktats av lagstiftaren som i förarbetena till SSL uttalat att ”[n]är det gäller förslaget om att tillsynsmyndigheten ska få besluta sanktionsavgift måste förbudet mot retroaktiv straff- och skattelagstiftning i 2 kap. 10 § regeringsformen beaktas. Förbudet mot retroaktiv skattelagstiftning anses vara analogt tillämpligt på straffliknande administrativa påföljder (prop. 1975/76:209 s. 125). En sanktionsavgift med stöd av de föreslagna bestämmelserna bör därför få beslutas endast för överträdelser som har skett efter ikraftträdandet, vilket bör anges i en övergångsbestämmelse.” I övergångsbestämmelserna stadgas också att ”en sanktionsavgift enligt 7 kap. får beslutas endast för överträdelser som skett efter ikraftträdandet”.
VA Syds överträdelser sträcker sig så långt tillbaka som åtminstone 2015 i vissa fall, det vill säga innan möjligheten att sanktionera verksamhetsutövare för överträdelser av SSL fanns på plats. Länsstyrelsen inleder därför sin bedömning helt korrekt genom att konstatera att enbart händelser som inträffat efter den 1 december (alltså när lagen trädde i kraft) ska beaktas.
Länsstyrelsen påbörjade sin utredning den 6 april 2022 vilket rimligen innebär att den relevanta tidsperioden för en sanktion varit cirka fyra månader. Hänsyn bör rimligtvis också tas till att vissa överträdelser upphört inom den perioden. VA Syd gjorde exempelvis en anmälan enligt SSL och anställde en säkerhetsskyddschef under mars månad. Därmed borde den relevanta perioden för dessa vara cirka tre månader.
Trots detta konstaterar länsstyrelsen att det rört sig om överträdelser som resulterat i ”omfattande sårbarheter för Sverige […] som kan leda till mycket allvarliga konsekvenser” och som motiverar böter i närheten av det maximala bötesbeloppet.
Vid uppsåtsbedömningen konstaterar länsstyrelsen även att överträdelserna inte har kunnat ske av oaktsamhet mot bakgrund av ”överträdelsernas omfattning”. Det nämns även i förbifarten att tillvägagångssättet och om det varit fråga om systematiskt handlande har betydelse för uppsåtsbedömningen.
Det är oklart om sistnämnda enbart är en hänvisning till förarbetena eller om länsstyrelsen menar att VA Syds agerande varit systematiskt. Det förefaller dock vara det senare eftersom länsstyrelsen under överklagandeprocessen även konstaterat att det rör sig om överträdelser av ”flera av säkerhetsskyddslagstiftningens centrala krav under lång tid”.
Mot bakgrund av att det rör sig om överträdelser på tre till fyra månader är dessa slutsatser inte helt lätta att förstå. Hänvisningen till överträdelser som pågått under ”lång tid” och skrivningarna om att det potentiellt rört sig om ett systematiskt handlande från VA Syd tyder även på att länsstyrelsen haft en längre tidsperiod i åtanke än tre till fyra månader när de bedömt allvaret.
Åtminstone framgår det inte av beslutet hur överträdelser på tre till fyra månader kan betraktas som lång tid eller anses vara så pass allvarliga att de kan orsaka omfattande sårbarheter för Sverige. Att beakta omständigheter som skedde innan den 1 december 2021 vore dock ett klart kringgående av förbudet mot retroaktiv lagtillämpning som skulle motivera en sänkning av sanktionsavgiften.
Det är svårt att frigöra sig från tanken att länsstyrelsen, medvetet eller omedvetet, lagt tidigare överträdelser till grund för sitt sanktionsbeslut.
Utöver att länsstyrelsens ställningstagande inte förefaller ha stöd i omständigheterna i målet, kan ställningstagandet skapa problem i praxisbildningen kring sanktionsavgifter. Om en överträdelse som pågår i tre till fyra månader bedöms som ”lång”, ”systematisk” och som tillsammans med övriga omständigheter motiverar en sanktionsavgift i närheten av maxbeloppet, krymps utrymmet att utdöma höga sanktionsavgifter för mera allvarliga överträdelser.
