Tre sanktionsprövningar

Från proportionalitet till legalitet i förvaltningsrätten

 

 


Av advokaten FREDRIK SJÖVALL1

Allt eftersom administrativa sanktioner och sanktionsavgifter blir allt vanligare och mer ingripande, blir också behovet av att ta ställning till frågor om legalitet och proportionalitet större. En serie avgöranden från Förvaltningsrätten i Stockholm illustrerar väl hur myndigheter och domstolar bör resonera.

 


1. Det hör inte till vanligheterna att ett och samma mål prövas tre gånger av samma underrätt, vid tre olika tillfällen, utan att en enda gång ha prövats i sak av en överrätt.2 Det är nog också i sig ovanligt att ett mål som innefattar prövning av principiellt viktiga och aktuella frågor stannar i första instans, åtminstone när det är följden av att den myndighet som är part i målet väljer att inte överklaga. Det torde slutligen också höra till sällsyntheterna att målet kommit att bedömas av sex ordinarie domare — varav fyra chefsrådmän — som alla kommit fram till samma slut, men på olika grunder.
    Målet gällde domstolsprövning av sanktionsavgifter som Finansinspektionen beslutat om. Målet har en märklig — närmast unik — processuell historia, kantad av missöden. De speciella omständigheterna bildar emellertid fond till en serie avgöranden som behandlar frågor av stor betydelse och aktualitet. I grund och botten handlar alla de tre domarna från Förvaltningsrätten i Stockholm om myndigheternas bundenhet vid tillämpliga regelverk vid beslut om sanktioner mot en enskild. Principerna om legalitet och proportionalitet utgör rättsgrundsatser som varje jurist i teorin känner väl till. I det praktiska rättslivet får emellertid sällan principerna något särskilt stort utrymme.
    Att principerna inte får det utrymmet — att de inte tillämpas, åtminstone inte uttryckligen, särskilt ofta av myndigheter och domstolar — kan ha olika orsaker. Det kan bero på att myndigheterna i sin rättstillämpning i allmänhet håller sig väl inom de råmärken som principerna ställer upp. Så är det nog för det mesta, och framför allt har det nog varit så historiskt. Men det kan också bero på en obenägenhet att låta rättsfigurer som anses akademiska eller teoretiska göra avtryck i den vardagliga rättstillämpningen. Det beror säkert också i stor ut-

 

1 Jag var ombud för Nasdaq i de mål som refereras i artikeln. De synpunkter som förs fram här är dock uteslutande mina egna. 2 I verkligheten var det två mål, men de frågeställningar om legalitet och proportionalitet som de gav upphov till var desamma. För enkelhets skull skriver jag därför i det följande ”målet”.

 

738 Fredrik Sjövall SvJT 2021 sträckning helt enkelt på ovana och en valhänt hantering av sådant som ligger utanför etablerade rutiner.3 Principerna får en ökad betydelse i takt med att den regulatoriska lagstiftningen på många områden blir alltmer omfattande och komplex. Ofta är detta ett resultat av EU-lagstiftning. Sådan lagstiftning innehåller inte sällan bestämmelser om sanktioner, som syftar till att säkerställa att regelverken följs.4 I takt med att regelverken blir mer komplicerade och dessutom sanktionerade med mycket kännbara sanktionsavgifter ökar behovet av att ställa grundläggande frågor om när ingripanden är förutsebara, rimliga och motiverade av syftet eller syftena med regelverken. De tre domar från Förvaltningsrätten i Stockholm som ska refereras och diskuteras i det följande utgör god vägledning för hur myndigheter bör förhålla sig i denna alltmer svårnavigerade regulatoriska miljö.

 

2. I juni 2015 inledde Finansinspektionen två undersökningar gällande bolag inom Nasdaqkoncernen med avseende på hur dessa hanterade s.k. cyberrisker.5 Med cyberrisker avses i detta sammanhang risker som traditionellt brukar förknippas med informationssäkerhet. Det kan t.ex. vara fråga om att motverka industrispionage eller -sabotage, attacker från hackare eller från en främmande makt.
    Undersökningarna och Finansinspektionens sedermera meddelade sanktionsbeslut kom att handla om vissa aspekter av bolagens informationssäkerhetsarbete. Det gällde inte om bolagen hade ett informationssäkerhetsarbete eller ej — det fanns — utan om hur det arbetet borde vara organiserat och strukturerat, särskilt vad gäller utkontraktering av vissa funktioner till moderbolaget. Sålunda framkom det under de ca ett och ett halvt år långa undersökningarna att Finansinspektionen ansåg att det borde ske på ett visst sätt, och att inspektionen ansåg att bolagen på olika punkter därvid brustit. Bolagen, som i och för sig ansåg sig ha levt upp till relevanta krav, anpassade sitt arbete och sin organisation till Finansinspektionens synpunkter så snart dessa blev kända. Det kan tillfogas att bolagen hade ett mycket gott skydd mot cyberattacker under hela den tid som tillsynsärendena avsåg; i själva verket kunde bolagen genom att dra nytta av koncernens

