Logga in

Glömt ditt lösenord?

Flera år gammal uppgift om att en person förekommit i en dom eller beslut är inte nödvändig vid en bakgrundskontroll

Ett bolag som bland annat utför bakgrundskontroller har i samband med en rekryteringsprocess behandlat personuppgifter utan rättslig grund. Bolaget sammanställde en rapport om en arbetssökande där det framgick att denne förekom i en dom eller ett beslut från en åklagarkammare. Beslutet eller domen var vid tidpunkten gallrad och det gick inte att utläsa i vilken egenskap den arbetssökande förekom. IMY finner att uppgiften inte kan anses nödvändig att behandla i syfte att göra en riskbedömning i samband med rekrytering och ger bolaget en reprimand.   

Bakgrund  

Ett bolag gav ett säkerhetsbolag (bolaget) uppdrag att genomföra en bakgrundskontroll av en arbetssökande i samband med en rekryteringsprocess. I rapporten som bolaget sammanställde framgick att den arbetssökandes personuppgifter fanns i ett beslut från en åklagarkammare, med en hänvisning till att mer information kan fås genom att kontakta den aktuella instansen. Den arbetssökande kontaktade då åklagarkammaren som informerade henne om att domen eller beslutet hade gallrats. Den arbetssökande kontaktade sedan bolaget och begärde att uppgiften om hennes personuppgifter vid den aktuella åklagarkammaren skulle raderas och efterfrågade information om var bolaget hämtat den aktuella uppgiften från. Bolaget meddelade den arbetssökande att den aktuella uppgiften inte skulle plockas bort från rapporten och att hon inte kunde få information om vilket register som uppgiften inhämtats ifrån. 

Gällande rätt  

I artikel 5.1 a i dataskyddsförordningen anges att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (principen om laglighet, korrekthet och öppenhet).  

Principen om laglighet utgör en hänvisning till de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen. Enligt artikel 6.1 i dataskyddsförordningen måste den personuppgiftsansvariga kunna stödja personuppgiftsbehandlingen på en rättslig grund för att behandlingen ska vara tillåten.  

Den personuppgiftsansvariga får behandla personuppgifter med stöd av artikel 6.1.f i dataskyddsförordningen om den personuppgiftsansvariga (1) har ett berättigat intresse av behandlingen, (2) behandlingen av personuppgifter är nödvändigt för att uppnå det berättigade intresse som eftersträvas och (3) den registrerades intresse eller grundläggande rättigheter och friheter inte väger tyngre.  

Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott och därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av myndighet eller när behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Enligt 5 § förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning får uppgifter om lagöverträdelser behandlas av andra än myndigheter om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.  

Integritetsskyddsmyndigheten  

En fråga är om behandlingen av klagandens personuppgifter i det nu aktuella fallet har inneburit en behandling av sådana uppgifter som omfattas av artikel 10 i dataskyddsförordningen. 

Integritetsskyddsmyndigheten (IMY) gör följande bedömning.  

Av den aktuella uppgiften i rapporten är det möjligt att utläsa att den arbetssökande förekommit i en dom eller ett beslut från åklagarkammaren. Det är dock inte möjligt att utläsa i vilken egenskap klaganden förkommit, det vill säga om klaganden varit tilltalad, målsägande eller förekommit i någon annan egenskap. Det går därför inte att, genom att betrakta den aktuella uppgiften isolerat, sluta sig till att brottsuppgifter avseende den arbetssökande har behandlats. I rapporten framgår dock även ärendenummer, datum för meddelat beslut samt hänvisning och kontaktuppgifter till aktuell instans. Denna information gör det enkelt att inhämta kompletterande information, till exempel det aktuella beslutet. Denna kompletterande information kan i vissa fall innehålla uppgifter om lagöverträdelser avseende den enskilde som genomgår kontrollen. IMY anser att uppgifterna i rapporten i dessa fall kan anses utgöra uppgifter om lagöverträdelser. 

I det nu aktuella fallet har det dock framkommit att den aktuella domen eller beslutet är gallrad hos åklagarkammaren. Det har inte framkommit i ärendet att det funnits andra möjligheter att koppla de uppgifter som förekom i rapporten till brottsuppgifter avseende den arbetssökande. IMY bedömer därför sammantaget att det inte är visat i ärendet att bolaget har behandlat brottsuppgifter avseende den arbetssökande. 

