Tillbaka

Bakgrundskontroller som underlag vid säkerhetsprövning

Det är nu möjligt att beställa GDPR-baserade bakgrundskontroller som kan användas som kompletterande underlag vid säkerhetsprövning.

Här beskriver vi vad det innebär i praktiken, hur ansvar och rollfördelning ser ut, och varför bakgrundskontroller som innehåller uppgifter om lagöverträdelser behöver genomföras med stöd av GDPR och vårt tillstånd från IMY.

Inledning

En bakgrundskontroll från Svensk Bakgrundsanalys är inte en säkerhetsprövning och inte en registerkontroll. Den kan däremot användas som kompletterande underlag i samband med grundutredningen och den samlade bedömning som verksamhetsutövaren ansvarar för.

Kunden ansvarar själv för att bedöma om säkerhetsskyddslagen är tillämplig på den verksamhet som den prövade individen ska delta i och om en säkerhetsprövning ska genomföras. Vi gör inte den bedömningen åt kunden.

En viktig utgångspunkt är att det i dagsläget inte finns ett tydligt rättsligt stöd i säkerhetsskyddslagen, säkerhetsskyddsförordningen, Säkerhetspolisens föreskrifter och Säkerhetspolisens vägledning för att privata verksamhetsutövare ska kunna behandla uppgifter om lagöverträdelser inom ramen för säkerhetsprövningens grundutredning. Vi genomför därför sådana kontroller med stöd av en intresseavvägning som genomförs vid varje enskild kontroll och vårt eget tillstånd från IMY för behandling av personuppgifter om lagöverträdelser.

Vi agerar som utgångspunkt som självständig personuppgiftsansvarig för våra tjänster. Undantaget är säkerhetsprövningsintervjuer inom ramen för säkerhetsprövning enligt säkerhetsskyddslagen, där vi – i den mån intervjun resulterar i behandling av personuppgifter – agerar som personuppgiftsbiträde. Våra övriga tjänster är standardiserade och skräddarsys inte efter enskilda kunders instruktioner.

Bakgrundskontroller och säkerhetsprövning

Säkerhetsskyddslagen ställer krav på säkerhetsprövning av den som genom anställning eller på annat sätt ska delta i säkerhetskänslig verksamhet. Säkerhetsprövningen är verksamhetsutövarens ansvar och består bland annat av en grundutredning. Om befattningen är placerad i säkerhetsklass ska grundutredningen även kompletteras med registerkontroll, som genomförs av Säkerhetspolisen

En bakgrundskontroll från Svensk Bakgrundsanalys ersätter inte säkerhetsprövningen och är inte en registerkontroll. Den kan däremot användas som kompletterande underlag i samband med grundutredningen och den samlade bedömning som verksamhetsutövaren ansvarar för.

Vem bedömer om säkerhetsskyddslagen gäller?

Det är kunden som ansvarar för att bedöma om säkerhetsskyddslagen är tillämplig på den verksamhet som den prövade individen ska delta i och om en säkerhetsprövning ska genomföras.

Det gäller oavsett om kunden själv är verksamhetsutövare enligt säkerhetsskyddslagen eller om behovet av säkerhetsprövning eller bakgrundskontroll uppkommer av andra skäl, exempelvis genom säkerhetsskyddsavtal, andra avtalsrättsliga åtaganden eller frivilliga kontroller av befattningar där det finns särskilda säkerhetsskäl. Svensk Bakgrundsanalys gör inte den bedömningen åt kunden.

Svensk Bakgrundsanalys tillhandahålla bakgrundskontroller som kan användas som kompletterande underlag vid säkerhetsprövningar. I samband med detta är vi personuppgiftsansvariga för den personuppgiftsbehandling som sker för att genomföra kontrollen. Kontrollen genomförs med stöd av GDPR och den rättsliga grunden berättigat intresse, samt vårt tillstånd från IMY vid behandling av personuppgifter om lagöverträdelser.

Behandling av personuppgifter om lagöverträdelser inom ramen för säkerhetsprövningen

Uppgifter om lagöverträdelser har ett särskilt skydd enligt dataskyddsförordningen. För privata aktörer krävs därför särskilt stöd för att sådana uppgifter ska få behandlas, exempelvis ett tillstånd från IMY eller stöd i lag, förordning eller föreskrift.