 

3 I förarbetena till den nya förvaltningslagen påpekas bl.a. att en genomgång av praxis ger en klar indikation på att myndigheterna inte alltid i tillräcklig utsträckning tar reda på om de har stöd i rättsordningen för sina åtgärder och att det därför var angeläget att i den nya lagen ge en klar signal om att all offentlig verksamhet, oavsett dess karaktär, ytterst måste grundas på skrivna regler i rättsordningen, se prop. 2016/17:180 s. 58. 4 Saken blir inte bättre av att EU-lagstiftning ofta saknar klara direktiv om tillämpningen i form av förarbeten samt är, i varierande utsträckning beroende på hur kontroversiellt området är, i själva verket ett lapptäcke av kompromisser mellan EUkommissionen, medlemsstaterna i rådet och olika intressen företrädda i EU-parlamentet. 5 Finansinspektionens ärenden med dnr 15-9257 (Nasdaq Stockholm Aktiebolag) och dnr 15-9258 (Nasdaq Clearing Aktiebolag). I båda ärendena meddelades beslut den 13 december 2016.

SvJT 2021 Tre sanktionsprövningar… 739 samlade IT-säkerhetsfunktion i praktiken få ett bättre skydd än om bolagen organiserat sin cybersäkerhet själva.
    I den lagstiftning som reglerar verksamheten för bolagen, närmare bestämt i lagen (2007:528) om värdepappersmarknaden, Europaparlamentets och rådets förordning 648/2012 om OTC-derivat, centrala motparter och transaktionsregister (EMIR) samt i kommissionens delegerade förordning 153/2013 om komplettering av EMIR med avseende på tekniska tillsynsstandarder för krav på centrala motparter (tilllämpningsförordningen), finns principiella bestämmelser som på ett allmänt plan uppställer krav på t.ex. riskhantering i verksamheterna, på kravställning och kontroll vid utkontraktering och på att bolagen ska använda sig av en scenariobaserad riskanalys och därvid ha arrangemang för att säkerställa kritiska funktioners kontinuitet om risken skulle förverkligas.6 Reglerna i lagen om värdepappersmarknaden kompletteras av Finansinspektionens allmänna råd om styrning och kontroll av finansiella företag, FFFS 2005:1.
    Finansinspektionen fann i sina beslut att bolagen borde ha bedrivit och organiserat sitt arbete mot cyberrisker på ett visst sätt, men att så inte skett. Inspektionen ansåg att bolagen vid utkontrakteringen inte försett sig med den information som behövdes för att säkerställa kvaliteten i leveranserna från moderbolaget och att bolagens beslutsunderlag, riktlinjer och planer borde varit utformade på ett sätt som i större utsträckning tog uttrycklig hänsyn till just cyberrisker. Finansinspektionen beslutade därför att meddela respektive bolag en anmärkning och sanktionsavgifter som tillsammans uppgick till 55 miljoner kr.7 Inspektionen beaktade därvid i förmildrande riktning i viss utsträckning att bolagen redan under tillsynen genomfört många förbättringar och därutöver presenterat en omfattande åtgärdsplan för att anpassa verksamheten till Finansinspektionens krav.

 

3. Dessa beslut kom alltså att överklagas till Förvaltningsrätten i Stockholm och därvid prövas inte mindre än tre gånger av domstolen. Att så kunde ske hänger samman med den särpräglade processuella historia som målet kom att få.
    Vid den första prövningen avgjordes målet i förvaltningsrätten till klagandenas fördel med tillämpning av proportionalitetsprincipen, emellertid utan att domstolen prövade om bolagen faktiskt överträtt den tillämpliga lagstiftningen eller inte. Jag återkommer strax till detta angreppssätt. Att så skedde fick till följd att Kammarrätten i Stockholm, dit talan fullföljdes av Finansinspektionen, undanröjde förvaltningsrättens domar och visade målet åter dit för att först ta ställning till om några överträdelser skett eller ej.

 

6 Se t.ex. 13 kap. 1 § lagen om värdepappersmarknaden och artiklarna 26.1 och 35.1 a, g och h i EMIR och 3.4, 4.1–4, 17.4–6, 18.2 och 19.1 i tillämpningsförordningen. 7 30 miljoner kr för Nasdaq Stockholm och 25 miljoner kr för Nasdaq Clearing.

