Lagstiftning för bakgrundskontroller

Bakgrundskontroller, lagen och GDPR – vad gäller?

Bakgrundskontroller är ett viktigt verktyg för att fatta trygga beslut vid rekrytering, leverantörsrelationer och i säkerhetskänslig verksamhet. Samtidigt upplevs regelverket ofta som komplext – särskilt där olika lagar möts och praxis utvecklas.

Många arbetsgivare och upphandlare tvekar därför, trots att de både har behov av och rätt till att kontrollera personer i känsliga positioner. Den här sidan förklarar vad som faktiskt gäller: vilka lagar som styr, vad som är tillåtet, bland annat enligt GDPR, vilka förändringar som är på gång och hur en bakgrundskontroll kan genomföras på ett lagligt och ansvarsfullt sätt.

Har du frågor eller vill veta mer om hur en kontroll kan genomföras i praktiken? Du är välkommen att kontakta oss.

Kontakta oss

Tre olika lagstöd för bakgrundskontroller

Flera olika lagar och regelverk styr hur och när en bakgrundskontroll får genomföras. All behandling av personuppgifter som rör lagöverträdelser kräver särskilt lagstöd.

Uppgifter om lagöverträdelser – som ofta utgör en central del i en bakgrundskontroll – omfattas av det särskilda skyddet i artikel 10 i dataskyddsförordningen (GDPR). Sådana uppgifter får endast behandlas av behöriga myndigheter eller av aktörer som har uttryckligt lagstöd.

I Sverige finns idag tre huvudsakliga lagstöd som gör det möjligt att behandla brottsuppgifter i samband med bakgrundskontroller: utgivningsbevis enligt tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL), tillstånd från Integritetsskyddsmyndigheten (IMY) enligt GDPR samt säkerhetsprövning enligt säkerhetsskyddslagen. Genom att förstå när respektive regelverk är tillämpligt kan du fatta rätt beslut vid varje typ av kontroll.

Utgivningsbevis: Ett bakgrundskontrollföretag som har ett utgivningsbevis har rätt att publicera och tillgängliggöra uppgifter om brott, på samma sätt som en tidning eller annan redaktionell verksamhet. När ett utgivningsbevis används står verksamheten utanför GDPR.

Tillstånd från IMY: Integritetsskyddsmyndigheten kan bevilja professionella bakgrundskontrollföretag tillstånd att behandla uppgifter om lagöverträdelser. För att få ett sådant tillstånd krävs att företaget uppfyller de höga kraven som ställs enligt GDPR på exempelvis informationssäkerhet, rättssäkerhet och att behandlingen sker med ett tydligt och berättigat syfte.

Säkerhetsprövning: När en person ska placeras i en säkerhetsklassad tjänst finns uttryckligt lagstöd för att behandla brottsuppgifter som en del av säkerhetsprövningen. Detta sker genom den registerkontroll som Säkerhetspolisen eller annan behörig myndighet ansvarar för.

Det är alltså endast under dessa särskilda förutsättningar som uppgifter om brott får behandlas inom ramen för en bakgrundskontroll.

Bakgrundskontroller med stöd av utgivningsbevis

Enligt svensk lagstiftning är det möjligt att grundlagsskydda databaser. Detta unika rättsliga ramverk ger den som driver en skyddad databas långtgående rättigheter genom ett grundlagsskydd likt svenska massmedier. Vidare innebär grundlagsskyddet att den omfattas av exklusivitetsprincipen, vilken innebär att den som är ansvarig för en grundlagsskyddad databas endast kan åtalas eller dömas till ansvar eller ersättningsskyldighet för missbruk som följer av grundlagen. Detta innebär att GDPR:s regler inte tillämpas på information som lagras i en grundlagsskyddad databas.

Ett bakgrundskontrollföretag som driver en grundlagsskyddad databas får därmed behandla och tillgängliggöra personuppgifter – inklusive uppgifter om brott – utan att uppfylla kraven enligt GDPR. Det innebär att exempelvis samtycke, intresseavvägning eller annan rättslig grund enligt GDPR inte krävs för publicering i databasen. För att få ett utgivningsbevis krävs att det finns en ansvarig utgivare samt att villkoren i 1 kap. 5 § yttrandefrihetsgrundlagen (YGL) är uppfyllda.

