Bolag får reprimand för bakgrundskontroller av kommunanställda
En kommun gav ett bolag i uppgift att kontrollera om kommunanställda gjort sig skyldiga till brott. Integritetsskyddsmyndigheten konstaterar att bolaget i egenskap av personuppgiftsansvarig har brustit i sina skyldigheter enligt dataskyddsförordningen. Bolaget får därför en reprimand.
Bakgrund
Integritetsskyddsmyndigheten (IMY) inledde tillsyn mot ett bolag efter klagomål från en kommunanställd om att bolaget, för en kommuns räkning, genomfört löpande bakgrundskontroller på anställda utan lagligt stöd.
Till stöd för sin talan ingav klaganden Justitieombudsmannens (JO) beslut den 19 oktober 2023 (dnr 7143-2022). Genom beslutet riktade JO allvarlig kritik mot kommunen för att i strid mot skyddet för den personliga integriteten och privatlivet ha kontrollerat om kommunanställda gjort sig skyldiga till brott. För att möjliggöra kontrollerna lämnade kommunen ut personnummer för de personer som skulle kontrolleras till bolaget. Enligt JO utgjorde kontrollerna av de anställda ett betydande ingrepp i den personliga integriteten. Kontrollerna innebar vidare övervakning och kartläggning av enskildas personliga förhållanden.
I det nu aktuella målet hävdade bolaget att det är kommunen som är personuppgiftsansvarig för personuppgiftsbehandlingen och att bolaget inte kan ansvara för vilken rättslig grund kommunen har tillämpat.
Gällande rätt
Med personuppgiftsansvarig avses, enligt artikel 4.7 i dataskyddsförordningen, en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
För att en personuppgiftsbehandling ska vara laglig krävs att någon av de rättsliga grunderna i artikel 6 i dataskyddsförordningen är tillämplig på behandlingen. Av artiklarna 5.1 a och 5.2 i dataskyddsförordningen följer att det är den personuppgiftsansvarige som ansvarar för, och ska kunna visa att, den aktuella personuppgiftsbehandlingen har varit laglig.
Enligt artikel 15 i dataskyddsförordningen ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och viss, i artikeln angiven, information.
Av artikel 57.1 f i dataskyddsförordningen följer att IMY ska behandla klagomål från registrerade som anser att deras personuppgifter behandlas på ett sätt som strider mot förordningen. När det är lämpligt, ska myndigheten undersöka den sakfråga som klagomålet gäller.
Integritetsskyddsmyndighetens bedömning
Den första frågan som IMY har att ta ställning till är om bolaget har utfört den påstådda personuppgiftsbehandlingen avseende klaganden. Myndigheten konstaterar att bolaget har genomfört bakgrundskontroller på uppdrag av kommunen av bland annat kommunens anställda. Det framgår med tillräcklig säkerhet att klaganden har blivit föremål för åtminstone en bakgrundskontroll.
Den andra frågan som IMY ska ta ställning till är om bolaget är personuppgiftsansvarig för personuppgiftsbehandlingen. Personuppgiftsansvaret behöver avgöras utifrån de faktiska omständigheterna vid tidpunkten för behandlingen.
IMY konstaterar att utförare av bakgrundskontroller som huvudregel har en sådan självständig ställning att de bör betraktas som personuppgiftsansvariga för den behandling som bakgrundskontrollen innebär. Det gäller även om uppdragsgivaren tillhandahåller utföraren viss information och även om utföraren aldrig skulle ha samlat in informationen om utföraren inte hade fått uppdraget att göra det.
Trots att kommunen var initiativtagare till kontrollerna och gav vissa instruktioner till bolaget avseende hur kontrollerna skulle utföras finner IMY att uppdragsbeskrivningen var förhållandevis vag vad avsåg vilka personuppgifter som skulle behandlas och hur behandlingen skulle utföras. Kommunen angav vissa ramar för omfattningen av personuppgiftsbehandlingen, men gav bolaget utrymme att själv bedöma vilken information som var relevant att återrapportera. Vid tiden för bakgrundskontroll av klaganden saknades ett personuppgiftsbiträdesavtal mellan kommunen och bolaget.
Sammantaget anser myndigheten att bolaget inte enbart kan anses ha agerat utifrån instruktioner från kommunen. Bolaget har istället haft ett betydande inflytande över hur behandlingen gick till och över vilka uppgifter som omfattades av den. Bolaget ska därför betraktas som personuppgiftsansvarig för behandlingen.
Bolaget har inte redogjort för någon bedömning av vilken rättslig grund som är tillämplig på personuppgiftsbehandlingen. Bolaget har inte heller motiverat att behandlingen kan anses ha varit nödvändig. Mot den bakgrunden finner IMY att bolaget har brustit i sina skyldigheter enligt artikel 6 i dataskyddsförordningen.
Bolaget har vidare varit skyldig att hantera klagandens begäran om tillgång enligt artikel 15 dataskyddsförordningen. Bolaget har inte tillgodosett klagandens begäran i förhållande till de uppgifter som behandlats och bolaget har därför brustit i sina skyldigheter även i detta avseende.
Avslutningsvis finner IMY att det är fråga om mindre överträdelser och bolaget ges därför en reprimand enligt artikel 58.2 b i dataskyddsförordningen.
Referat av Integritetsskyddsmyndigheten 2025-08-29 dnr IMY-2023-14252.
Ursprungligen publicerad i JP Arbetsrättsnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 26 nov 2025
Jurist, redaktör