740 Fredrik Sjövall SvJT 2021 Kammarrättens beslut överklagades till Högsta förvaltningsdomstolen. När målet låg där för avgörande av prövningstillståndsfrågan kom — helt överraskande — ett nytt avgörande från förvaltningsrätten. Det måste ha förhållit sig på det viset att kammarrätten skickat akten åter till förvaltningsrätten som inte blivit upplyst om att målet låg för prövning i högsta instans. Någon kommunicering med parterna skedde inte heller, utan dom meddelades direkt — vilket också är anmärkningsvärt. Även denna gång undanröjdes Finansinspektionens beslut, men denna gång efter en prövning i sak, varvid legalitetsprincipen fick stort genomslag. Även till detta återkommer jag nedan.
    Förvaltningsrättens avgörande överklagades återigen till kammarrätten som på nytt undanröjde domarna, denna gång med motiveringen att målet var anhängigt hos Högsta förvaltningsdomstolen.
    Efter att Högsta förvaltningsdomstolen inte meddelat prövningstillstånd kom målet för tredje gången till förvaltningsrätten. Där meddelades sedermera den tredje domen som undanröjde Finansinspektionens beslut, även denna starkt influerad av legalitetshänsyn. Även till detta återkommer jag nedan. Denna gång valde Finansinspektionen att inte överklaga och domen vann således laga kraft.

 

4. Förvaltningsrättens första avgörande grundade sig alltså på proportionalitetsprincipen.8 Principen anses vara en av förvaltningsrättens bärande principer, inte bara i Sverige utan i de flesta rättsordningar. Den har stor och allmän betydelse inte minst inom EU-rätten.9 Därigenom är den EU-rättsliga proportionalitetsprincipen också direkt tillämplig, jämte den svenska förvaltningsrättsliga proportionalitetsprincipen, när svenska myndigheter och domstolar tillämpar regelverk som har en EU-rättslig grund.
    Proportionalitetsprincipen har i takt med särskilt europarättens inflytande kommit att få en alltmer framträdande roll inom svensk förvaltningsrätt.10 Medan principen tidigare framför allt har haft sin betydelse inom vissa specifika förvaltningsområden, har den kommit att erkännas som en allmänt gällande princip när det allmänna ingriper mot enskilda. Utvecklingen har skett dels genom lagstiftning, dels i praxis. Av 5 § andra stycket förvaltningslagen (2017:900) framgår följande.

 

Myndigheten får ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.

 

 

8 Förvaltningsrätten i Stockholms domar den 3 maj 2018 i målen 253-17 och 258-17. 9 Se för en redogörelse inte bara för den EU-rättsliga principen, utan också en vidare komparativ utblick SOU 2010:29 s. 156 ff. 10 A.a. s. 171 och 176.

 

SvJT 2021 Tre sanktionsprövningar… 741 Som framgår av bestämmelsen, och som utförligare beskrivs i förarbetena till förvaltningslagen, består proportionalitetsprincipen av tre moment eller delbedömningar. Denna ordning är även vedertagen i svensk domstolspraxis och på europeisk nivå.11

(i) Lämplighet: Myndigheten får ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. (ii) Nödvändighet: Åtgärden får aldrig vara mer långtgående än vad som behövs. (iii) Proportionalitet i strikt mening: och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.12

Förvaltningsrätten avgjorde målet mellan Nasdaq och Finansinspektionen genom en tillämpning av de två första momenten i principen. Förvaltningsrätten gjorde det utan att över huvud taget gå in på om det faktiskt förekommit en överträdelse eller ej. Förvaltningsrätten gjorde alltså bedömningen att det under inga förhållanden — oavsett om det förekommit en överträdelse av regelverken eller ej — var lämpligt och nödvändigt med en sanktion.
    Förvaltningsrätten uttalade inledningsvis att en prövning efter proportionalitetsprincipen innefattade

 

ett ställningstagande angående det överklagade beslutets förenlighet med proportionalitetsprincipen givet bl.a. de av inspektionen påstådda bristerna, bolagets möjlighet att innan tillsynen över huvud taget iaktta de krav som gäller enligt inspektionens uppfattning och bolagets vilja att under ärendets handläggning rätta sig efter inspektionens påpekanden om brister.13

Förvaltningsrätten redogjorde därefter i domen för de tre stegen i en proportionalitetsprövning. Eftersom en bedömning enligt det sista momentet är relevant först om det har kunnat konstateras att ett ingripande varit såväl lämpligt som nödvändigt, inledde förvaltningsrätten med att bedöma lämpligheten och nödvändigheten av ett ingripande. I det sammanhanget framhöll förvaltningsrätten att bedömningen av huruvida ett ingripande är lämpligt och nödvändigt ska göras med utgångspunkt i bl.a. graden av konkretion i de tillämpliga föreskrifterna eller i de anvisningar som Finansinspektionen lämnat och vad som erfordrades för att få till stånd en rättelse.
    Beträffande ingripandets lämplighet konstaterade förvaltningsrätten att Finansinspektionen inte kunnat beskriva den rättelse som

 

11 Se t.ex. RÅ 1999 ref. 76 och EU-domstolens dom i mål C-418/11 Texdata Software GmbH, punkt 52. 12 Det bör nämnas att det råder en viss debatt kring huruvida det tredje steget över huvud taget utgör en del av EU-domstolens proportionalitetsbedömning. Den rådande uppfattningen tycks dock vara att det tredje steget utgör en del av bedömningen, men att det inte behöver göra det i alla situationer (Gydal: The Principle of Proportionality, Institutet för Europeisk rätt vid Stockholms Universitet 1995, s. 32 och Craig, EU Administrative Law, tredje uppl. 2018, s. 643). 13 Se t.ex. domen i mål 258-17 s. 8 ff.

