Omfattande personuppgiftsincident vid Ålands landskapsregering anmäld
En anmälan om en personuppgiftsincident som berör 500 – 600 enskilda näringsidkare på Åland har lämnats in till Datainspektionen.
Landskapsregeringen har publicerat sitt näringsrättsregister på hemsidan https://naringsratt.gov.ax/ under tidsperioden 7.10.2022 – 11.2.2025. Det finns inte någon grund i lag för att offentliggöra näringsrättsregistret. Registret avpublicerades när misstaget upptäcktes. Näringsregistret innehåller personnamn och FO-nummer.
I åtta fall offentliggjordes den enskilda näringsidkarens personbeteckning och i två fall näringsidkarens födelsetid. Landskapsregeringen har meddelat att dessa personer har blivit informerade om incidenten.
Bakgrunden till incidenten är, att landskapsregeringen förväntade sig en lagändring som möjliggjorde att registret på näringsidkare med näringsrätt på Åland offentliggjordes. Någon sådan lagändring genomfördes dock aldrig, men landskapsregeringen hade förhastat lagt ut innehållet på hemsidan. Detta upptäcktes av en slump genom skriverier på sociala medier.
Vägledning till dem som drabbats av incidenten
Vad är offentligt?
Begreppet personuppgift utvidgades 31.1.2025, när Högsta förvaltningsdomstolen slog fast i sitt prejudikat HFD:2025:14 att enskilda näringsidkares namn och FO-nummer är personuppgifter enligt artikel 4.1 i dataskyddsförordningen (EU) 2016/679. Informationssystem som innehåller enskilda näringsidkares namn och FO-nummer behöver anpassas till denna breddning av begreppet personuppgift. Uppgifterna är alltså inte per definition offentliga, utan skyddade i enlighet med dataskyddslagstiftningen åtminstone från 31.1.2025.
FO-numret går ännu att hitta i företags- och organisationsdatasystemet (ytj.fi) tillsammans med andra uppgifter om den enskilda näringsidkaren om man känt till den enskilda näringsidkarens firma (ett specifikt namn för näringen, till exempel Kajsas städ&trädgård).
Identitetsstöld
En enskild näringsidkare kan bli utsatt för identitetsstöld till exempel så, att någon annan utger sig för att vara näringsidkaren och tar betalt av kunden, medan den verkliga näringsidkaren kan beskattas för intäkten. Gör en polisanmälan om ni har en skälig misstanke om att det har skett eller försök har gjorts.
Vägledning för den som har blivit utsatt för identitetsstöld finns här.
Klagomål och skadestånd
Var och en har rätt att lämna in ett klagomål till Datainspektionen när ens personuppgifter har behandlats felaktigt (artikel 77 i dataskyddsförordningen).
Om och när dataskyddsförordningen gäller har den som lider skada på grund av en överträdelse av dataskyddsförordningen rätt till skadestånd (artikel 82 i dataskyddsförordningen). Skadestånd är ersättning för faktisk skada och det ska finnas ett orsakssamband mellan skadan och (i det här fallet) landskapsregeringens publicering av näringsrättsregistret. Skadan kan också vara ideell.