En personuppgiftsincident ska rapporteras till tillsynsmyndigheten (i Sverige är det Integritetsskyddsmyndigheten) om incidenten bedöms medföra en risk för fysiska personers rättigheter och friheter.Integritetsskyddsmyndigheten informerar om att allt du rapporterar in blir en så kallad allmän handling, men vad händer om en incidentrapport faktiskt begärs ut?
Vad gäller i teorin?
I Sverige råder den s.k. offentlighetsprincipen, som gör att var och en har rätt att ta del av allmänna handlingar som finns hos myndigheter. Även media har rätt att begära ut och ta del av dessa handlingar. Därför är det en god idé att inte ange mer än vad som är nödvändigt i rapporten och avhålla sig från att ange företagskänsliga uppgifter.
Offentlighetsprincipen omfattar dock inte alla uppgifter, utan det finns en möjlighet för myndigheter i Sverige att belägga uppgifter med sekretess med hänvisning till Offentlighets- och sekretesslagen. Detta innebär att uppgifterna inte får lämnas ut. Integritetsskyddsmyndigheten informerar om att har ni skrivit något som ni anser bör omfattas av sekretess ska ni ange det i er anmälan som ni kan göra via myndighetens e-tjänst. Ni ska i anmälan redogöra för vad ni menar omfattas av sekretess och varför ni menar att det omfattas av sekretess. På detta sätt uppmärksammas Integritetsskyddsmyndigheten på att något eventuellt ska beläggas med sekretess.
Begär någon ut en incidentrapport kommer Integritetsskyddsmyndigheten att genomföra en s.k. sekretessprövning, där det kommer utredas huruvida uppgifter ska att omfattas av sekretess eller inte.
Vill du läsa mer om Integritetsskyddsmyndighetens namnbyte, se vårt tidigare blogginlägg ”Datainspektionen byter namn – och får även ett ändrat uppdrag”.
Vad händer om en incidentrapport begärs ut?
Vi från GDPR Hero begärde ut en incidentrapport från Integritetsskyddsmyndigheten, som i sin tur gjorde en sekretessprövning. Incidentrapporten det gällde ska ha lämnats in av Skatteverket och rörde en incident kring BankID på Telenors webbplats.
Integritetsskyddsmyndigheten gjorde bedömningen att all information kring incidentrapporten är sekretessbelagd. De inleder sitt beslut med att själva incidentrapporten inte kan lämnas ut. Detta motiverar de med att informationen i incidentrapporter som inkommer till Integritetsskyddsmyndigheten innehåller skyddsvärd information rörande säkerhetsåtgärder vilka nämns i offentlighets- och sekretesslagen (18 kap. 8 § 3). En incidentrapport kan innehålla information om att företagets eller myndighetens system är sårbart för attacker, vilket kan skada verksamheten.
Integritetsskyddsmyndigheten stannade dock inte här utan de konstaterade även att uppgifter kring vem som har lämnat in incidentrapporten kan vara sekretessbelagt. De motiverar det med att även denna uppgift kan visa på att verksamhetens säkerhetsåtgärder har brister. Till sist skrev Integritetsskyddsmyndigheten att även tiden för incidentrapportens inlämnande är en uppgift de inte lämnar ut. Detta för att sådana uppgifter kan användas för att kartlägga hur lång tid det tar för företaget eller myndigheten att upptäcka ett intrång.
Sekretessen omfattar alltså samtliga uppgifter i den begärda incidentrapporten. Integritetsskyddsmyndigheten avslutar sitt beslut med att enbart lämna information kring att en incidentrapport har inkommit till Integritetsskyddsmyndigheten från Skatteverket.
Det kan dock vara en fördel att tänka på utformningen av en incidentrapport även om denna specifika incidentrapporten är sekretessbelagd. Incidenter kan ske även hos Integritetsskyddsmyndigheten och då kan uppgifterna läcka ut!
Vill du veta mer om när och hur en personuppgiftsincident och incidentrapport ska hanteras, läs vårt tidigare blogginlägg ”Personuppgiftsincident – Du har 72 timmar på dig”