742 Fredrik Sjövall SvJT 2021 inspektionen ville få till stånd i några mer konkreta handlingsdirektiv. Förvaltningsrätten konstaterade i det sammanhanget vidare att Finansinspektionen uttalat att det inte var möjligt att utfärda ett föreläggande, eftersom ett sådant inte hade kunnat preciseras i erforderlig utsträckning. Inte ens Finansinspektionen hade således kunnat med precision ange vad Nasdaq skulle ha vidtagit för åtgärder för att uppfylla de krav som inspektionen ansåg följer av de allmänt hållna stadgandena i lagen om värdepappersmarknaden och FFFS 2005:1, som inspektionen ansåg att bolaget hade överträtt. Förvaltningsrätten konstaterade således att det rört sig om påståenden om oklara brister och åtgärder som kunnat klargöras först efter en dialog med Nasdaq. Mot den bakgrunden fann förvaltningsrätten att det valda ingripandet inte var lämpligt.
    Förvaltningsrätten fortsatte sin prövning med att bedöma nödvändigheten av det valda ingripandet. I det avseendet konstaterade förvaltningsrätten att Nasdaq under hela ärendets handläggning hade rättat sig efter de påpekanden som inspektionen gjort. Rättelse hade sålunda uppnåtts utan att Finansinspektionen behövt använda sig av något ingripande eller någon sanktion. Mot den bakgrunden fastslog förvaltningsrätten att Finansinspektionens ingripande inte heller var nödvändigt.
    Eftersom förvaltningsrätten konstaterat att Finansinspektionens ingripande inte bara var olämpligt, utan också onödigt, saknades anledning för domstolen att göra någon ytterligare prövning. Förvaltningsrätten kunde istället fastslå att Finansinspektionens ingripande stred mot proportionalitetsprincipen och därmed skulle upphävas.

 

5. Man kan notera att förvaltningsrättens lämplighetsprövning har mycket gemensamt med en prövning efter legalitetsprincipen. Den grundläggande synpunkten utifrån såväl legalitets- som proportionalitetsprinciperna är att det är olämpligt med en sanktion om det inte går att förstå vad den som åtgärden riktas mot har att rätta sig efter. Såvitt gäller proportionalitetsprincipens lämplighetsbedömning utgår den från att då regelverket är oklart kommer nämligen hotet om sanktion inte att kunna åstadkomma regelefterlevnad, vilket är det som eftersträvas. En sanktion är därför olämplig.
    Finansinspektionen överklagade domarna till kammarrätten. Kammarrätten intog en helt annan ståndpunkt till proportionalitetsprincipens tillämpning än vad förvaltningsrätten gjort och konstaterade endast helt kort, utan närmare motivering, att eftersom ett ingripande kan ske först om det har konstaterats att en överträdelse har skett, kan en proportionalitetsbedömning göras först efter att det har slagits fast att skyldigheter har åsidosatts enligt 25 kap. 1 § lagen om värdepappersmarknaden. Eftersom förvaltningsrätten inte hade tagit ställning till om någon överträdelse skett, och med beaktande av in-

