Ett statligt bolag (Bolaget) har påförts en sanktionsavgift på 25 miljoner kronor för brister i säkerhetsskyddsarbetet. Bristerna finns dels i säkerhetsskyddsanalysen men även på grund av att Bolaget åsidosatt skyldigheten att ingå säkerhetsskyddsavtal och att samråda med tillsynsmyndigheten i flera fall. Bolaget har inte följt centrala bestämmelser i säkerhetsskyddslagen under en relativt lång tidsperiod. De allvarliga bristerna motiverar en betydande sanktionsavgift menar Förvaltningsrätten i Stockholm (Förvaltningsrätten). Domen kommer sannolikt överklagas.
Bakgrund
Under år 2020 fastställde Bolaget en säkerhetsskyddsanalys som gällde fram till dess att bolaget den 12 oktober 2023 fastställde en ny säkerhetsskyddsanalys.
Den 21 oktober 2022 inledde tillsynsmyndigheten en tillsyn av hur Bolaget efterlever vissa krav i säkerhetsskyddslagen och anslutande föreskrifter, bland annat krav som rör säkerhetsskyddsanalys, säkerhetsskyddsavtal samt samråd inför vissa förfaranden som kräver säkerhetsskyddsavtal.
Bolaget yttrade sig över tillsynsmyndighetens tillsynsrapport den 28 augusti 2023.
Tillsynsmyndigheten gjorde vissa justeringar i tillsynsrapporten och kommunicerade rapporten på nytt tillsammans med ett åtgärdsföreläggande som tillsynsmyndigheten beslutade den 28 november 2023.
Den 2 februari 2024 rapporterade Bolaget hur bolaget följt föreläggandet. Efter att tillsynsrapporten kommunicerades kompletterade tillsynsmyndigheten ärendet med uppgift om att Bolaget fastställt en ny säkerhetsskyddsanalys den 12 oktober 2023. Den nya säkerhetsskyddsanalysen bedöms inte i detta ärende.
Tillsynsmyndigheten beslutade den 11 mars 2024 att påföra Bolaget en sanktionsavgift om 33 miljoner kronor för att ha åsidosatt sina skyldigheter enligt säkerhetsskyddslagen på ett sätt som redovisas i en sekretessbelagd bilaga.
Bolaget överklagade beslutet och yrkade att det överklagade beslutet skulle upphävas eller att den beslutade sanktionsavgiften skulle sättas ned.
Förvaltningsrättens avgörande
Det är ostridigt att Bolaget bedriver säkerhetskänslig verksamhet och omfattas av säkerhetsskyddslagens tillämpningsområde.
Brister i säkerhetsskyddsanalysen
Förvaltningsrätten delar tillsynsmyndighetens syn på bristerna i säkerhetsskyddsanalysen som förelegat sedan den 1 december 2021. På grund av sekretess får vi inte närmare kännedom om vari bristerna består. Men av domen står klart att det finns allvarliga brister som motiverar en betydande sanktionsavgift.
Avsaknad av säkerhetsskyddsavtal och att samråda med tillsynsmyndigheten
Av den utredning som tillsynsmyndigheten genomfört anser Förvaltningsrätten att det är visat att Bolaget i vissa fall har åsidosatt skyldigheterna att ingå säkerhetsskyddsavtal och att samråda med tillsynsmyndigheten. Samtidigt har Bolaget också visat att antalet avtal och samråd som dessa krav skulle gälla för är färre än vad tillsynsmyndigheten har lagt till grund för det överklagade beslutet – en omständighet som påverkar sanktionsavgiftens storlek.
Betydande sanktionsavgift
Förvaltningsrätten finner att Bolaget underlåtit att följa flera centrala bestämmelser i säkerhetsskyddsregelverket. Med anledning av det och att överträdelserna pågått under en relativt lång tid, (från och med den 1 december 2021 till åtminstone den 12 oktober 2023) finns skäl att besluta om sanktionsavgift. Bolaget har visat att det antal fall där bolaget har åsidosatt skyldigheten att ingå säkerhetsskyddsavtal och samråda är färre än det fall som legat till grund för det överklagade beslutet. Vilket utgör skäl att sätta ned sanktionsavgiften i förhållande till det av tillsynsmyndigheten beslutade. Sammantaget anser Förvaltningsrätten att de aktuella överträdelserna, särskilt de allvarliga bristerna i säkerhetsskyddsanalysen, motiverar en betydande sanktionsavgift ungefär i mitten av det beloppsintervall som lagen ger möjlighet att utdöma.
Onödigt omfattande sekretess?
Det är intressant att vi nu börjar se avgöranden från domstol som tar sikte på kvaliteten i de säkerhetsskyddsanalyser som verksamhetsutövarna fastställt. Men frågan vi kanske ska ställa oss är det verkligen befogat med sekretess i detta fall. Bolaget har ju beslutat om en ny säkerhetsskyddsanalys som inte är föremål för prövning och att då vara öppen bristerna i den gamla, i vart fall på systemnivå, borde kunna offentliggöras. Eftersom ansvaret för säkerhetsskyddsanalyserna och deras kvalité i stor utsträckning vilar på verksamhetsutövarna är vi i stort behov av vägledning av vad som är bra respektive undermåliga analyser. Exempel på bra analyser har vi fått delvis av Säkerhetspolisen; Säkerhetsskyddsanalys – Ett fiktivt exempel och från Ylva Söderlunds och Peter von Zeipels bok Säkerhetsskyddsanalys i teori och praktik. Men vi skulle också behöva lära oss mer av domstolarna och tillsynsmyndigheterna i högre utsträckning eftersom de ansvarar för rättstillämpningen. När det gäller antalet säkerhetsskyddsavtal som borde ha ingåtts så är det också en uppgift som borde kunna delges utan att det skadar Sveriges säkerhet och skulle vara en värdefull uppgift att få veta mer om. Rör det sig om 100, 10 eller tre avtal som Bolaget ingått utan säkerhetsskyddsavtal? Det hade varit bra att få veta eftersom det säger en del rörande resonemanget om hur vi ska tänka beträffande risken för sanktionsavgifter. Förhoppningsvis tar Kammarrätten upp fallet och ger oss mer information om överträdelserna och antalet säkerhetsskyddsavtal som borde ha ingåtts. Om trenden med lägre sanktionsavgifter ju högre upp i domstolshierarkin målen förs skulle nog Bolaget kunna spara många miljoner på att överklaga.
Författare: Anderas Dahlqvist, Chefsjurist och Säkerhetsskyddschef, Certezza