SV / EN

Sekretess för personuppgiftsincidenter – Behövs ett starkare sekretesskydd?

Published in Förvaltningsrättslig tidskrift 2019 2, May 2019 s. 177–198

249
695

Den 25 maj 2018 trädde EU:s dataskyddsförordning i kraft och ställer nya krav på den som behandlar personuppgifter. En nyhet i förordningen är skyldigheten att anmäla personuppgiftsincidenter till ansvarig tillsynsmyndighet. I Sverige är det Datainspektionen som är tillsynsmyndighet. Även om den incidentrapportering som ska ske enligt dataskyddsförordningen har goda intentioner finns också risker med anmälningsskyldigheten. En anmälan till tillsynsmyndigheten kan i vissa fall innebära en upplysning om att ingivarens it-system är sårbart för attacker. En anmälan om en personuppgiftsincident kan till exempel avslöja svagheter i skyddet av personuppgifter i aktuella system och i vissa fall även påvisa hur vidtagna skyddsåtgärder kan kringgås för att få obehörig tillgång till systemet. En förutsättning för att den personuppgiftsansvarige ska anmäla incidenter i den omfattning och med sådant innehåll som dataskyddsförordningen kräver är att uppgifter som är känsliga ur säkerhetssynpunkt har ett relevant sekretesskydd hos tillsynsmyndigheten. Frågan om sekretess för personuppgiftsincidenter har nyligen utretts i förarbetena till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Den bedömning som lagstiftaren gjorde var att ett förstärkt sekretesskydd för personuppgiftsincidenter inte behövs, utan att sekretessbestämmelsen i framför allt 18 kap. 8 § 3 offentlighets- och sekretesslagen (2009:400) (OSL) ger ett tillräckligt sekretesskydd på området. I senare underrättspraxis framträder dock en oklar syn angående vilket sekretesskydd uppgifter om säkerhetsåtgärder i personuppgiftsincidenter har hos tillsynsmyndigheten. Syftet med denna artikel är att undersöka sekretesskyddet för sådana personuppgiftsincidenter som i enlighet med dataskyddsförordningen ska anmälas till tillsynsmyndigheten i Sverige. En fråga som diskuteras i artikeln är huruvida nuvarande sekretessbestämmelser ger ett tillräckligt sekretesskydd för uppgifter i personuppgiftsincidenter eller om en förändring av sekretesskyddet är motiverat.