SvJT 2021 Tre sanktionsprövningar… 743 stansordningen, upphävde kammarrätten förvaltningsrättens dom och återförvisade målet till förvaltningsrätten för förnyad prövning.14 Vad är då rätt? Nasdaq överklagade till Högsta förvaltningsdomstolen, som i en sammansättning av tre justitieråd tyvärr valde att inte meddela prövningstillstånd. Vi kommer väl därför att få vänta någon tid på svaret på frågan. Några synpunkter kan dock anläggas tills vidare.
    För det första torde det i och för sig inte vara något problem att en förvaltningsdomstol väljer en av flera tänkbara grunder för undanröjande av ett överklagat beslut. I såväl allmän domstol som förvaltningsdomstol är det vedertaget att, när det finns flera omständigheter av omedelbar betydelse för utgången och domstolen finner att en av dem är avgörande, oavsett hur man ska se på de övriga, domstolen kan grunda sitt avgörande direkt på denna omständighet utan att behöva gå in i prövning av de övriga.15 Det finns således inte någon skyldighet för domstolen att pröva frågorna i målet i en viss ordning. Om det var detta kammarrätten menade med sin korta motivering, är det alltså fel. Men det är också tänkbart, att kammarrätten menade att det inte går att bedöma om en sanktion är lämplig och nödvändig utan att ta ställning till om någon överträdelse föreligger och vilken sorts överträdelse av regelverket det i så fall är fråga om. Ligger det då någonting i detta? Det är naturligt att resonera på detta sätt om lämplighets- och nödvändighetsbedömningarna knyter an till själva överträdelsen. Bedömningen av om en sanktion är lämplig kan ju t.ex. bero på överträdelsens karaktär. Att en sanktion ska vara proportionerlig i förhållande till överträdelsen är lätt att förstå och den avvägningen utgör också en allmänt vedertagen tillämpning av proportionalitetsprincipen. Men det är viktigt att framhålla att principen ingalunda är begränsad till situationer av detta slag. Man bör alltså inte blanda ihop det allmänna begreppet ”proportionalitet” med rättsfiguren proportionalitetsprincipen.
    Om man därför kan konstatera att den tilltänkta sanktionen över huvud taget inte kan tillgodose ändamålet med ingripandet (den är olämplig), eller att den inte behövs för att ändamålet ska uppnås (den är inte nödvändig), kan en prövning av huruvida en konkret överträdelse föreligger vara överflödig. En bedömning av om en tilltänkt åtgärd är lämplig eller nödvändig kräver då inte i och för sig att det i det konkreta fallet har konstaterats att en faktisk överträdelse föreligger.
    I förarbetena till förvaltningslagen anges att det kan bli aktuellt för myndigheterna att pröva en åtgärds lämplighet och nödvändighet innan en överträdelse vägs mot en sanktion.16 Kraven på lämplighet och nödvändighet gäller i första hand den tilltänkta åtgärden, dvs. sank-

 

14 Kammarrätten i Stockholms beslut den 28 december 2018 i mål 4531-18. 15 Se t.ex. HFD 2013 ref. 2. 16 SOU 2010:29 s. 184.

744 Fredrik Sjövall SvJT 2021 tionen. Prövningen torde alltså kunna inriktas på åtgärdens — sanktionens — lämplighet och nödvändighet och därmed göras utan att ett ställningstagande till överträdelsen eller dess allvar i och för sig är nödvändigt.
    I målet tog förvaltningsrätten ställning till ingripandets lämplighet och bedömde det utifrån Nasdaqs möjlighet att förstå och inrätta sig efter regelverket. Denna centrala förutsättning knyter som berörts ovan nära an till legalitetsprincipen och grundsatsen om inget straff utan lag. I de fall då det inte går att veta vad man har att rätta sig efter är det varken lämpligt eller lagligt att påföra en sanktion. I de fall då det är oerhört svårt att förstå vad man har att rätta sig efter är det i vart fall inte lämpligt att påföra en sanktion.
    Regelverkets otydlighet var således den omständighet som i det här fallet enligt förvaltningsrätten gjorde det olämpligt med ett ingripande. Man kan mycket väl argumentera för att ett konstaterande att ett ingripande är olämpligt i sådana fall skulle kunna göras utan att man behöver ta ställning till vad som faktiskt gäller enligt regelverket, dvs. om det faktiskt förekommit en överträdelse. Det räcker då att konstatera att det inte rimligtvis har kunnat krävas av den enskilde att förstå vad det är som gäller och att en sanktion därför under inga förhållanden kan komma i fråga. Som förvaltningsrätten framhöll kan det hävdas att det förhöll sig så i det här fallet, eftersom inte ens Finansinspektionen kunde beskriva den rättelse som inspektionen ville få till stånd i några mer konkreta handlingsdirektiv.17 Bedömningen av om en viss åtgärd är lämplig eller olämplig, nödvändig eller onödig kan i och för sig innefatta avvägningar av olika slag. Men det är andra slags avvägningar än den som går ut på att jämföra brottets allvar med straffets stränghet. När man säger, som förvaltningsrätten gjorde, att regelverkets otydlighet gör en sanktion olämplig, då säger man i själva verket att sanktionen aldrig kommer att leda till det eftersträvade ändamålet med sanktionen, nämligen regelefterlevnad. Det är en bedömning som handlar om ändamålsenlighet, och inte om en avvägning i egentlig mening.
    Sådana bedömningar faller visserligen utanför begreppet proportionalitet såsom det vanligtvis används i språket. Men det innefattas i rättsfiguren proportionalitetsprincipen. Proportionalitetsprincipens betydelse bör inte vara begränsad till fall av val mellan olika ingripanden. En tillämpning av proportionalitetsprincipen kan, och i vissa fall bör, leda till att någon sanktion över huvud taget inte påförs.18 Man kan alltså ifrågasätta om det verkligen var rätt att, som kammarrätten gjorde, underkänna förvaltningsrättens sätt att angripa frågan.

