AD 2026 nr 27 – Att enbart ta emot och läsa belastningsregister omfattas inte av dataskyddsförordningen

I rättsfallet prövade Arbetsdomstolen om en arbetsgivares mottagande och läsning av ett belastningsregisterutdrag utgör behandling av personuppgifter enligt dataskyddsförordningen. En arbetstagare överlämnade på arbetsgivarens begäran ett utdrag ur belastningsregistret, vilket arbetsgivaren därefter tog del av. Arbetsdomstolen slog fast att enbart mottagandet och läsningen inte utgjorde sådan behandling av personuppgifter som omfattas av förordningen, varför arbetsgivaren inte heller kunde anses ha behandlat personuppgifter i strid med denna.

Bakgrund

En arbetsgivare begärde under pågående anställning att en arbetstagare skulle inhämta och uppvisa ett utdrag ur belastningsregistret.

Arbetstagaren överlämnade utdraget i ett förslutet kuvert till sin chef, som öppnade kuvertet och läste igenom innehållet. Av utdraget framgick att arbetstagaren hade dömts för brott. Arbetsgivaren gjorde ingen anteckning om utdragets innehåll, kopierade eller skannade det inte, registrerade det inte i något system och sparade inte uppgifterna på annat sätt. Handlingen förstördes därefter.

Tvisten gällde om arbetsgivaren, genom att ta emot och läsa belastningsregisterutdraget, hade behandlat arbetstagarens personuppgifter i strid med artikel 10 i dataskyddsförordningen och därmed var skyldig att utge ersättning för ideell skada till arbetstagaren enligt artikel 82 i förordningen.

Arbetsdomstolens bedömning

Rättsliga utgångspunkter

Enligt artikel 2.1 i dataskyddsförordningen ska förordningen tillämpas på behandling av personuppgifter som helt eller delvis sker på automatisk väg samt på annan behandling av personuppgifter som ingår i eller är avsedda att ingå i ett register. Av artikel 10 i samma förordning följer att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott endast får utföras under kontroll av en myndighet eller när behandlingen är tillåten enligt unionsrätten eller nationell rätt.

Av EU-domstolens avgörande i målet Endemol Shine Finland Oy (C-740/22) framgår att ett muntligt utlämnande av uppgifter om eventuella fällande domar i pågående eller avslutade brottmål mot en fysisk person omfattas av dataskyddsförordningens materiella tillämpningsområde först om uppgifterna ingår i eller är avsedda att ingå i ett register.

Bedömning

Arbetsdomstolen konstaterade inledningsvis att den behandling som hade ägt rum bestod i att arbetstagarens chef tagit emot och läst ett belastningsregisterutdrag ur ett förslutet kuvert. Det rörde sig således om en manuell, icke-automatisk behandling av personuppgifter som enligt artikel 2.1 i dataskyddsförordningen omfattas av förordningens tillämpningsområde endast om uppgifterna ingår i eller är avsedda att ingå i ett register. Domstolen konstaterade vidare att arbetstagarsidan inte hade gjort gällande att arbetsgivaren avsett att låta personuppgifterna i belastningsregisterutdraget ingå i något register.

Enligt domstolens bedömning utgjorde arbetsgivarens hantering av utdraget inte sådan icke-automatiserad registerbehandling som avses i artikel 2.1 i dataskyddsförordningen, trots att uppgifterna ursprungligen härrörde från ett register för vilket Polismyndigheten var personuppgiftsansvarig. Det var enligt domstolen inte heller fråga om delvis automatiserad behandling, eftersom ändamålen med och medlen för behandlingen i belastningsregistret hade fastställts i författning och inte bestämts av arbetsgivaren. Att uppgifterna härrörde från belastningsregistret saknade därmed betydelse för bedömningen av arbetsgivarens egen hantering.

Arbetsdomstolen framhöll slutligen att redan läsning i sig visserligen utgör en behandling av personuppgifter enligt förordningens definition, men att den avgörande frågan var huruvida behandlingen föll inom förordningens materiella tillämpningsområde. Eftersom arbetsgivarens hantering inte omfattades av tillämpningsområdet avslogs arbetstagarsidans talan.

Setterwalls kommentar

Setterwalls välkomnar avgörandet. Arbetsgivare har ofta ett berättigat intresse av att ta del av belastningsregisterutdrag och behöver vägledning i hur detta kan ske utan att strida mot tillämpligt regelverk. Rättsfallet klargör att en arbetsgivare som enbart tar emot, läser och därefter förstör ett fysiskt belastningsregisterutdrag – utan att föra in uppgifterna i något register – inte behandlar personuppgifter på ett sätt som faller inom dataskyddsförordningens tillämpningsområde. Det rör sig om ett i praktiken vanligt förekommande förfarande.

Dock måste framhållas att avgörandet avser just denna specifika situation: en arbetsgivare tar manuellt del av ett fysiskt dokument utan att uppgifterna lagras, registreras eller bearbetas digitalt. Om uppgifterna i stället hade förts in i exempelvis ett personalregister eller ett digitalt system hade bedömningen sannolikt blivit en annan.

Sammantaget belyser avgörandet att distinktionen mellan att å ena sidan läsa och förstöra ett fysiskt dokument, och att å andra sidan registrera eller spara uppgifterna, är avgörande för frågan om dataskyddsförordningens tillämplighet. Arbetsgivare som önskar ta del av belastningsregisterutdrag måste därför noggrant överväga hur uppgifterna hanteras efter mottagandet.

Läs hela rättsfallet här