IMY bedömer att det kan finnas ett berättigat intresse av att behandla personuppgifter i en bakgrundskontroll i samband med en rekrytering där det är nödvändigt att göra särskilda riskbedömningar. För att behandlingen av personuppgifter ska vara tillåten krävs även att behandlingen är nödvändig för det berättigade intresset.

Det har i ärendet framkommit att bolaget behandlat en uppgift om att klaganden förekommer i ett ärende hos åklagarkammaren från 2016. Det har vidare framkommit att den aktuella uppgiften är gallrad hos åklagarkammaren. Uppgiften är vidare ofullständig då det inte framgår i vilken egenskap den arbetssökandes uppgifter förekommer i den aktuella domen eller beslutet. Behandlingen av den aktuella uppgiften möjliggör enligt IMY:s bedömning inte någon reell riskbedömning för bolagets uppdragsgivare. Även uppgiftens ålder innebär att den saknar betydelse vid en riskbedömning. IMY bedömer mot denna bakgrund att uppgiften i rapporten om att klaganden förekommer i en dom eller ett beslut från åklagarkammaren från 2016 inte kan anses nödvändig att behandla i syfte att göra en riskbedömning i samband med rekrytering.  

Eftersom behandlingen inte varit nödvändig för det berättigade intresset har inte bolaget haft stöd i en intresseavvägning för den aktuella behandlingen. Bolaget har därför behandlat klagandens personuppgifter utan stöd i en rättslig grund enligt artikel 6 i dataskyddsförordningen. 

Behandlingen har fått negativa konsekvenser för den arbetssökande, då hon känt sig tvingad att acceptera att uppgifterna lämnades vidare till en potentiell arbetsgivare i samband med en rekryteringsprocess. Den typ av uppgift som behandlats riskerar att uppfattas som en uppgift om lagöverträdelse och är därmed av sådan karaktär att dess spridning till en potentiell arbetsgivare innebär en betydande nackdel för den registrerade och riskerar att påverka möjligheten till anställning negativt. 

Eftersom bolaget inte tidigare konstaterats överträtt dataskyddsförordningen bedömer IMY att det är fråga om en sådan mindre överträdelse i den mening som avses i skäl 148 i dataskyddsförordningen som medför att nämnden ska ges en reprimand enligt artikel 58.2 b i dataskyddsförordningen för den konstaterade överträdelsen. 

Referat av Integritetsskyddsmyndigheten 2026-01-23, mål nr dnr IMY-2024-16425.

Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 26 feb 2026

Carolina Engström

Jurist, redaktör

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

IT-avtal och offentlig upphandling i praktiken
IT-avtal och offentlig upphandling i praktiken
Cybersäkerhetslagen NIS2 – vad innebär den för din organisation?
Cybersäkerhetslagen NIS2 – vad innebär den för din organisation?
Cybersäkerhetslagen NIS2 i praktiken
Cybersäkerhetslagen NIS2 i praktiken
Se alla kurser inom it och dataskydd

Tjänster

JP ITnet

Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.

Webbkursbibliotek

Säkra en juridisk grundkompetens till alla i din organisation med en flexibel, effektiv och lättillgänglig kompetensutveckling.

Lagkommentar till öppna data-lagen

Lagkommentaren är skriven av Monika Wendleby. Kommentaren beskriver rättsläget och behandlar frågor som är relevanta för den praktiserande juristen.
Se alla tjänster inom it och dataskydd

Nyheter

Sanktioner och skadestånd – vad kan incidenter som Sportadmin lära oss?
IT och dataskydd

IMY utfärdade en sanktionsavgift på 6 miljoner kronor efter en incident hos Sportadmin. Vår expert Monika Wendleby analyserar beslutet. 

16 feb 2026

Dataskydd och informationssäkerhet – vad är skillnaden?
IT och dataskydd

Vår dataskyddsjurist Moa Lundgren förklarar skillnaden.

2 feb 2026

Anpassningar till AI-förordningen – en ny spelplan för svensk förvaltning och innovation
IT och dataskydd

Denna analys redogör för de centrala förslagen med särskilt fokus på den institutionella arkitekturen, sanktionssystemet och balansen mellan tillsyn och innovationsfrämjande åtgärder.

2 feb 2026

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Du kan när som helst ändra ditt samtycke till kakor.

Läs mer om kakor (cookies)

Dölj detaljer Visa detaljer Hantera kakor