I början av augusti kom ett avgörande från Kammarrätten i Stockholm om utlämnande av en incidentrapport som en offentlig handling. Kammarrätten ändrade Integritetsskyddsmyndighetens beslut i ett fall och upphävde sekretessen för handlingen. Som en uppföljning på vårt tidigare blogginlägg, kommer här ytterligare ett inlägg om sekretess kring incidentrapporter.
Läs det tidigare blogginlägget om sekretess kring incidentrapporter här: ”Vi prövade att begära ut en incidentrapport…”.
Alla organisationer som behandlar personuppgifter är skyldiga att rapportera till Integritetsskyddsmyndigheten inom 72 timmar om en personuppgiftsincident har inträffat. Mer om det finns att läsa i vårt tidigare blogginlägg ”Personuppgiftsincident – Du har 72 timmar på dig”.
Avgörandet från kammarrätten handlade om att en journalist på Dagens Industri begärde ut en incidentrapport av Integritetsskyddsmyndigheten. Incidentrapporten hade kommit in till myndigheten veckan efter att förordningen trätt ikraft.
Integritetsskyddsmyndigheten beslutade om sekretess på vissa delar
Integritetsskyddsmyndigheten beslutade att lämna ut handlingen men att undanta vissa uppgifter i rapporten. Uppgift om vem som skickat lämnat in incidentrapporten utlämnades inte eftersom Integritetsskyddsmyndigheten beslutat om sekretess för dessa uppgifter. I offentliga verksamheter gäller som huvudregel offentlighetsprincipen. Den innebär att handlingar som inkommit eller upprättats på myndigheter kan hämtas ut av vem som helst. Endast i undantagsfall får myndigheter sekretessbelägga dokument och då måste det finnas stöd i lag för sekretessen. Sekretessen stöddes i detta fall på en bestämmelse i offentlighets- och sekretesslagen (OSL) som används för uppgifter om säkerhetsåtgärder i IT- och säkerhetssystem. Bestämmelsen medger sekretess om syftet med säkerhetsåtgärden motverkas om uppgiften röjs.
Integritetsskyddsmyndigheten menade att uppgift om vem som lämnat in en viss incidentrapport skulle hållas hemlig eftersom ingivare annars riskerade att råka ut för IT-attacker. Uppgift om ingivarens identitet ansågs av Integritetsskyddsmyndigheten typiskt sett vara känslig. Därför skulle syftet med säkerhetsåtgärden motverkas om identiteten lämnades ut.
Kammarrätten upphävde sekretessen
Journalisten överklagade beslutet till kammarrätten som kom fram till att handlingen kunde lämnas ut i sin helhet, helt utan sekretess. Kammarrätten konstaterade att handlingen inte handlade om intrång eller brister i ett IT-system. Det fanns inte heller några uppgifter som kunde bidra till att avslöja IT-systemets sårbarhet. Därför menade Kammarrätten att det inte fanns grund att belägga uppgiften med sekretess.
Incidentrapporter kan fortfarande beläggas med sekretess
Kammarrättsavgöranden har inte lika stor tyngd som till exempel Högsta Förvaltningsdomstolens eller EU-domstolens avgöranden. De kan dock ge en tydligare bild av hur rättsläget ser ut än Integritetsskyddsmyndighetens beslut.
Kammarrättens avgörande innebär inte att incidentrapporter aldrig kan beläggas med sekretess. Avgörandet innebär däremot att Integritetsskyddsmyndigheten automatiskt inte kan sekretessbelägga incidentrapporten med hänvisning till att ingivarens identitet typiskt sett är känslig. Här menade kammarrätten att de faktiska omständigheterna måste beaktas. Det är fullt möjligt att frågan om sekretess kring incidentrapporter kommer att prövas i domstol fler gånger i framtiden och då klarnar bilden av rättsläget ännu mer.
Ett register över din personuppgiftsbehandling minskar risken för personuppgiftsincidenter, läs mer här.