För bakgrundskontroller som innehåller uppgifter om lagöverträdelser är detta en central fråga. Det finns i dagsläget inte ett tydligt rättsligt stöd i säkerhetsskyddslagen, säkerhetsskyddsförordningen, Säkerhetspolisens föreskrifter och Säkerhetspolisens vägledning för att privata verksamhetsutövare ska kunna behandla uppgifter om lagöverträdelser inom ramen för grundutredningen vid säkerhetsprövning.

Detta gäller även om Säkerhetspolisens vägledning anger att grundutredningen kan omfatta frågeområden som brottslig belastning och inhämtning av information från öppna källor. Det sakas idag tydligt stöd i lag, domstolspraxis eller entydiga uttalanden från myndigheter som säger att vägledningen är en rättskälla av det slag GDPR kräver för att behandling av personuppgifter om lagöverträdelser ska vara tillåten. Registerkontroll, som är det moment i säkerhetsprövningen där personuppgifter om lagöverträdelser inhämtas och kontrolleras, är förbehållen Säkerhetspolisen.

Vi genomför därför bakgrundskontroller som innehåller personuppgifter om lagöverträdelser med stöd av vårt eget tillstånd från IMY och den rättsliga grunden berättigat intresse.

Frågan är dock föremål för fortsatt diskussion. I SOU 2024:88 föreslås att personuppgifter om lagöverträdelser uttryckligen ska ingå bland de personliga förhållanden som ska beaktas vid grundutredningen. Om förslaget leder till lagstiftning kan det på sikt innebära att verksamhetsutövare får lagstöd enligt säkerhetsskyddslagen för att behandla sådana uppgifter inom ramen för säkerhetsprövningar, utan att behandlingen behöver stödjas av ett särskilt tillstånd från IMY.

Rollfördelning

Vi agerar normalt som självständig personuppgiftsansvarig för våra tjänster, exempelvis bakgrundsanalyser, internetgranskningar, referenstagningar och dokumentverifikationer. Det beror på att tjänsterna är standardiserade, att de inte skräddarsys efter enskilda kunders instruktioner och att behandlingen sker med stöd av vårt eget tillstånd från IMY. Däremot genomför vi en intresseavvägning vid varje enskild kontroll.

Vid säkerhetsprövningsintervjuer som genomförs inom ramen för säkerhetsprövning enligt säkerhetsskyddslagen, på kundens instruktioner och med stöd av kundens rättsliga förpliktelse, agerar vi som personuppgiftsbiträde i relation till kunden. Denna tjänst tillhandahålls endast till kunder som träffas direkt av säkerhetsskyddslagen. Vid tillhandahållandet av dessa tjänster ingår vi ett personuppgiftsbiträdesavtal med kunden.

Skälet till rollfördelningen är att våra övriga tjänster i många fall går utöver vad som kan hänföras till kundens rättsliga förpliktelse enligt säkerhetsskyddslagen. De moment som ingår i en grundutredning är som utgångspunkt smalare än vad som omfattas av vissa av våra andra tjänster. Vi erbjuder därför verksamhetsutövare möjligheten att, inom ramen för sitt säkerhetsarbete, genomföra en relevant kontroll som motsvarar sådana kontroller som kan göras utanför det säkerhetsskyddsklassade området, som del av och komplement till en grundutredning.

Så beställer ni i portalen

Beställningen görs direkt i portalen genom att välja produkten ”Bakgrundsanalys – Säkerhetsprövning” och ange ”Deltagande i säkerhetskänslig verksamhet” som grund för intresseavvägningen.

I beställningsprocessen anges de uppgifter som efterfrågas i portalen. Kontaktuppgifter till den person som ska kontrolleras inhämtas i syfte att möjliggöra information till den registrerade om den personuppgiftsbehandling som sker inom ramen för kontrollen.