Däremot gäller GDPR fortfarande för all behandling av personuppgifter som sker utanför den grundlagsskyddade databasen, exempelvis administration av kunduppgifter eller användarkonton. En grundlagsskyddad databas kan exempelvis bedrivas för att tillhandahålla information för genomförandet av bakgrundskontroller.

💡 Observera att det pågår förändringar inom detta rättsområde, vilket innebär att rättsläget utvecklas kontinuerligt. Uppdateringar av denna text sker löpande i takt med utvecklingen. Mer information om rättsutvecklingen finns i avsnittet Rättsutveckling.

Lär dig mer

Informationsfrihet för uppdragsgivare

En vanlig fråga är huruvida en uppdragsgivare som beställer en bakgrundskontroll har rätt att ta del av rapporten inom ramen för bakgrundskontrollföretagets utgivningsbevis, eller om detta i sig utgör en personuppgiftsbehandling som omfattas av GDPR. Det avgörande är att förstå sambandet mellan yttrandefrihet och informationsfrihet.

Enligt Regeringsformen och YGL har varje individ inte bara rätt att uttrycka sig, utan även rätt att ta del av andras yttranden – den så kallade informationsfriheten. Denna rätt är en förutsättning för att yttrandefriheten ska ha faktisk betydelse. Om det inte fanns en motsvarande rätt att ta del av information skulle yttrandefriheten sakna praktisk innebörd. Eller uttryckt på ett annat sätt – om medborgare inte har rätt att läsa en tidningsartikel, finns det ingen mening med att låta exempelvis DN publicera den.

Detta innebär att när en uppdragsgivare tar del av en bakgrundsrapport endast för att läsa och tillgodogöra sig informationen, omfattas även mottagaren av det grundlagsskyddade området. Sådan användning utgör inte en självständig personuppgiftsbehandling i GDPR:s mening, utan faller inom undantaget för yttrandefrihet och informationsfrihet.

Det är det publicerande bolaget – det vill säga innehavaren av utgivningsbeviset – som ensam avgör metod, urval och innehåll i de publicerade rapporterna. Uppdragsgivaren har ingen möjlighet att påverka vare sig vilka uppgifter som behandlas eller hur analysen utformas. Därför är det inte heller fråga om gemensamt personuppgiftsansvar, och uppdragsgivaren bär inte ansvar för den behandling som föregår publiceringen.

Om uppdragsgivaren däremot använder informationen för vidare personuppgiftsbehandling – till exempel genom att lagra den, analysera den eller föra den vidare till ett annat system – kan den efterföljande behandlingen omfattas av GDPR.

Säkerhetsportalen har en inbyggd funktion som automatiskt uppmärksammar användaren på att nedladdning av en rapport kan innebära behandling av personuppgifter, vilket i sådant fall kan omfattas av GDPR.

Fördjupning

Det svenska grundlagsskyddet

I Sverige regleras informations- och yttrandefriheten på grundlagsnivå. I 2 kap. 1 § punkterna 1–2 regeringsformen (1974:152) föreskrivs dels en rätt för var och en att i tal, skrift, bild eller på annat sätt meddela upplysningar, dels en rätt att inhämta och ta emot upplysningar och andras yttranden. Yttrandefriheten och rätten att uttrycka sin åsikt i radio och tv regleras vidare i YGL.

Publiceringar på internet faller som huvudregel utanför YGL:s tillämpningsområde. Normalt är därför dataskyddslagstiftningen tillämplig på sådana publiceringar, i den mån de omfattar personuppgifter. För denna typ av publicering krävs bland annat ett specifikt ändamål och en laglig grund enligt GDPR.

Det finns dock ett viktigt undantag i form av den så kallade databasregeln, som framgår av 1 kap. 4 § YGL. När databasregeln är tillämplig ska GDPR inte gälla i den utsträckning som dess bestämmelser skulle stå i strid med YGL.

För vissa aktörer – exempelvis etablerade massmedier – gäller detta grundlagsskydd automatiskt. Andra aktörer, såsom bakgrundskontrollföretag, kan i stället ansöka om motsvarande skydd i form av ett frivilligt utgivningsbevis hos Mediemyndigheten. Myndigheten prövar bland annat om databasen har en ansvarig utgivare och om innehållet endast kan ändras av den som driver verksamheten.

Med ett frivilligt utgivningsbevis gäller därmed grundlagsskyddet även för dessa aktörer, vilket innebär att personuppgifter får publiceras i databasen utan att dataskyddslagstiftningen blir tillämplig.

