HD:s beslut om utlämnande av allmänna handlingar – vad innebär de för arbetsgivares bakgrundskontroller?

Högsta domstolen (HD) meddelade tidigare i år beslut i två mål som rör utlämnade av allmän handling. I båda målen är det fråga om brottmålsdomar som lämnas ut till aktörer med databaser som på olika sätt delar uppgifterna vidare. De båda aktörernas verksamheter omfattas av grundlagsskydd och i målen gör HD en avvägning mellan yttrande- och informationsfrihet och allmänhetens rätt att få tillgång till allmänna handlingar å ena sidan, och rätten till skydd för personuppgifter å andra sidan. HD finner att handlingarna i fråga kan lämnas ut, dock med förbehåll om den fortsatta användningen av dem. I förlängningen kan besluten få praktiska konsekvenser för arbetsgivare och dess möjlighet att genomföra bakgrundskontroller.

I februari 2025 prövade HD hur respektive aktörs begäran om utlämning av ett större antal brottmålsdomar skulle hanteras utifrån Sveriges skyldighet att följa EU:s dataskyddsförordning (GDPR). Aktörerna i fråga, hade utgivningsbevis för sina respektive databaser och rådde under de s.k. mediegrundlagarna (Tryckfrihetsförordningen (TF) & Yttrandefrihetsgrundlagen (YGL)). Att inneha ett utgivningsbevis innebär bl.a. det finns begränsade möjligheter att väcka åtal mot publiceringarna i databasen.

I svensk rätt finns kompletterande bestämmelser till GDPR. Av dessa följer bl.a. att GDPR inte ska tillämpas i den utsträckning det skulle strida mot TF eller YGL. HD skriver att lagstiftarens avsikt med bestämmelsen får sägas ha varit att GDPR över huvud taget inte ska tillämpas på det grundlagsskyddade området. Det skulle innebära att man i en verksamhet som omfattas av TF eller YGL inte skulle behöva följa GDPR. Det skulle också innebära att brottmålsdomar ska lämnas ut, också när begäran avser en större mängd handlingar, och att det finns mycket begränsade möjligheter att ingripa mot den efterföljande behandlingen.

HD konstaterar att en sådan ordning inte kan anses förenlig med GDPR. De menar att det inte kan anses förenligt med unionsrätten att ha en ordning som innebär att brottmålsdomar i stor omfattning lämnas ut med följd att en betydande mängd personuppgifter rörande lagöverträdelser därefter kan behandlas i en databas och göras tillgängliga för andra. HD menar att det, i princip, då inte finns något annat skydd för integritetsintresset än det som kan ligga i ingripanden med stöd av mediegrundlagarna och brottsbalken. En sådan ordning undergräver enligt HD närmast helt det skydd som GDPR syftar till att ge.

HD prövar därefter frågan om sekretess. Utgångspunkten är att brottmålsdomar är offentliga men att sekretess för en personuppgift gäller om det kan antas att uppgiften i ett senare skede (dvs. efter utlämnandet) kommer att användas i strid med GDPR. HD gör, bl.a. mot bakgrund av ovan, den sammantagna bedömningen att det är möjligt att beakta GDPR även på det grundlagsskyddade området.

Om en myndighet, i samband med en sekretessbedömning, finner att det föreligger risk för skada, men eller annan olägenhet, så ska myndigheten förena utlämnandet med ett förbehåll. Ett sådant förbehåll inskränker rätten att lämna den sekretessbelagda uppgiften vidare eller utnyttja den. Exempelvis kan ett förbehåll förbjuda att personuppgifter får tillhandahållas allmänheten eller betalande kunder om detta innebär att man får tillgång till personnamn, personnummer eller adress för enskilda personer.

HD finner avslutningsvis att handlingarna i de båda målen ska lämnas ut med förbehåll, dvs. med begränsningar i rätten till hur handlingarna och uppgifterna däri får användas.

Besluten och HD:s pressmeddelande finns att läsa i sin helhet här.