 

6. Till följd av kammarrättens ställningstagande och Högsta förvaltningsdomstolens beslut att inte ta upp målet till prövning kom målet

 

17 Förvaltningsrättens dom i mål 258-17 s. 15. 18 Se t.ex. HFD 2017 ref. 5.

SvJT 2021 Tre sanktionsprövningar… 745 att åter prövas av förvaltningsrätten, denna gång med instruktion från överinstansen att ta ställning till överträdelserna i sak.
    Som redan nämnts kom förvaltningsrättens andra prövning — det första avgörandet i sak — att sedermera undanröjas, eftersom prövningen skedde samtidigt som målet (förvaltningsrätten ovetande) låg för prövning i högsta instans. Förvaltningsrättens resonemang kring de olika överträdelser som gjordes gällande av Finansinspektionen är emellertid intressant. Utan att domstolen uttryckligen hänvisar till legalitetsprincipen, kommer den till klart uttryck i bedömningarna. Ett exempel är följande:

 

Finansinspektionen har […] gjort gällande att det måste finnas praktiska arrangemang med rutiner för att ta hand om informationen för att Nasdaq Stockholm ska kunna anses ha tagit emot kontinuerlig information som ger en samlad bild av tjänsteleveransen. Förvaltningsrätten konstaterar att det varken av bestämmelsen i 13 kap. 1 § [lagen om värdepappersmarknaden] eller av de allmänna råden FFFS 2005:1 kan utläsas att det skulle föreligga någon skyldighet för Nasdaq Stockholm att ta emot information eller uppföljningsstatistik av det slag som Finansinspektionen har gjort gällande. Det kan inte heller utläsas att det skulle finnas något krav på sådana praktiska arrangemang och rutiner som Finansinspektionen har hänvisat till. Förvaltningsrätten anser därför att Finansinspektionen inte har förmått visa att påståendet om att Nasdaq Stockholm inte skulle ha tagit emot kontinuerlig information avseende utkontrakteringen av funktionen för informationssäkerhet, utgjort en överträdelse av något av de regelverk som anges i 25 kap. 1 § [lagen om värdepappersmarknaden].19

Liknande formuleringar återkommer beträffande de andra överträdelser som hade gjorts gällande av Finansinspektionen. Noterbart är också att förvaltningsrätten klart utsäger att det inte är tillräckligt att ett krav i något avseende framkommer av Finansinspektionens allmänna råd, de ovan nämnda FFFS 2005:1, utan att kravet måste framgå direkt av tillämplig författning. Sålunda anger förvaltningsrätten att i den mån lagregeln är mycket allmänt hållen, går det inte att lägga ett allmänt råd till grund för en tolkning av lagregeln som inte framgår av ordalydelsen.20

7. Hänvisningen till legalitetsprincipen blir än tydligare i förvaltningsrättens tredje prövning av målet — den andra prövningen i sak — fortfarande emellertid utan att själva ordet används. Denna gång inleder förvaltningsrätten sina domar med att ange vissa principiella utgångspunkter.21 En viktig sådan utgångspunkt är Högsta förvaltningsdomstolens avgörande i HFD 2020 ref. 28.
    Det avgörandet gällde vilka krav på klarhet och tydlighet som ska ställas på ett vitesföreläggande. Som förvaltningsrätten konstaterar gör sig samma principiella synpunkter gällande när det är fråga om en

 

19 Förvaltningsrätten i Stockholms dom den 2 juli 2019 i mål 309-19, s. 11 f. 20 Ibid. s. 15. 21 Förvaltningsrätten i Stockholms dom den 25 augusti 2020 i mål 25434-19 s. 10 ff.

746 Fredrik Sjövall SvJT 2021 administrativ sanktionsavgift. Det handlar i båda fallen om förutsebarhet. Den enskilde ska kunna förstå precis vad som krävs för att följa ett föreläggande (och därmed undgå ett vite) eller för att följa en viss bestämmelse (och därmed undgå en sanktion). Det ska finnas tydliga uppgifter om vad som behöver göras, och detta måste framgå direkt av föreläggandet (eller författningen).22 I avgörandet tar Högsta förvaltningsdomstolen upp ytterligare en mycket viktig aspekt på utformningen av och — framför allt — möjligheten att över huvud taget utfärda förelägganden (eller sanktionsavgifter). Domstolen påpekar att frågan om det är möjligt att formulera ett vitesföreläggande som både uppfyller krav på konkretion och dessutom har otvetydigt stöd i författningen beror på hur författningsregleringen är utformad. Om lagstiftningen är allmänt hållen och närmare föreskrifter saknas, begränsas helt enkelt myndighetens möjligheter att använda vitesförelägganden för att komma till rätta med konstaterade brister. Eftersom ett föreläggande att vidta olika åtgärder eller att underlåta något enbart får avse sådana åligganden som följer av den aktuella författningsregleringen, saknar myndigheten i en sådan situation möjlighet att i ett föreläggande formulera tillräckligt tydliga och konkreta åtgärder som adressaten ska vidta.23 I och med detta tar Högsta förvaltningsdomstolen tydligt ställning i den centrala och principiella konflikt som här finns mellan vad som är förutsebart för den enskilde, och vad som är praktiskt för myndigheten. Legalitetshänsyn får företräde; myndighetsutövning som innebär ingripanden mot enskilda måste vara förutsebar. En annan ordning skulle, som domstolen påpekar, innebära att en allmänt hållen författningsreglering möjliggjorde för myndigheten att — inom ramen för den aktuella regleringens syften — i princip besluta om vilka åtgärder som helst. Det skulle inte vara förenligt med portalstadgandet i 1 kap. 1 § regeringsformen att den offentliga makten ska utövas under lagarna.24 Lösningen på problemet med en allmänt hållen författningsreglering måste i stället vara en tydligare författning, vilket säkert många gånger kan åstadkommas genom delegering av normgivningskompetens på området till regeringen eller tillsynsmyndigheten.25 Lösningen är emellertid inte allmänna råd, vilket också framgår av förvaltningsrättens ovan refererade dom i den andra prövningen. Författningar är lagar, förordningar och andra rättsregler som i 8 kap. regeringsformen betecknas som föreskrifter. Allmänna råd, å andra sidan, är sådana generella rekommendationer om tillämpningen av en författning som anger hur någon kan eller bör handla i ett visst hän-

