Logga in

Glömt ditt lösenord?

Den personliga integriteten i mötet med arbetsgivarens säkerhetsintresse vid granskning av registerutdrag

Arbetsdomstolen har i en nyligen avkunnad dom prövat gränserna för när den europeiska dataskyddsförordningen blir tillämplig vid hantering av brottsuppgifter i arbetslivet. Genom avgörandet klargörs att en arbetsgivares manuella granskning av ett belastningsutdrag faller utanför förordningens räckvidd, så länge informationen inte systematiseras. Avgörandet analyseras här av advokat Dag Wetterberg. 

En oväntad kontroll under pågående anställning 

Frågan om huruvida en arbetsgivare har rätt att ta del av en anställds brottsliga förflutna är ett ämne som ofta väcker starka känslor och juridiska funderingar kring den personliga integriteten. I det aktuella målet vid Arbetsdomstolen, AD 2026 nr 27, ställdes saken på sin spets när en bilmekaniker under pågående anställning uppmanades att visa upp ett utdrag ur belastningsregistret för sin chef. Arbetstagaren efterkom begäran och överlämnade ett förslutet kuvert som chefen därefter öppnade och läste igenom. Det som gör detta fall särskilt intressant är att arbetsgivaren efter genomläsningen valde att omedelbart förstöra dokumentet i en papperstugg utan att föra in några uppgifter i sina digitala system eller personalakter. Ett relativt vanligt förfarande hos arbetsgivare i Sverige.   

Rättslig strid om begreppet personuppgiftsbehandling 

Kärnan i den juridiska tvisten handlade om huruvida denna till synes enkla handling – att ta emot och läsa ett fysiskt papper – utgör en sådan behandling av personuppgifter som faller under Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (”GDPR”), strikta regelverk. Industrifacket Metall menade att eftersom uppgifterna härrörde från ett automatiserat statligt register, borde även arbetsgivarens läsning betraktas som en lagstridig behandling av känsliga uppgifter enligt artikel 10 GDPR. Arbetsgivarsidan hävdade å sin sida att förordningen inte är tillämplig på rent manuell hantering av fysiska handlingar som inte är avsedda att ingå i ett sökbart register. 

Gränsdragningen för förordningens tillämpningsområde 

För att förstå varför Arbetsdomstolen slutligen landade i att GDPR inte var tillämplig måste man titta närmare på förordningens materiella tillämpningsområde enligt artikel 2.1. Det räcker nämligen inte med att informationen i sig är en personuppgift för att reglerna ska träda i kraft. GDPR är utformad för att skydda individer mot riskerna med storskalig eller automatiserad databehandling och omfattar därför all digital hantering, men när det gäller manuell hantering av pappershandlingar finns en viktig begränsning. För att pappershandlingar ska omfattas krävs det att uppgifterna ingår i eller är avsedda att ingå i ett register, vilket definieras som en strukturerad samling av uppgifter som är tillgängliga enligt särskilda kriterier. 

Den pedagogiska förklaringen till utgången
 

I detta AD-mål, rörande bilmekanikern, konstaterade domstolen att arbetsgivaren aldrig haft för avsikt att systematisera informationen. Genom att läsa dokumentet och därefter förstöra det skapades aldrig den typ av sökbar struktur som förordningen syftar till att reglera. Det pedagogiska svaret på varför GDPR inte är tillämplig är alltså att en isolerad läsning av ett fysiskt dokument inte utgör en tillräckligt organiserad eller teknisk hantering för att aktivera det europeiska skyddet. Det är en viktig distinktion som innebär att arbetsgivarens fria arbetsledningsrätt fortfarande tillåter vissa former av manuell kontroll utan att det medför de tunga administrativa krav som följer av dataskyddsförordningen 

Jämförelsen med EU-domstolens Endemol-dom 

Parallellt med den svenska domen finns ett viktigt avgörande från EU-domstolen rörande det finska bolaget Endemol Shine Finland Oy (C-740/22). I domen framgår det att Endemol begärt att få ta del av brottsuppgifter muntligen från en domstol. EU-domstolen klargjorde i det målet att även ett muntligt utlämnande utgör en behandling av personuppgifter. Skillnaden mot det svenska fallet är dock avgörande: i Endemol-målet hämtades uppgifterna direkt ur domstolens sökbara register av den myndighet som ansvarade för registret. I det svenska målet var det istället en mottagande part, arbetsgivaren, som tog del av en handling som arbetstagaren själv hade begärt ut och visat upp. Arbetsdomstolen anser därför att Endemol-domen inte förändrar bedömningen att Walhamn AB:s hantering föll utanför GDPR:s tillämpningsområde. 

