Incidentrapporter var allmänna handlingar

Ett huvudskyddsombud begärde ut två anmälningar i Lunds kommuns incidenthanteringssystem. Anmälningarna ingick i ett pågående arbetsmiljöärende, men hade också nämnts i ett arbetsrättsligt medvetandegörande samtal. Kommunen avslog begäran med hänvisning till att handlingarna var en del av ett pågående ärende och inte var att betrakta som upprättade.

Huvudskyddsombudet överklagade och påpekade att personer utanför barn- och skolförvaltningen hade tillgång till handlingarna och att de därmed var expedierade och allmänna. Kammarrätten delade den bedömningen eftersom personer vid en annan förvaltning, nämligen kommunkontoret, hade tillgång till incidenthanteringssystemet och de handlingar som ingick i detta. De aktuella personerna var en HR-strateg med ansvar för fungerande arbetsmiljöprocess och rutiner för hela kommunen, samt en HR-controller, som tar ut uppgifter för statistik för kommunstyrelsens räkning. ”Eftersom kommunkontoret har en tillgång till de begärda handlingarna som inte är begränsad till teknisk bearbetning eller teknisk lagring är handlingarna att anse som expedierade”, slog kammarrätten fast.

Nekades uppgifter ur LISA

En journalist begärde hos Polismyndigheten att få ta del av samtliga incidenter, såsom tillbud eller arbetsskador, som hade rapporterats i polisens system LISA. Polismyndigheten lämnade ut en översikt av händelserna med undantag för uppgifterna om i vilka polisområden incidenterna har skett.

Journalisten överklagade men kammarrätten delade Polismyndighetens bedömning att dessa uppgifter behövde hemlighållas för att inte skada Polismyndighetens framtida verksamhet.

Lista med incidenter var hemlig

En journalist vände sig till MSB och begärde att få en numrerad ärendelista över samtliga incidentrapporter som hade kommit in till MSB den senaste månaden kopplat till dataintrång i Microsoft Exchange servrar. Myndigheten avslog, bland annat med hänvisning till att sådan uppgifter kan bidra till upplysning om vilka incidenter som upptäckts och vilka som eventuellt inte upptäckts.

Journalisten överklagade men kammarrätten avslog med följande motivering:

Kammarrätten anser att redan en uppgift om huruvida det har gjorts en sådan incidentrapportering som avses med Emil Helleruds begäran omfattas av sekretess enligt den angivna bestämmelsen.

Lista med skolincidenter var offentlig

En journalist begärde ut en sammanställning av incidentrapporter avseende elevers hot eller våld mot lärare under 2020 på samtliga grundskolor i Trelleborgs kommun. Kommunen vägrade lämna ut vissa uppgifter i sammanställningen: bland annat händelsedatum och vissa händelserubriker. Kommunen hänvisade till den sekretess som gäller för uppgifter i elevstödjande verksamhet och till den sekretesss som gäller i personalsocial verksamhet.

Journalisten överklagade och fick till stor del rätt i kammarrätten som bestämde att händelsdatum och händelserubriker kunde lämnas ut i omaskerat skick. Enligt domstolen gick det inte att identifiera några enskilda elever utifrån listan och anställdas åtgärder i tjänsten omfattas inte av personalsekretess.

Datainspektionen hemlighöll för mycket

En person begärde ut anmälningar om personuppgiftsincidenter som hade kommit in till Datainspektionen i ett antal ärenden. Myndigheten avslog helt och lämnade inte ut dessa i någon del. Personen överklagade till kammarrätten som upphävde Datainspektionens beslut. Kammarrätten menade att det fanns ett flertal uppgifter i de efterfrågade anmälningarna som var offentliga och skickade därför tillbaka ärendet till Datainspektionen för en ordentlig sekretessprövning.

KR_Sthlm_6094_18

Datainspektionen fick bakläxa om incidentrapporter

En person begärde hos Datainspektionen att få en lista över alla bolag som hade lämnat in anmälningar om personuppgiftsincidenter under de första månaderna med den nya dataskyddsförordningen. Han begärde också ut inkomna anmälningar från två bolag: Bauhaus och Telenor.

