Rätt att hämta in uppgifter om arbetssökandes sambo vid säkerhetsprövning
Ett bolag gjorde en bakgrundskontroll på en person vars sambo sökt en säkerhetsklassad tjänst hos bolaget. Personen, som inte blivit informerad om bakgrundskontrollen, ansåg att den var olaglig och klagade till Integritetsskyddsmyndigheten. Enligt myndigheten framkommer dock inte annat än att behandlingen av klagandens personuppgifter varit nödvändig för säkerhetsprövningen. Tillsynsärendet avslutas utan åtgärd.
Bakgrund
Integritetsskyddsmyndigheten (IMY) inledde tillsyn mot ett bolag för att utreda ett klagomål mot bolaget om hur det behandlat personuppgifter i samband med en säkerhetsprövning av klagandens sambo.
Klaganden uppgav att dennes sambo blivit erbjuden en tjänst med säkerhetsklass 2 på bolaget. När klaganden inte blev godkänd vid bakgrundskontrollen drog bolaget tillbaka sambons arbetserbjudande. Klaganden uppgav att varken han eller hans sambo blev informerade om att bakgrundskontrollen även skulle omfatta honom.
Bolaget uppgav att eftersom klagandens sambo (arbetssökanden) ansökte om en anställning med säkerhetsklass 2 genomförde bolaget det första steget (grundutredning) i den säkerhetsprövning som krävs enligt säkerhetsskyddslagen (2018:585). Inom ramen för grundutredningen förekom muntliga samtal med arbetssökanden, där bolaget tog del av klagandens personuppgifter inklusive uppgifter om lagöverträdelser. Därefter verifierade bolaget uppgifterna om klaganden genom att kontrollerade dessa i offentliga dokument i en grundlagsskyddad databas med utgivningsbevis.
Bolaget menade att eftersom det inte laddat ned, antecknat eller på annat sätt sparat uppgifterna om lagöverträdelserna elektroniskt omfattades inte uppgifterna av dataskyddsförordningen.
Gällande rätt
Av artikel 6 i dataskyddsförordningen följer att personuppgiftsbehandling måste uppfylla någon av de rättsliga grunderna i artikeln för att vara laglig. Av artikel 6.1 c i förordningen följer att behandlingen har rättslig grund om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
Av artikel 10 i dataskyddsförordningen följer att personuppgifter om lagöverträdelser endast får behandlas under kontroll av en myndighet eller då behandlingen är tillåten enligt unionsrätten eller enligt svensk rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter har fastställts. Enligt artikel 5 i förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning får uppgifter om lagöverträdelser behandlas av andra än myndigheter om behandlingen är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Integritetsskyddsmyndigheten
Är dataskyddsförordningen tillämplig?
IMY inleder med att bedöma att bolaget genom att söka efter och läst klagandens personuppgifter genom en söktjänst som behandlar personuppgifter på automatisk väg har behandlat uppgifterna på ett sådant sätt som avses i dataskyddsförordningen och att behandlingen åtminstone delvis har skett på automatisk väg. Att bolaget inte har laddat ned eller antecknat uppgifterna elektroniskt saknar betydelse för bedömningen. Dataskyddsförordningen är därmed tillämplig på den behandling av klagandens personuppgifter enligt artikel 2 i dataskyddsförordningen.
Var det nödvändigt att hämta in uppgifter om klaganden?
IMY konstaterar att personuppgiftsbehandling, inklusive behandling av uppgifter om någons lagöverträdelser, kan vara tillåten om behandlingen är nödvändig för att ett bolag ska kunna uppfylla sina skyldigheter enligt lag eller annan författning. Frågan är om behandlingen har varit nödvändig för att bolaget ska kunna uppfylla sina skyldigheter enligt säkerhetsskyddslagen.
Av 3 kap. 1 § säkerhetsskyddslagen (2018:585) följer att den som genom anställning ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Av 3 kap. 3 § i samma lag följer att säkerhetsprövningen bland annat ska innefatta en grundutredning. Av 5 kap. 2 § säkerhetsskyddsförordningen (2021:955) framgår att grundutredningen ska omfatta betyg, intyg, referenser och de uppgifter som personen i fråga lämnar, samt andra relevanta uppgifter för prövningen. I 6 kap. 4 § i Säkerhetspolisens föreskrifter om säkerhetsskydd anges att en grundutredning ska inkludera en säkerhetsprövningsintervju, där lojalitet, pålitlighet och sårbarhet hos den prövade bedöms.
IMY konstaterar att det saknas tydligt, rättsligt stöd i frågan om vad en grundutredning ska omfatta. I förarbetena till säkerhetsskyddslagen står bland annat att pålitlighetsbedömningen ska innefatta en bedömning av risken för att personen gör sig skyldig till exempelvis spioneri, risken för att personen kan bli utsatt för olika påtryckningar eller att personen genom slarv eller på något annat oavsiktligt sätt röjer sekretessbelagda uppgifter. Säkerhetsprövningen bör täcka frågor om bland annat umgänge (den arbetssökandes vänner och eventuella ovänner), ekonomi, personliga egenskaper samt intressekonflikter. Vad som krävs i fråga om underlag och bedömning behöver anpassas till vilken form av deltagande det är fråga om.
Säkerhetspolisen har i sin vägledning i säkerhetsskydd listat ett antal frågor som bör ställas vid en säkerhetsskyddsintervju inom ramen för en grundutredning. Bland annat anges att frågor bör ställas om brottslig belastning i familjekretsen. Vägledningen är inte bindande men kan ge ledning i hur de aktuella bestämmelserna ska tolkas.
IMY:s bedömning
IMY konstaterar att klagandens sambo skulle delta i en sådan verksamhet som kräver säkerhetsprövning enligt säkerhetsskyddslagen och att klagandens personuppgifter har behandlats inom ramen för en grundutredning av sambon. Det har inte framkommit uppgifter som tyder på att klagandens personuppgifter, inklusive uppgifter om lagöverträdelser, saknade relevans för bedömningen av sambons lojalitet, pålitlighet eller sårbarhet i det enskilda fallet.
I klagomålet saknas uppgifter om vilka lagöverträdelser det har rört sig om och hur långt tillbaka i tiden de skedde. Det har inte heller framkommit några närmare omständigheter kring anställningen eller arbetsuppgifterna som talar för att personuppgiftsbehandlingen har gått utöver vad som kan antas ha varit nödvändigt i det enskilda fallet. IMY har sökt kontakt med klaganden för att ge tillfälle att yttra sig men klaganden har inte svarat.
IMY bedömer att det av utredningen inte framgår annat än att bolagets behandling av klagandens personuppgifter, inklusive uppgifter om lagöverträdelser, har varit nödvändig för att bolaget ska kunna genomföra säkerhetsprövningen av klagandens sambo. Bolaget har således inte behandlat klagandens personuppgifter i strid med artikel 6 och artikel 10 i dataskyddsförordningen. Myndigheten avslutar tillsynsärendet utan åtgärd.
Referat av Integritetsskyddsmyndigheten 2025-08-29, dnr IMY-2024-7495.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 8 okt 2025

Jurist, redaktör