Nästa fråga är om länsstyrelsen uppfyllt sin utredningsbörda och motiveringsskyldighet? Utgångspunkten är att enskilda verksamhetsutövare ska betraktas som oskyldiga genom hela processen och att eventuella beslut ska vara tillräckligt underbyggda för att verksamhetsutövaren ska förstå beslutet och kunna ta tillvara sin rätt vid ett överklagande.
Det kan även nämnas att länsstyrelsen enligt beslutet påbörjade sin utredning den 6 april 2022 och fattade beslut redan den 2 maj 2022. Det innebär att länsstyrelsen på mindre än en månad granskat VA Syds säkerhetsskyddsarbete och fattat beslut om en sanktionsavgift på sju miljoner kronor. Under den tiden har VA Syd också fått tillfälle att yttra sig i ärendet. Det är en anmärkningsvärd kort utredningstid.
Under den tiden har dock länsstyrelsen, som nämnts, kunnat konstatera att överträdelserna orsakat ”omfattande sårbarheter för Sverige, något som kan leda till mycket allvarliga konsekvenser”. Hur överträdelserna orsakat omfattande sårbarheter för Sverige utvecklas dock inte. Det enda som konstateras är att ”ett stort antal personer tagit del av säkerhetskänslig verksamhet utan erforderlig säkerhetsprövning”.
Under överklagandeprocessen har länsstyrelsen, efter att ha räknat upp samtliga överträdelser, även nämnt att ”[v]art och ett av dessa krav är ensamt så centralt och viktigt för Sveriges säkerhet att det i lagstiftningen ges utrymme för att besluta om en administrativ sanktionsavgift om kravet överträds. VA SYD har, under relativt lång tid, överträtt fem av de krav som ger utrymme för beslut om sanktionsavgift.” Hur dessa överträdelser lett till omfattande sårbarheter för Sverige utvecklas dock inte heller i detta avseende.
När det gäller säkerhetsprövningarna konstateras tidigt i beslutet att ett hundratal anställda innehar säkerhetsklassade befattningar och att ett sjuttiotal av dessa inte förekom i Säkerhetspolisens registerkontrolluppdrag.
Det konstateras även att sex till åtta personer inom ramen för ett säkerhetsskyddsavtal arbetar med uppgifter som innebär säkerhetsklassning och att dessa inte heller återfinns i säkerhetspolisens registerkontrolluppdrag.
Samtliga uppgifter härrör dock från VA Syd som i överklagandet nämnt att det rört sig om ”grova uppskattningar utan någon begränsning i tiden”. Det innebär att sanktionsbeslutet grundas på opreciserade uppgifter. Länsstyrelsen verkar inte heller ha utrett hur många personer det rört sig om under den relevanta tidsperioden, vilken typ av säkerhetskänslig verksamhet dessa tagit del av samt om dessa personer utgjort ett säkerhetshot.
En sanktionsavgift av straffrättslig karaktär kräver rimligen att dessa frågor berörs och att beslutet innehåller någon typ av beskrivning av hur var och en av överträdelser som ligger till grund för beslutet mer specifikt orsakat omfattande sårbarheter för Sverige.
Utan det kan kraven på länsstyrelsens utredning och motiveringar i beslutet svårligen anses vara uppfyllda. Frågor som kan ställas är exempelvis hur Sverige orsakats omfattande sårbarheter när VA Syd under tre månader underlåtit att anmäla att de bedriver säkerhetskänslig verksamhet och om det överhuvudtaget är en överträdelse när anmälan sker efter tre månader och lagen kräver att anmälan ska ske ”utan dröjsmål”.