Gränssnittet mellan dataskyddslagstiftningen och yttrandefriheten i svensk rätt

I lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) återfinns i 1 kap. 7 § en undantagsbestämmelse till reglerna i GDPR meddelad med stöd av artikel 85 i GDPR. I paragrafens första stycke anges att GDPR och dataskyddslagen inte ska tillämpas i den utsträckning detta skulle strida mot tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL).

I paragrafens andra stycke görs undantag för yttrande- och informationsfriheten även utanför det grundlagsskyddade området, nämligen för behandling av personuppgifter som sker för (i) journalistiska ändamål (det så kallade undantaget för journalistisk verksamhet) eller för (ii) akademiskt, konstnärligt eller litterärt skapande.

IMY har påtalat att begreppet journalistisk verksamhet ska tolkas extensivt. Av domstolspraxis framgår att journalistisk verksamhet omfattar sådan verksamhet som syftar till att sprida information, åsikter eller idéer till allmänheten – oavsett vilket medium som används. IMY har dock betonat att för att undantaget ska kunna åberopas krävs en tydlig och relevant koppling mellan de behandlade personuppgifterna och ett redaktionellt inslag, exempelvis en artikel eller en rättslig analys.

Enligt 1 kap. 20 § YGL finns möjlighet att genom lag begränsa publicering av känsliga personuppgifter, där GDPR anses vara sådan lag. Detta innebär att känsliga personuppgifter som görs offentliga genom särskilda uppgiftssamlingar kan undantas från det grundlagsskydd som annars gäller. Exempel på sådan information är enligt praxis avgörande i psykiatrimål och LVM-mål då dessa innehåller personuppgifter om hälsa, vilket gör dem till känsliga personuppgifter som inte får publiceras utan stöd i dataskyddslagstiftningen.

Frågan om hur dessa regler förhåller sig till publicering av uppgifter om lagöverträdelser har även varit föremål för politisk diskussion – se vidare nästa avsnitt.

Rättsliga överväganden

Integritetsskyddet och yttrandefriheten måste ständigt vägas mot varandra. Ingen av dessa rättigheter är absolut. Den i svensk grundlag stadgade databasregeln ska, och bör, tolkas i ljuset av denna balans.

Tack vare databasregeln har databaser – såsom den som tillhandahålls av Svensk Bakgrundsanalys – möjlighet att erhålla frivilliga utgivningsbevis och därigenom tillhandahålla våra tjänster.

Databasregeln innebär inte att det saknas regler att förhålla sig till för den som innehar ett utgivningsbevis. Möjligheten att erhålla ett utgivningsbevis innebär snarare ett skifte av regelverk: från GDPR till den svenska grundlagen. När en databas har beviljats utgivningsbevis skyddas den enskildes rättigheter genom grundlagsskyddet, och den enskilde kan hålla den ansvarige utgivaren rättsligt ansvarig för material som publiceras i databasen.

Vid flera tillfällen har det utretts om begränsningar ska införas i grundlagen kopplat till publicering av uppgifter om lagöverträdelser. I samtliga fall har Riksdagen valt att inte införa någon sådan begränsning, vilket innebär att databaser med utgivningsbevis idag har rätt att publicera brottmålsdomar.

Detta visar tydligt att det inte funnits någon politisk vilja att begränsa yttrandefriheten på området. Avsaknaden av reglering ger därmed ytterligare stöd för legitimiteten i att databaser med utgivningsbevis kan publicera bakgrundsanalyser som innehåller information om begångna lagöverträdelser. Under 2024 presenterades dock en grundlagsutredning med förslag om vissa förändringar – se vidare under avsnittet Rättsutveckling.

I Sverige finns idag tre huvudsakliga lagstöd som gör det möjligt att behandla brottsuppgifter i samband med bakgrundskontroller.

Kontakta oss

Bakgrundskontroller med stöd av GDPR

Bakgrundskontroller som inte genomförs med stöd av ett utgivningsbevis eller säkerhetsskyddslagstiftningen omfattas av dataskyddsförordningen (GDPR). Personuppgifter får då endast behandlas om det finns en giltig rättslig grund och behandlingen följer GDPR:s grundprinciper: laglighet, transparens, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsbegränsning samt integritet och konfidentialitet.