 

22 HFD 2020 ref 28. p. 20 ff. 23 Ibid. p. 28. 24 Jfr Lundmark och Säfsten, Förvaltningslagen — En kommentar, 2020, s. 55 ff. 25 I de fall det är fråga om en EU-rättsakt måste man emellertid också beakta att regelverket är avsett att tillämpas på samma sätt i alla medlemsstater inom unionen. Det kan innebära att det inte är möjligt med normgivning på medlemsstatsnivå.

 

SvJT 2021 Tre sanktionsprövningar… 747 seende.26 En författning är bindande, men ett allmänt råd är det inte. Ett allmänt råd kan visserligen ange hur en författning kan följas. Det finns emellertid inte någon möjlighet för en myndighet att genom utfärdandet av allmänna råd ålägga enskilda skyldigheter som inte direkt framgår av den bakomliggande författningen. Det skulle ju innebära att myndigheten skaffade sig en normgivningskompetens som den inte fått delegerad till sig i vederbörlig ordning.

 

8. Detta framhålls av förvaltningsrätten även i de nu diskuterade domarna i den tredje prövningen. Domstolen poängterar att för att en sanktionsavgift ska kunna påföras måste man kunna konstatera att den enskilde brutit direkt mot författningen.27 Detta blir en ledstjärna för den prövning som förvaltningsrätten sedan gör i sak av de påstådda överträdelserna.
    Efter en genomgång av samtliga påstådda överträdelser konstaterar förvaltningsrätten sammanfattningsvis att Finansinspektionen inte förmått klarlägga att Nasdaq överträtt någon av de författningsbestämmelser som myndigheten lagt till grund för sina beslut. I detta ligger, förutom de krav på tydlighet och klarhet som följer av legalitetshänsyn och behovet av förutsebarhet, även ett beviskrav. Det krävs alltså av myndigheten att den förmår klarlägga att förutsättningarna för att påföra en sanktionsavgift är uppfyllda. Detta krav på klarläggande innebär enligt förvaltningsrätten ett strängt krav, vilket motiveras av rättssäkerhetsskäl. Kravet är dock inte lika strängt som det beviskrav som gäller för en fällande dom i brottmål, dvs. ställt utom rimligt tvivel.28 Man kan diskutera värdet av att formulera beviskrav i abstrakta termer. De flesta jurister verksamma i domstolar har säkert gjort reflektionen att ett och samma beviskrav kan ha väldigt olika betydelser i den praktiska tillämpningen.29 Hur det än förhåller sig med den saken är det givetvis viktigt hur beviskravet formuleras, inte minst eftersom det anger den generella inställningen till prövningen. I det sammanhanget kan det ifrågasättas varför beviskravet vid en sanktionsprövning bör ställas lägre än i ett brottmål. Det skäl som förvaltningsdomstolen anger är att syftet med sanktionsavgiften är att bevaka allmänna intressen.30

 

26 Se 1 § författningssamlingsförordningen (1976:725). 27 Se t.ex. Förvaltningsrätten i Stockholms dom den 25 augusti 2020 i mål 25434-19 s. 11. 28 Ibid. s. 9 f. 29 Se t.ex. Dahlman och Korths Aspegren i SvJT 2018 s. 328. Jag har själv tyckt mig kunna konstatera bl.a. att ”sannolika skäl” betyder någonting annat vid prövning av ett häktningsyrkande (häktningsyrkanden bifalls nästan alltid) än vid prövning av ett yrkande om säkerhetsåtgärd i tvistemål enligt 15 kap. rättegångsbalken (bifalls inte lika lätt). Det generella beviskravet i tvistemål, styrkt, upplevs nog också många gånger som strängare än (det i teorin strängare) kravet utom rimligt tvivel som gäller i brottmål. 30 Förvaltningsrätten i Stockholms dom den 25 augusti 2020 i mål 25434-19 s. 9 med hänvisning till RÅ 2006 ref. 7 och RÅ 1994 ref. 88.