Datainspektionen vägrade lämna ut en komplett lista över alla bolag som hade gjort anmälningar men bekräftade att Telenor, Bauhaus och Polarn O. Pyret hade gjort sådana anmälningar. Att identiteten på dessa bolag kunde offentliggöras berodde på att anmälningarna från två av dem ansågs innehålla harmlösa uppgifter och det tredje hade uttalat sig i medierna om sin anmälan. Vad gällde begäran om att få ut de inkomna anmälningarna från Bauhaus och Telenor blev det avslag i fråga om Telenor medan anmälan från Bauhaus lämnades ut av Datainspektionen.

Sökanden överklagade och fick delvis rätt i kammarrätten. Domstolen slog fast att ett antal avsnitt i Telenors anmälan kunde lämnas ut. Vad gällde listan med bolag som hade anmält personuppgiftsincidenter så skickade kammarrätten tillbaka den delen till Datainspektionen för ny prövning. Det gäller inte någon absolut sekretess för uppgifter om identiteten på dem som anmäler personuppgiftsincidenter, konstaterade kammarrätten. Den frågan måste bedömas utifrån innehållet i respektive anmälan, vilket Datainspektionen inte hade gjort, enligt kammarrätten.

KR_Sthlm_6913-18

Rapport om personuppgiftsincident var offentlig

En journalist hade rätt att få ut en rapport om en personuppgiftsincident som hade kommit in till Datainspektionen. Kammarrätten slog fast att rapporten kunde lämnas ut i sin helhet. Incidentrapporter kan visserligen ge upplysningar om att en viss ingivares IT-system är sårbart för attacker. Men i det här fallet avsåg inte rapporten intrång eller brister i ett IT-system. Därmed var den harmlös och kunde lämnas ut, enligt kammarrätten.

KR_Sthlm_5200_18

Namn i incidentrapporter offentliga

Namn på räddningstjänstpersonal som förekom i avvikelse- och incidentrapporterna som hade kommit in till  Storstockholms brandförsvar var offentliga uppgifter. Det slog kammarrätten fast i den här domen. Rapporterna hade begärts ut av en journalist och det fanns inte skäl att tro att hon skulle utsätta den berörda personalen för våld eller annat allvarligt men. Därför var namnuppgifterna inte hemliga enligt personalsekretessen i OSL 39:3, menade kammarrätten. Det fanns däremot andra uppgifter i rapportera som var hemliga med hänvisning till att ett utlämnande skulle skada brottsbekämpande verksamhet och användandet av telekommunikationssystemet RAKEL.

KR_Sthlm_5662_17

Hemligt om personuppgiftsläcka inträffat

En person begärde hos Myndigheten för samhällsskydd och beredskap, MSB, att få ta del av en IT-incidentrapport från Försäkringskassan som gällde en personuppgiftsläcka från myndighetens tjänst Mina sidor ett visst angivet datum. MSB avslog begäran med motiveringen att en uppgift om huruvida en viss myndighet under en viss tidsperiod lämnat en IT-incidentrapport eller inte kan avslöja brister i myndighetens  IT- och kommunikationssystem. Personen överklagade och påpekade att det framgår av tidningsurklipp som publicerats på Facebook att en IT-incident inträffat på Försäkringskassan. I ett yttrande till kammarrätten svarade MSB att Försäkringskassan inte på något sätt bekräftat att en incident skulle ha ägt rum. Kammarrätten delade MSB:s bedömning och avslog överklagandet utan någon närmare motivering.

KR_Goteborg_2063_17

IT-incidenter var hemliga

En politiker begärde ut IT-incidentrapporter som hade kommit in till Myndigheten för säkerhetsskydd och beredskap (MSB) från andra myndigheter. MSB lämnade ut rapporterna men med merparten av uppgifterna maskerade. Politikern överklagade till kammarrätten och skrev att fler uppgifter borde kunna offentliggöras, till exempel namnen på de rapporterande myndigheterna och datumangivelser. Dessutom menade hon att vissa uppgifter borde kunna lämnas ut med sekretessförbehåll. Kammarrätten avslog överklagandet. Det framgår inte av domskälen om kammarrätten prövade frågan om sekretessförbehåll.

KR_Gbg_5858_16