Day: 23 August 2018

Okay so it was the final decision is that a breach cannot be hidden. If an organisation reports a breach to the Swedish SA it is public data, although it seems more specific to IT or security angle. I haven’t read the complete ruling yet…

• Kammarrätten har beslutat att Datainspektionen (DI) måste lämna ut en anmälan om personuppgiftsincident enligt GDPR till en tidningsredaktion utan att maska den. DI hade maskat anmälan med hänvisning till att uppgifter om anmälaren kunde vara en upplysning om att dennes säkerhetssystem hade brister, samt att olika anmälningar kunde användas för att lägga ett pussel som avslöjade säkerhetsbrister, 18 kap. 3 § OSL. Kammarrätten bedömer att incidenten inte avser intrång eller brister i den personuppgiftsansvariges IT-system och att anmälan inte heller innehåller uppgifter som kan bidra till att avslöja att IT- eller säkerhetssystemet är sårbart för attacker. Då uppgifterna i anmälan är harmlösa kan de lämnas ut.