I denna del är det viktigt att förstå att det i Sverige är Polismyndigheten som är personuppgiftsansvarig för belastningsregistret i enlighet med lagen (1998:620) om belastningsregister. I domen framgår det följande i denna del: 

”I Sverige är det Polismyndigheten som för ett fullständigt register över fällande domar i brottmål och som är personuppgiftsansvarig för den behandling som förandet av registret och utlämnandet av personuppgifter därifrån innebär, se lagen (1998:620) om belastningsregister. Till viss del faller Polismyndighetens behandling av personuppgifter utanför dataskydds-förordningen, eftersom den inte är tillämplig på behandling som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder (artikel 2.2 d i Dataskyddsförordningen).” 

I GDPR framgår det följande av artikel 2.2 d: 

”Denna förordning ska inte tillämpas på behandling av personuppgifter som [--] behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.” 

Det kan även konstateras att Walhamn AB inte ansågs vara personuppgiftsbiträde till Polismyndigheten när de läste registerutdraget. Det kanske framstår som självklart men är en viktig aspekt utifrån hur GDPR:s normbildning. Den innebär och stärker nämligen tesen att Walhamn AB:s hantering faller utanför GDPR.   

En röst för ökad försiktighet och framtida analys 

Trots att majoriteten i Arbetsdomstolen var enig fanns en skiljaktig mening som lyfte fram intressanta perspektiv på rättsutvecklingen. Den skiljaktiga ledamoten menade att arbetsgivarens agerande kunde ses som ett sätt att medvetet kringgå GDPR genom att välja en manuell hanteringsmetod. Det betonades också att frågan om registerkontroller under pågående anställning är juridiskt känslig och att den svenska lagstiftaren tidigare uttryckt tveksamhet kring sådana kontroller utan tydligt lagstöd (prop. 2025/26.174 s. 54). Denna oenighet understryker att balansgången mellan arbetsgivarens behov av säkerhet och arbetstagarens rätt till privatliv är en komplex fråga inom arbetsrätten. 

Vad innebär domen för svenska arbetsgivare och arbetstagare? 

En bekräftelse av arbetsgivarens kontrollrätt i den digitala eran 

Domen från Arbetsdomstolen innebär i praktiken en viktig seger för den svenska arbetsledningsrätten i en tid som annars präglas av allt striktare dataskyddsregler. Genom att slå fast att en manuell granskning av ett fysiskt belastningsutdrag faller utanför GDPR:s tillämpningsområde, bekräftar domstolen att arbetsgivare fortfarande har ett handlingsutrymme att kontrollera arbetstagares bakgrund utan att fastna i de komplexa krav på rättslig grund och registerföring som GDPR annars ställer. För svenska arbetsgivare innebär detta en lättnad, då det klargör att man kan hantera känslig information på ett analogt sätt – genom att se, läsa och omedelbart förstöra – utan att riskera de höga sanktionsavgifter som är kopplade till brott mot förordningen. Det skapar tydlighet juridiskt där den fysiska pappershanteringen ger företag en praktisk metod att hantera säkerhetsprövningar och förtroendefrågor i rekryteringsprocesser eller vid interna utredningar. 