748 Fredrik Sjövall SvJT 2021 Men ett sådant syfte finns ju i allra högsta grad också vad beträffar brottmålen.

 

9. När utvecklingen går snabbt och en mängd nya regleringar införs på kort tid är det lätt att praktiska hänsyn får överhanden. Hur ska myndigheten kunna säkerställa att regelverket får den avsedda effekten? Därtill kommer den i EU-rättsliga regleringar ofta upprepade skrivningen att de nationella tillsynsmyndigheterna ska ha befogenheter att ingripa på ett sätt som är effektivt och avskräckande (men också proportionerligt). Sådant kan nog uppfattas som uppfordrande till stränga ingripanden.
    Tyvärr ses alltfler exempel på hur myndigheterna genom sin sanktionspraxis utformar precisa krav och ger bestämd innebörd åt allmänt hållna författningar. Ett slående exempel erbjuder Integritetsskyddsmyndigheten som den 1 december 2020 meddelade en vägledning gällande s.k. behovs- och riskanalyser vid behörighetstilldelning till patientjournaler (åtkomst till personuppgifter).31 Liksom på finansmarknadsområdet är det här fråga om relativt ny reglering (dataskydd) som saknar förarbeten och praxis. Dagen efter, den 2 december 2020, meddelades ett antal sanktionsbeslut för vårdgivare som enligt myndigheten inte hanterat dessa frågor på rätt sätt. Det kan tillfogas det kanske uppenbara att vägledningen inte utgör en författning.
    Ett sådant sätt att hantera ett nytt regelverk är naturligtvis helt bakvänt. Det är svårt att förena med inte bara legalitetsprincipen, utan också proportionalitetsprincipen. Samspelet mellan dessa principer illustreras väl av ett ingripande från den brittiska dataskyddsmyndigheten, Information Commissioner’s Office, ICO. I ärendet underrättade ICO tre tillsynsobjekt om myndighetens avsikt att vidta åtgärder samt utfärdade s.k. preliminary enforcement notices, jämte myndighetens utredning i ärendet. På detta sätt meddelade myndigheten vilka tillkortakommanden man ansåg fanns hos tillsynsobjekten. Därefter vidtog bolagen frivilliga rättelser. Det ledde i sin tur till att ICO, med tillämpning av proportionalitetsprincipen, bedömde att det inte var nödvändigt att utfärda något föreläggande eller vidta någon annan korrigerande åtgärd.
    Så är proportionalitets- och legalitetsprinciperna tänkta att fungera i förening. En sanktion är nödvändig för att få till stånd rättelse bara när det gäller avsiktliga eller vårdslösa brott mot regelverket, eller då myndigheten uppmanat till rättelse och uppmaningen inte följs. När det är svårfattliga eller allmänt hållna regelverk är myndighetens förklaringar många gånger nödvändiga. För att kunna grunda en sanktion måste myndigheten i sådana fall emellertid se till att meddela föreskrifter som på ett tydligt sätt reglerar situationen. I samband därmed uppstår också ett utmärkt tillfälle att ställa sig frågan om man verkligen har att göra med en situation som bör detaljregleras — för att kunna

 

31 Dåvarande Datainspektionens vägledning dnr DI-2020-11495.

SvJT 2021 Tre sanktionsprövningar… 749 möjliggöra sanktion när föreskriften beslutats och publicerats — eller om det är tillräckligt med en mera övergripande reglering och den lättare form av styrning som det innebär.
    Den engelske filosofen, utilitaristen och juristen Jeremy Bentham fångade en central aspekt av värdet i ett rättssystem byggt på legalitetsprincipen när han kritiserade sin tids av domstolarna utarbetade common law-system:

 

When your dog does anything you want to break him of, you wait till he does it, and then beat him for it. This is the way you make laws for your dog: and this is the way the judges make law for you and me. They won’t tell a man beforehand what it is that he should not do … they lie by till he has done something which they say he should not have done, and then they hang him for it.32

Så vill vi inte ha det. De principiellt grundade ställningstaganden om proportionalitet och legalitet som Högsta förvaltningsdomstolen och Förvaltningsrätten i Stockholm gjort i de i denna uppsats diskuterade målen bör tjäna som en tydlig påminnelse till myndigheter och domstolar att hålla fast vid grundläggande rättsprinciper. Ytterst handlar dessa om de begränsningar i maktutövningen som följer av att styra genom lagar. Dessa begränsningar kan säkert ibland uppfattas som opraktiska. Men de är oskiljaktigt sammanbundna med tanken på ett rättssystem och en rättsstat såsom vi uppfattar den.

 

32J. Bowring (red.) The Works of Jeremy Bentham, vol. V, s. 235.