Sök
Om oss
Allmän handling drivs av Panoptes Sweden AB, Sveriges ledande researchbolag. Våra övriga verksamheter är researchbolaget Acta Publica och Nyhetsbyrån Siren.
Meny
AVGÖRANDEN EFTER LAGRUM (KAPITEL:PARAGRAF I OSL)
Lagar
Etikett: personuppgiftsincident
Antal drabbade av incident var affärshemlighet
I en anmälan om en personuppgiftsincident som hade kommit in till Integritetsskyddsmyndigheten fanns en uppgift om hur många som hade drabbats av den aktuella incidenten. Den uppgiften var en uppgift om anmälarens ekonomiska förhållanden som kunde skada anmälaren om den offentliggjordes. Det bedömde kammarrätten i den här domen.
Kammarrätten hade i ett tidigare mål prövat om den aktuella uppgiften var hemlig enligt OSL 18:8 3 p och kommit fram till att den den inte var det.
Datainspektionen fick bakläxa på slarvig prövning
En person ville veta hur många anmälningar om personuppgiftsincidenter som Region Jönköpings län hade skickat till Datainspektionen. Inspektionen menade att det var hemligt och avslog begäran. Personen överklagade till kammarrätten som undanröjde Datainspektionens beslut och skickade tillbaka ärendet dit för ny prövning. Domstolen ansåg att man måste titta på innehållet i respektive incidentanmälan för att kunna avgöra om en anmälans blotta existens är hemlig.
Datainspektionen hemlighöll för mycket
En person begärde ut anmälningar om personuppgiftsincidenter som hade kommit in till Datainspektionen i ett antal ärenden. Myndigheten avslog helt och lämnade inte ut dessa i någon del. Personen överklagade till kammarrätten som upphävde Datainspektionens beslut. Kammarrätten menade att det fanns ett flertal uppgifter i de efterfrågade anmälningarna som var offentliga och skickade därför tillbaka ärendet till Datainspektionen för en ordentlig sekretessprövning.
Datainspektionen fick bakläxa om incidentrapporter
En person begärde hos Datainspektionen att få en lista över alla bolag som hade lämnat in anmälningar om personuppgiftsincidenter under de första månaderna med den nya dataskyddsförordningen. Han begärde också ut inkomna anmälningar från två bolag: Bauhaus och Telenor.
Datainspektionen vägrade lämna ut en komplett lista över alla bolag som hade gjort anmälningar men bekräftade att Telenor, Bauhaus och Polarn O. Pyret hade gjort sådana anmälningar. Att identiteten på dessa bolag kunde offentliggöras berodde på att anmälningarna från två av dem ansågs innehålla harmlösa uppgifter och det tredje hade uttalat sig i medierna om sin anmälan. Vad gällde begäran om att få ut de inkomna anmälningarna från Bauhaus och Telenor blev det avslag i fråga om Telenor medan anmälan från Bauhaus lämnades ut av Datainspektionen.
Sökanden överklagade och fick delvis rätt i kammarrätten. Domstolen slog fast att ett antal avsnitt i Telenors anmälan kunde lämnas ut. Vad gällde listan med bolag som hade anmält personuppgiftsincidenter så skickade kammarrätten tillbaka den delen till Datainspektionen för ny prövning. Det gäller inte någon absolut sekretess för uppgifter om identiteten på dem som anmäler personuppgiftsincidenter, konstaterade kammarrätten. Den frågan måste bedömas utifrån innehållet i respektive anmälan, vilket Datainspektionen inte hade gjort, enligt kammarrätten.
Rapport om personuppgiftsincident var offentlig
En journalist hade rätt att få ut en rapport om en personuppgiftsincident som hade kommit in till Datainspektionen. Kammarrätten slog fast att rapporten kunde lämnas ut i sin helhet. Incidentrapporter kan visserligen ge upplysningar om att en viss ingivares IT-system är sårbart för attacker. Men i det här fallet avsåg inte rapporten intrång eller brister i ett IT-system. Därmed var den harmlös och kunde lämnas ut, enligt kammarrätten.