Arbetstagarens integritetsskydd i glappet mellan analogt och digitalt 

För arbetstagarsidan innebär domen en påminnelse om att det rättsliga skyddet för den personliga integriteten är starkt knutet till hur uppgifter hanteras, snarare än vilka uppgifter det rör. Eftersom domstolen valt en strikt tolkning av vad som utgör ett register, hamnar arbetstagare i en situation där de i praktiken saknar det skydd som GDPR erbjuder så länge arbetsgivaren håller sig till en analog process. Detta innebär att fackliga organisationer och enskilda anställda inte kan luta sig mot GDPR:s rätt till radering eller tillgång till uppgifter i de fall där informationen aldrig digitaliseras. Innebörden blir att den personliga integriteten på svensk arbetsmarknad i dessa fall istället vilar på mer allmänt hållna principer om god sed på arbetsmarknaden och skyddet mot kränkande åtgärder, vilket ofta är svårare att driva rättsligt än de specifika artiklarna i en EU-förordning. Det kan därför uppstå en juridisk utmaning eftersom en arbetstagare förväntas medverka till kontroller rörande dem själva vilka annars hade varit svåra att utföra för arbetsgivaren. 

Rättslig osäkerhet och framtida behov av tydlighet 

Slutligen pekar domen på en växande diskrepans mellan teknisk utveckling och juridisk formalia, vilket skapar en osäker framtid för både arbetsgivare och arbetstagare. Genom att Arbetsdomstolen valde att inte begära ett förhandsavgörande från EU-domstolen, trots de komplexa frågor som väcktes i Endemol-målet, kvarstår en viss osäkerhet kring om den svenska tolkningen står sig i ett längre europeiskt perspektiv. Den skiljaktiga meningen i domen belyser att det finns en risk för att den analoga hanteringen kan uppfattas som ett sätt att kringgå lagstiftningens syfte: att skydda den enskilde mot obehörig insyn i känsliga brottsuppgifter. För svenska aktörer innebär detta att man bör iaktta försiktighet; även om domen ger grönt ljus för läs och förstör-modellen just nu, finns det ett underliggande behov av en tydligare svensk lagstiftning som direkt reglerar registerkontroller i arbetslivet. Utan sådana regler riskerar rättsläget att förbli fragmenterat, där integritetsskyddet avgörs av om en chef väljer att använda en papperstugg eller ett Excel-ark, snarare än av uppgifternas känsliga natur. 

Analys av Arbetsdomstolen 2026-03-25, dom nr 27/26.

Ursprungligen publicerad i JP Arbetsrättsnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 4 maj 2026

Dag Wetterberg

Advokat, WETTERBERG Advokatbyrå

Anmäl dig till vårt nyhetsbrev inom arbetsrätt och arbetsmiljörätt:

Se vår integritetspolicy

Upptäck mer

Tjänster

JP Arbetsmiljönet

Informationstjänsten för dig som är arbetsmiljöansvarig, skyddsombud eller har en samordnande roll.

JP Arbetsrättsnet

Informationstjänsten för dig som har personalansvar eller jobbar på en personal- och HR-avdelning.

JP RättsfallsnetArbetsmiljö

Tjänsten ger dig ett stöd för att hantera arbetsmiljöfrågor.
Se alla tjänster inom arbetsrätt

Nyheter

Inte diskriminering att avslå ansökan om antagningsprövning för värnplikt på grund av autismspektrumtillstånd
Arbetsrätt

Hovrätten finner, till skillnad från tingsrätten, att Försvarsmaktens beslut innebar ett missgynnande men inte diskriminering.  

4 maj 2026

VD frias från åtal om arbetsmiljöbrott efter mord på anställd vid LSS-boende
Arbetsrätt

Hovrätten instämmer i tingsrättens bedömning och konstaterar att det fanns brister i arbetsmiljöarbetet, men att det saknades orsakssamband mellan bristerna och mordet. VD:n frias därför.

4 maj 2026

Kritik mot en kommun för att ha överträtt repressalieförbudet
Arbetsrätt

JO anser att kommunen har agerat i strid med det förbud mot repressalier som följer av 2 kap. 1 § första stycket 1 RF och att kommunen förtjänar kritik.  

8 apr 2026

Se alla nyheter inom arbetsrätt

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Du kan när som helst ändra ditt samtycke till kakor.

Läs mer om kakor (cookies)

Dölj detaljer Visa detaljer Hantera kakor