meny

Utlämning av personuppgiftsincidenter

När ni gjort en anmälan och rapporterat en personuppgiftsincident till Datainspektionen blir innehållet i anmälan en allmän handling. Rätten för exempelvis enskilda personer och massmedia att ta del av allmänna handlingar kan begränsas genom sekretess. Bestämmelser om sekretess finns framför allt i offentlighets- och sekretesslagen (2009:400).

Sekretessprövning

När Datainspektionen får en begäran att lämna ut allmänna handlingar prövar vi om handlingen ska lämnas ut. För handlingar som rör personuppgiftsincidenter gäller sekretess för exempelvis uppgifter om:

  • Säkerhetsåtgärd – om det kan antas att syftet med åtgärden motverkas om uppgiften lämnas ut.
  • Enskildas personliga eller ekonomiska förhållanden – om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgifterna lämnas ut.

Vem som är ingivare av incidentrapporten omfattas därför normalt av sekretess. Detsamma gäller detaljerade uppgifter om inträffade incidenter. De uppgifter som omfattas av sekretessen maskas om en handling ska lämnas ut därför att den i övrigt innehåller uppgifter som inte omfattas av sekretess.

Datainspektionen lämnar normalt ut handlingar som rör rapporterade incidenter om felaktiga brevutskick som inte innehåller känsliga personuppgifter. Detsamma gäller rapporter om incidenter som är allmänt kända, till exempel genom media, men även i sådana fall lämnar Datainspektionen normalt sett inte ut uppgifter om eventuella tredje parter, såsom namn på anlitade personuppgiftsbiträden.