Setterwalls kommentar

Utgången i de båda målen innebär att myndigheter (såsom domstolar) ska ta ställning till huruvida uppgifterna i en allmän handling, efter utlämnandet, kan komma att behandlas i strid med GDPR. Detta kan medföra att allt fler domar lämnas ut med förbehåll vilket på sikt innebär att databaser med information om exempelvis lagöverträdelser inte längre kan dela uppgifter från domarna i sina databaser i samma omfattning som tidigare. Det kan i sin tur komma att påverka arbetsgivare som utför bakgrundskontroller med stöd av sådana databaser och medföra att bakgrundskontrollföretag med tillstånd från Integritetsskyddsmyndigheten (IMY) används i större utsträckning. En sådan utveckling kan vara fördelaktig från integritetssynpunkt då IMY gör en noggrann prövning innan de meddelar tillstånd att behandla uppgifter om lagöverträdelser.

Bakgrundskontroller genomförs idag av många arbetsgivare. I vissa fall är det arbetsgivaren som har ett eget intresse av att utföra dem, i andra fall är det ett krav enligt lag, t.ex. vid nyanställning inom skolverksamhet. Vår erfarenhet är dock att det förekommer att arbetsgivare genomför bakgrundskontroller utan förutbestämda rutiner och policys. Med ett sådant tillvägagångssätt finns risker för att bakgrundskontroller genomförs i större utsträckning än vad som är nödvändigt, att bristfälliga källor/databaser används som underlag för kontrollen, att fler uppgifter än nödvändigt behandlas eller att resultatet från kontrollen inte hanteras på korrekt sätt, och exempelvis förvaras under en längre tid än vad som är nödvändigt. Vi hjälper er gärna att ta fram rutiner, eller se över befintliga processer, för att säkerställa att de bakgrundskontroller ni genomför håller sig inom de rättsliga ramar som finns.

Värt att notera är även att IMY i skrivande stund har inlett tillsynsärenden mot fyra aktörer med utgivningsbevis som tillhandahåller sökbara databaser. Det återstår att se vad dessa tillsynsärenden mynnar ut i och huruvida det ger upphov till ytterligare vägledning från IMY. Du hittar IMY:s pressmeddelanden här och här. Parallellt med tillsynsärendena inväntas ett förhandsavgörande från EU-domstolen avseende just klargörande om huruvida grundlagsskyddet för databaser är förenligt med GDPR. Enligt generaladvokatens förslag till förhandsavgörande är den verksamhet som rättsdatabaser driver inte journalistisk verksamhet, vilket innebär att den inte ska undantas från GDPR. Vidare tillåter inte GDPR en nationell lagstiftning enligt vilken det enda rättsmedel som finns för en person vars personuppgifter behandlas, genom att fällande domar i brottmål avseende personen tillhandahålls allmänheten, är att inleda ett straffrättsligt förfarande om förtal eller begära skadestånd med anledning av förtal.

Avslutningsvis kan även konstaterats att det tidigare har lagts fram förslag för att bättre balansera yttrandefrihets- och informationsfrihetsintressena med skyddet för personuppgifter, men dessa har inte lett till lagstiftning. Ett nytt förslag har återigen lagts fram (SOU 2024:75) som föreslås träda i kraft den 1 januari 2027. Utöver detta har regeringen i dagarna meddelat att en utredning har tillsatts som ska analysera behovet av och förutsättningarna för att göra bakgrundskontroller i såväl offentlig som privat verksamhet. Syftet är bl.a. att lämna förslag på ett ändamålsenligt, proportionerligt och rättssäkert regelverk för bakgrundskontroller. Uppdraget ska redovisas senast den 11 mars 2027.

Sammanfattningsvis händer det mycket på det här området och vi följer rättsutvecklingen nära och med stort engagemang. Om ni har frågor kring bakgrundskontroller eller har andra angränsande frågor eller funderingar är ni alltid välkomna att höra av er till oss på Setterwalls.