Frågor och svar (FAQ) – Bakgrundsanalys och säkerhetsprövning

Uppgifter om lagöverträdelser omfattas av artikel 10 i dataskyddsförordningen och får som utgångspunkt inte behandlas av privata aktörer utan särskilt stöd. I praktiken innebär detta att behandlingen måste vila på antingen (i) ett tillstånd från Integritetsskyddsmyndigheten (IMY), (ii) tillräckligt tydligt stöd i lag, förordning eller föreskrift, eller (iii) ett förfarande som faller utanför dataskyddsförordningens materiella tillämpningsområde. Svensk Bakgrundsanalys innehar ett eget IMY-tillstånd för behandling av personuppgifter om lagöverträdelser, vilket innebär att bakgrundsanalyser som innehåller sådana uppgifter genomförs med stöd av detta tillstånd i kombination med berättigat intresse som rättslig grund enligt artikel 6.1 f dataskyddsförordningen. Svensk Bakgrundsanalys har tidigare tillhandahållit bakgrundsanalyser med stöd av bolagets utgivningsbevis men håller successivt på att övergå till en ny tjänstemodell för samtliga tjänster.

Nej. Varken säkerhetsskyddslagen, säkerhetsskyddsförordningen, Säkerhetspolisens föreskrifter eller Säkerhetspolisens vägledning utgör i dagsläget en tillräckligt tydlig rättslig grund för en privat verksamhetsutövares behandling av personuppgifter om lagöverträdelser inom ramen för grundutredningen. Detta gäller såväl den verksamhetsutövare som själv står under säkerhetsskyddslagens krav som den som har en avtalsrättslig skyldighet att genomföra en säkerhetsprövning.

Registerkontrollen, som är det moment där uppgifter om lagöverträdelser systematiskt inhämtas, är förbehållen Säkerhetspolisen. Säkerhetspolisens vägledning anger visserligen att grundutredningen kan omfatta frågeområden som brottslig belastning, men det finns idag ingen domstolspraxis eller entydiga uttalanden från myndigheter som säger att vägledningen utgör en rättskälla av det slag som artikel 10 dataskyddsförordningen kräver.

Rättsläget är dock under förändring; i SOU 2024:88 föreslås att personuppgifter om lagöverträdelser uttryckligen ska ingå bland de personliga förhållanden som ska beaktas vid grundutredningen, vilket på sikt kan ge verksamhetsutövare ett tydligare lagstöd. I avsaknad av ett sådant lagstöd är det i dagsläget ändamålsenligt för verksamhetsutövare som önskar genomföra sådana kontroller att anlita en leverantör som innehar eget tillstånd att behandla uppgifter om lagöverträdelser.

Ja. Eftersom Svensk Bakgrundsanalys agerar som självständigt personuppgiftsansvarig för bakgrundsanalysen och genomför behandlingen med stöd av sitt eget IMY-tillstånd, behöver kunden inte själv ha en rättslig grund för behandling av uppgifter om lagöverträdelser för att kunna beställa tjänsten. Svensk Bakgrundsanalys är ansvariga för att bedöma om det föreligger en rättslig grund enligt dataskyddsförordningen, Svensk Bakgrundsanalys tillämpar den rättsliga grunden berättigat intresse vid genomförandet av bakgrundsanalyser. Kunden tar del av den färdiga rapporten och ansvarar därefter för sin egen behandling av de personuppgifter som ingår i rapporten. Om kunden dokumenterar eller registrerar uppgifter om lagöverträdelser från rapporten i egna system utgör detta en ny behandling som kunden själv ansvarar för och som kräver en egen rättslig grund. Att ta del av informationen i våra system utgör inte en sådan behandling.

Svensk Bakgrundsanalys agerar som utgångspunkt som självständigt personuppgiftsansvarig för de allra flesta tjänster, inbegripet bakgrundsanalyser, internetgranskningar, referenstagningar och dokumentverifikationer. Detta gäller oavsett om kontrollen beställs inom ramen för en säkerhetsprövning eller som en fristående bakgrundskontroll. Anledningen är att det är Svensk Bakgrundsanalys som bestämmer ändamål och medel för behandlingen. Bortsett från den intresseavvägning som görs i varje enskilt fall är tjänsterna standardiserade och skräddarsys inte efter enskilda kunders instruktioner. Ett undantag gäller för säkerhetsprövningsintervjuer som genomförs enligt säkerhetsskyddslagen, där Svensk Bakgrundsanalys, i den mån intervjun resulterar i behandling av personuppgifter, agerar som personuppgiftsbiträde åt kunden. I den delen tecknas ett personuppgiftsbiträdesavtal mellan parterna.