Länsstyrelsen har dock inte besvarat den här typen av frågor. I stället har de under överklagandeprocessen, när de ställts inför frågan om säkerhetsprövningar, lagt den bördan på VA Syd och konstaterat att de ”inte ens efter beslutstillfället skaffat sig kontroll över hur många personer som deltar i säkerhetskänslig verksamhet utan att vara säkerhetsprövade”.
Det är länsstyrelsen som har utredningsbefogenheter enligt 6 kap. SSL och det är länsstyrelsen som har att tillhandahålla en tillräcklig robust utredning som utvisar överträdelser av SSL. Här finns en inte obetydlig risk att VA Syd faktiskt sanktioneras för överträdelser som skett innan ikraftträdandet av SLL beroende på ett underlag som inte är fullt ut tillförlitligt. Detta är knappast förenligt med de beskrivna rättssäkerhetsprinciperna.
Avslutande kommentar
Den första sanktionsavgiften lämnar till synes en del att önska i form av såväl utredning som respekt för verksamhetsutövares grundläggande rättigheter. Säkerhetsskyddsområdet är ett relativt nytt område och det finns ett stort behov av vägledning som hjälper verksamhetsutövare att förstå hur lagstiftningen ska tillämpas.
Det är därför olyckligt att den första sanktionsavgiften som påförs baseras på en svag utredning och närmast uppenbara felaktigheter i form av ett ganska tydligt kringgående av övergångsbestämmelserna. Utöver att det drabbar VA Syd riskerar dock beslutet även att krympa utrymmet att utdöma höga sanktionsavgifter för mera allvarliga överträdelser.
VA Syd bortsåg visserligen ifrån flera viktiga bestämmelser i säkerhetsskyddslagstiftningen men enbart under relativt kort tid om tiden börjar räknas från att möjligheten att sanktionera trädde i kraft. Jämförs VA Syds agerande med exempelvis Transportstyrelsens it-upphandling och dess outsourcing av känsliga data under 2017 framstår det dock som klart mindre allvarligt.
Med nuvarande regelverk skulle emellertid Transportstyrelsens hantering av it-upphandlingen maximalt också få sanktioneras med en avgift på tio miljoner kronor. Det innebär att Transportstyrelsen hypotetiskt enbart skulle kunna fått en sanktionsavgift som var en till tre miljoner kronor högre än vad VA Syd tilldelats. Det framstår som mindre ändamålsenligt.
Mot denna bakgrund är det välkommet att sanktionsavgiften snart kommer att prövas i domstol och det blir viktigt att domstolen ger tydlig vägledning kring användningen av sanktionsavgifterna.
Med hänsyn till att 13 olika tillsynsmyndigheter har möjlighet att påföra en sanktionsavgift enligt SSL har domstolarna en viktig roll att fylla för att se till att det skapas ett förutsägbart och rättssäkert system för påförande av sanktionsavgifterna enligt SSL.
Verksamhetsutövare kan bidra till detta genom att ha de allmänna principer som beskrivits ovan i åtanke när de utreds av en tillsynsmyndighet och tydligt åberopa dessa om de skulle drabbas av en sanktion.
Omar El Khatib
Petter Florwald
Bokwall Rislund Advokatbyrå
Tack för att ni gör denna analys och lyfter denna problematik. Håller helt med er.
Det är oerhört viktigt att tillsynsmyndigheterna verkligen ger en konkret vägledning i vad som omfattas av säkerhetsskyddslagen, ffa då verksamhetsutövaren i sin säkerhetsanalys kan komma fram till att viss verksamhet inte omfattas av säkerhetsskydd – och tillsynsmyndigheten kan ha en helt annan uppfattning. Ska detta kunna leda till sanktioner och viten – och hur påverka detta tillsynsmyndighetens förmåga och vilja att vara rådgivande?
Inser att det är en svår balansgång att både ha krav på att vara rådgivande och ha krav på att utföra tillsyn, men det borde definitivt gå att lösa eftersom vi arbetar mot samma mål – ett säkrare och robustare Sverige.
Keep up the good work 🙂