I början av augusti kom ett avgörande från Kammarrätten i Stockholm om utlämnande av en incidentrapport som en offentlig handling. Kammarrätten ändrade Datainspektionens beslut i ett fall och upphävde sekretessen för handlingen. Som en uppföljning på vårt tidigare blogginlägg, kommer här ytterligare ett inlägg om sekretess kring incidentrapporter.

Läs det tidigare blogginlägget om sekretess kring incidentrapporter här: ”Vi prövade att begära ut en incidentrapport…”.

Alla organisationer som behandlar personuppgifter är skyldiga att rapportera till Datainspektionen inom 72 timmar om en personuppgiftsincident har inträffat. Mer om det finns att läsa i vårt tidigare blogginlägg ”Personuppgiftsincident – Du har 72 timmar på dig”.

Avgörandet från kammarrätten handlade om att en journalist på Dagens Industri begärde ut en incidentrapport av Datainspektionen. Incidentrapporten hade kommit in till myndigheten veckan efter att förordningen trätt ikraft.

Datainspektionen beslutade om sekretess på vissa delar

Datainspektionen beslutade att lämna ut handlingen men att undanta vissa uppgifter i rapporten. Uppgift om vem som skickat lämnat in incidentrapporten utlämnades inte eftersom Datainspektionen beslutat om sekretess för dessa uppgifter. I offentliga verksamheter gäller som huvudregel offentlighetsprincipen. Den innebär att handlingar som inkommit eller upprättats på myndigheter kan hämtas ut av vem som helst. Endast i undantagsfall får myndigheter sekretessbelägga dokument och då måste det finnas stöd i lag för sekretessen. Sekretessen stöddes i detta fall på en bestämmelse i offentlighets- och sekretesslagen (OSL) som används för uppgifter om säkerhetsåtgärder i IT- och säkerhetssystem. Bestämmelsen medger sekretess om syftet med säkerhetsåtgärden motverkas om uppgiften röjs.

Datainspektionen menade att uppgift om vem som lämnat in en viss incidentrapport skulle hållas hemlig eftersom ingivare annars riskerade att råka ut för IT-attacker. Uppgift om ingivarens identitet ansågs av Datainspektionen typiskt sett vara känslig. Därför skulle syftet med säkerhetsåtgärden motverkas om identiteten lämnades ut.

Kammarrätten upphävde sekretessen

Journalisten överklagade beslutet till kammarrätten som kom fram till att handlingen kunde lämnas ut i sin helhet, helt utan sekretess. Kammarrätten konstaterade att handlingen inte handlade om intrång eller brister i ett IT-system. Det fanns inte heller några uppgifter som kunde bidra till att avslöja IT-systemets sårbarhet. Därför menade Kammarrätten att det inte fanns grund att belägga uppgiften med sekretess.

Incidentrapporter kan fortfarande beläggas med sekretess

Kammarrättsavgöranden har inte lika stor tyngd som till exempel Högsta Förvaltningsdomstolens eller EU-domstolens avgöranden. De kan dock ge en tydligare bild av hur rättsläget ser ut än Datainspektionens beslut.

Kammarrättens avgörande innebär inte att incidentrapporter aldrig kan beläggas med sekretess. Avgörandet innebär däremot att Datainspektionen automatiskt inte kan sekretessbelägga incidentrapporten med hänvisning till att ingivarens identitet typiskt sett är känslig. Här menade kammarrätten att de faktiska omständigheterna måste beaktas. Det är fullt möjligt att frågan om sekretess kring incidentrapporter kommer att prövas i domstol fler gånger i framtiden och då klarnar bilden av rättsläget ännu mer.

Ett register över din personuppgiftsbehandling minskar risken för personuppgiftsincidenter, läs mer här.

 

Erik Jonzen

support@gdprhero.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

 

Share This