Nej. Bakgrundsanalysen genomförs med stöd av IMY-tillståndet och dataskyddsförordningen, och de villkor och begränsningar som följer av tillståndet gäller oavsett om rapporten ska användas inom ramen för en säkerhetsprövning eller för annat ändamål. Rapporten kan således inte göras mer omfattande eller innehålla fler personuppgifter enbart på grund av att den ska användas i en säkerhetsprövning.

För kunder som omfattas av säkerhetsskyddslagens krav kan det finnas utrymme att inkludera viss information om den kontrollerade personens krets (exempelvis make, maka eller sambo) i den utsträckning uppgifterna inte avser lagöverträdelser och behandlingen bedöms proportionerlig och nödvändig. Uppgifter om lagöverträdelser avseende den kontrollerades krets ingår dock inte i bakgrundsanalysen oavsett kundkategori.

Svensk Bakgrundsanalys genomför en dokumenterad intresseavvägning för varje bakgrundsanalys. Om den kontrollerade ska delta i säkerhetskänslig verksamhet utgör detta en omständighet som typiskt sett stärker det berättigade intresset av kontrollen, vilket beaktas i intresseavvägningen och innebär att det berättigade intresset i regel väger tyngre i förhållande till den registrerades intresse av skydd för sina personuppgifter.

Kunden behöver inte själv genomföra intresseavvägningen; detta ansvarar Svensk Bakgrundsanalys för i egenskap av personuppgiftsansvarig. Kunden ansvarar för att uppfylla dataskyddsförordningens krav avseende sin överföring av personuppgifter till Svensk Bakgrundsanalys samt för eventuell vidarebehandling av uppgifter som ingår i rapporten och som kunden överför till sina egna system.

En grundutredning är ett lagreglerat förfarande enligt säkerhetsskyddslagen som ska genomföras innan en person får tillgång till i säkerhetskänslig verksamhet. Grundutredningen omfattar identitetskontroll, säkerhetsprövningsintervju, granskning av betyg, intyg och meritförteckning, referenstagning samt inhämtning av information från öppna källor i den mån det bedöms relevant. Syftet är att klarlägga om personen kan antas vara lojal mot de intressen som skyddas av säkerhetsskyddslagen, om personen är pålitlig från säkerhetssynpunkt samt att utreda eventuella sårbarheter i säkerhetshänseende. En bakgrundskontroll är däremot ett frivilligt förfarande som inte regleras av säkerhetsskyddslagen utan genomförs med stöd av dataskyddsförordningen och berättigat intresse som rättslig grund.


Svensk Bakgrundsanalys tjänst Bakgrundsanalys genomförs med stöd av bolagets IMY-tillstånd och berättigat intresse, oavsett om den beställs inom ramen för en säkerhetsprövning i syfte att utgöra en del av grundutredningen eller som en frivillig bakgrundskontroll. Bakgrundsanalysen är typiskt sett bredare till sin omfattning än vad som krävs enligt grundutredningen, eftersom den bland annat kan innehålla uppgifter om lagöverträdelser. Behandling av uppgifter om lagöverträdelser är som utgångspunkt otillåten utan tillstånd eller stöd i lag och utgör inte en del av grundutredningen enligt gällande rätt. Svensk Bakgrundsanalys innehar ett sådant tillstånd och har därför rätt att behandla uppgifter om lagöverträdelser i de fall det föreligger ett berättigat intresse.


Den praktiska skillnaden för kunder som omfattas av säkerhetsskyddslagens krav är att bakgrundsanalysen utgör ett komplement till grundutredningen, medan bakgrundsanalysen vid en frivillig bakgrundskontroll utgör en fristående kontroll utan koppling till säkerhetsskyddslagens krav.

I beställningsprocessen ställs frågan om kontrollen avser en person som ska delta i säkerhetskänslig verksamhet. Syftet med frågan är att ge underlag för att avgöra vilken rättslig grund och vilken rollfördelning som ska tillämpas samt för att bedöma om det föreligger berättigat intresse. Svensk Bakgrundsanalys gör inte en självständig bedömning av säkerhetsskyddslagens tillämplighet på kundens verksamhet; denna bedömning åvilar kunden.

