JO riktar skarp kritik mot kommun för bakgrundskontroller av anställda

Justitieombudsmannen har i beslut den 19 oktober 2023 (dnr 7143-2022) riktat allvarlig kritik mot Kommunstyrelsen i Södertälje kommun för att i strid med skyddet för den personliga integriteten och privatlivet ha kontrollerat om kommunanställda gjort sig skyldiga till brott.

Justitieombudsmannen (JO) har utrett Södertälje kommuns bakgrundskontroller av anställda. Kommunen hade anlitat ett externt bolag för att genomföra kontroller om befintliga anställda var dömda för sexualbrott, narkotikabrott, våldsbrott eller ekonomisk brottslighet. Samtliga anställda inom kommunkoncernen kontrollerades. Kommunen förde inga egna register, men tog emot muntlig anonymiserad information om resultatet av kontrollerna. Om kommunen ansåg att åtgärd skulle övervägas fick kommunen reda på vilken anställd det avsåg. Kontrollerna gjordes systematiskt – över tid och med regelbundenhet. Syftet med kontrollerna var enligt kommunen att motverka organiserad brottslighet inom kommunkoncernen. Kommunen menade att det under lång tid förekommit brottslighet kopplad till anställda, och att det flera gånger kommit fram i efterhand att personerna som begått brotten redan sedan tidigare förekom i belastningsregistret. Kommunen menade att bakgrundskontrollerna var en nödvändig åtgärd och att syftet och det resultat som kontrollerna gav uppvägde intrånget i den personliga integriteten. De anställda hade vid ett antal tillfällen informerats om bakgrundskontrollerna.

JO konstaterar i sitt beslut att det framgår av Sveriges grundlagar att all offentlig maktutövning ska grundas i lag eller annan föreskrift, och att det allmänna ska värna den enskildes privatliv. Vidare är alla medborgare skyddade mot det allmänna från betydande intrång i den personliga integriteten som sker utan samtycke och som innebär övervakning eller kartläggning av den enskildes personliga förhållande. Även Europakonventionen (EKMR), som gäller som lag i Sverige, innehåller skydd för privatlivet som i princip innebär att det allmänna inte ska göra onödiga ingrepp i personers privata sfär. Rättigheterna får lov att begränsas, men bara genom stiftande av annan lag. Även EU:s dataskyddsförordning (GDPR) skyddar den enskilde från olaglig och orättfärdig insamling av personuppgifter. JO konstaterar att det i svensk lag finns regler om när kontroll av belastningsregister måste göras, t.ex. vid nyanställning inom skolverksamhet, och när det får göras, men att det saknas uttryckliga förbud mot att en arbetsgivare gör sådana bakgrundskontroller.

JO skriver i beslutet att även om syftet med kontrollerna inte ifrågasätts, så är det ändå en självklarhet att kommunen måste följa lagen och bara vidta åtgärder som har stöd i rättsordningen. JO menar att information om en arbetstagares belastningsregister är privat och vanligtvis känslig information som typiskt sett innebär ett påtagligt ingrepp i den personliga integriteten. De anställda hade inga möjligheter att kontrollera att företagets databas innehöll korrekta uppgifter, inget sätt att påverka vilka uppgifter som lämnades, och hade inte heller i efterhand fått reda på vilken information som samlats in och eventuellt rapporterats. Eftersom kontrollerna var utbredda och gjordes av ett externt företag anser JO att kontrollerna var särskilt ingripande ur en integritetssynpunkt. JO anser inte att de anställda har lämnat individuella, informerade och otvetydiga samtycken till insamlingen av uppgifterna. Vidare menar JO att det är tveksamt om ett giltigt samtycke ens kan lämnas inom ramen för anställningsförhållandet. JO anser därför att kontrollerna utgjort ett betydande intrång i de anställdas personliga integritet, och att de är i strid med grundlag och EKMR – alltså att kontrollerna inte varit lagliga. Då, menar JO, spelar det ingen roll vad kontrollernas syfte har varit eller vilka handläggningssätt som har använts.

Setterwalls kommentar: Beslutet gäller en offentlig verksamhet och handlar om hur grundlag och konventioner om mänskliga rättigheter skyddar enskilda mot ingrepp från staten. Det står helt klart att statliga och kommunala arbetsgivare, och aktörer som övertar uppgifter åt stat eller kommun, inte får lov att genomföra kontroller på det sätt och den omfattning som Södertälje kommun gjort. Men kan beslutet appliceras också på andra verksamheter? Till viss del är det troligen så – eftersom skyddsreglerna i dataskyddsförordningen gäller också för privata aktörer. Däremot är ju grundlag och EKMR inte direkt applicerbara för privata aktörer. Vi konstaterar att gränsdragningen är svår och att även privata arbetsgivare bör inhämta juridisk rådgivning innan bakgrundskontroller införs.