Säkerhetsprövningen enligt säkerhetsskyddslagen ska genomföras innan en person deltar i säkerhetskänslig verksamhet och ska därefter följas upp fortlöpande under den tid deltagandet pågår. Prövningen syftar till att klarlägga om personen kan antas vara lojal mot de intressen som skyddas av säkerhetsskyddslagen, om personen är pålitlig från säkerhetssynpunkt samt att utreda eventuella sårbarheter i säkerhetshänseende. Säkerhetsprövningen består av följande steg:

  1. Grundutredning. Grundutredningen utgör det första steget och genomförs av verksamhetsutövaren. Den omfattar
    • identitetskontroll,
    • säkerhetsprövningsintervju, vid vilken den prövades lojalitet, pålitlighet och eventuella sårbarheter bedöms,
    • granskning av betyg, intyg och meritförteckning, vilka bör kontrolleras mot utfärdande högskolor, universitet och arbetsgivare,
    • referenstagning, varvid åtminstone en referent bör ha en chefs- eller arbetsledande ställning gentemot den prövade, samt
    • inhämtning av information från öppna källor i den mån det bedöms relevant.
      Grundutredningen ska resultera i en helhetsbedömning av samtliga uppgifter som framkommit. Om den prövade efter grundutredningen inte bedöms uppfylla kraven för godkänd säkerhetsprövning ska registerkontroll inte genomföras.
  2. Registerkontroll. Om den befattning som prövningen avser har placerats i säkerhetsklass ska grundutredningen kompletteras med en registerkontroll. Registerkontrollen genomförs uteslutande av Säkerhetspolisen och innebär att uppgifter inhämtas från belastningsregistret, misstankeregistret samt Säkerhetspolisens egna register. Ansökan om registerkontroll får göras först efter att den prövade har genomgått en godkänd grundutredning och lämnat sitt skriftliga samtycke enligt säkerhetsskyddslagen.

    Vid registerkontroll i säkerhetsklass 1 och 2 kontrolleras även den kontrollerades make, maka eller sambo (s.k. medkontrollerad). Om uppgifter framkommer vid registerkontrollen fattar Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden beslut om huruvida uppgifterna ska lämnas ut till verksamhetsutövaren. Säkerhetspolisen genomför därefter kontinuerliga kontroller mot aktuella register så länge registerkontrollen är aktiv.
  3. Särskild personutredning. Vid placering i säkerhetsklass 1 och 2 ska register­kontrollen kompletteras med en särskild personutredning, vilken genomförs uteslutande av Säkerhetspolisen. Utredningen omfattar bland annat en undersökning av den kontrollerades och eventuell medkontrollerades ekonomiska förhållanden. Vid placering i säkerhetsklass 1 genomför Säkerhetspolisen normalt även ett personligt samtal med den prövade.
  4. Uppföljande säkerhetsprövning. Säkerhetsprövningen ska fortlöpande följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. Syftet är att behålla och fördjupa personkännedomen samt att tidigt upptäcka förändringar i attityd och beteende. Den uppföljande säkerhetsprövningen genomförs av verksamhetsutövaren. Säkerhetspolisen fortsätter kontinuerligt att kontrollera de personer som är föremål för registerkontroll mot aktuella register till dess verksamhetsutövaren avanmäler en aktiv registerkontroll.
  5. Avslutande säkerhetssamtal. När en anställning eller ett deltagande som föranlett säkerhetsprövning avslutas ska ett avslutande säkerhetssamtal genomföras, om det inte är uppenbart obehövligt.

Sammanfattningsvis är det registerkontroll och särskild personutredning som uteslutande genomförs av Säkerhetspolisen. Grundutredningen, den uppföljande säkerhetsprövningen och det avslutande säkerhetssamtalet genomförs av verksamhetsutövaren, som också fattar det slutliga beslutet om anställning eller deltagande efter genomförd säkerhetsprövning.

Kontakt

Behöver du komma i kontakt med oss?

010-491 12 27

[email protected]

Läs mer

Alla artiklar

Anmäl dig till vårt nyhetsbrev!

Följ oss och vårt arbete,
anmäl dig till vårt nyhetsbrev.

Adress

Holländargatan 20

111 60 Stockholm

Kontakt

010-491 12 27

[email protected]

Följ oss

Adress

Holländargatan 20

111 60 Stockholm

Kontakt

010-491 12 27

[email protected]

Följ oss