Lär dig mer

Rättslig grund

Vid bakgrundskontroller enligt GDPR används ofta berättigat intresse enligt artikel 6.1 f. Det kräver en dokumenterad intresseavvägning (Legitimate Interest Assessment, LIA) som visar att ändamålet är legitimt, att behandlingen är nödvändig och att integritetsintresset inte väger tyngre än kontrollens syfte, med lämpliga skyddsåtgärder på plats.

Uppgifter om lagöverträdelser

Uppgifter som rör lagöverträdelser regleras i artikel 10 och omfattas av särskilt höga krav. Som huvudregel får sådan behandling endast ske under myndighetskontroll eller med uttryckligt lagstöd. Integritetsskyddsmyndigheten (IMY) har möjlighet att bevilja tillstånd för behandling av uppgifter om lagöverträdelser. För att beviljas ett sådant tillstånd krävs att den personuppgiftsansvarige (den som ansvarar för behandlingen av uppgifterna) kan visa att reglerna i GDPR följs. Utan särskilt lagstöd eller tillstånd får uppgifter om lagöverträdelser inte behandlas, exempelvis får de inte då ingå i en bakgrundskontroll.

Svensk Bakgrundsanalys har, som ett av få bakgrundskontrollföretag i Sverige, beviljats ett sådant tillstånd från IMY.

Känsliga personuppgifter

Särskilda kategorier av personuppgifter enligt artikel 9 – till exempel uppgifter om hälsa, facklig tillhörighet eller religiös övertygelse – omfattas av ett generellt förbud. Undantagen i artikel 9.2 är sällan tillämpliga vid bakgrundskontroller, vilket innebär att sådana uppgifter i praktiken inte får behandlas inom ramen för en bakgrundskontroll.

Fördjupning

Den rättsliga grunden berättigat intresse

Vid bakgrundskontroller enligt GDPR används ofta berättigat intresse (artikel 6.1 f) som rättslig grund. För att den ska kunna tillämpas måste den personuppgiftsansvarige visa att syftet är legitimt, att behandlingen är nödvändig och att den registrerades intresse av skydd för sin integritet inte väger tyngre. Prövningen görs genom en individuell och uppdragsspecifik intresseavvägning (LIA).

Om uppdragsgivaren vidarebehandlar uppgifterna, till exempel genom att lagra eller omstrukturera uppgifterna, är uppdragsgivaren personuppgiftsansvarig för denna behandling och behöver ha en egen rättslig grund.

För privata uppdragsgivare är berättigat intresse ofta även den rättsliga grunden för denna vidarebehandling. Offentliga myndigheter behöver däremot som huvudregel stödja sin egen behandling på artikel 6.1 c (rättslig förpliktelse) och eller artikel 6.1 e (uppgift av allmänt intresse eller myndighetsutövning), med stöd i den lagstiftning och de regler som styr verksamheten, till exempel krav på lämplighets- och säkerhetsprövningar vid rekrytering eller kontroll av leverantörer.

När berättigat intresse används som rättslig grund ska detta alltid prövas genom en intresseavvägning. Prövningen görs genom en intresseavvägning (LIA) som alltid ska vara individuell och uppdragsspecifik – aldrig generell eller schablonmässig. Tabellen nedan visar hur kriterierna i LIA kan bedömas och skillnaden mellan när de är uppfyllda respektive inte uppfyllda.

Kriterium (LIA-test)	✅ Berättigat intresse kan användas	❌ Berättigat intresse kan inte användas
Syfte (Ändamålsbedömning)	Arbetsrelaterat och tydligt syfte, t.ex. verifiera identitet, meriter eller hantera risk i förtroenderoller.	Allmän nyfikenhet eller rutinmässiga kontroller utan koppling till arbetsuppgifter.
Nödvändighet (minsta intrång)	Endast relevanta och nödvändiga uppgifter. Syftet kan inte nås med mindre integritetsintrång.	För bred datainsamling eller rutinmässiga kontroller, t.ex. kreditupplysning utan legitimt (beaktansvärt) behov.
Balans (intresseavvägning)	Arbetsgivarens behov väger tyngre. Rimligt för den registrerade. Integritetsintrång begränsas genom dataminimering och transparens.	Intrånget väger tyngre. Behandlingen ligger utanför den registrerades rimliga förväntningar eller är oproportionerlig, och skyddsåtgärder saknas.
Bedömning	Kriterierna uppfyllda och dokumenterade. Artikel 6.1 f kan användas.	Kriterierna inte uppfyllda. Berättigat intresse kan inte användas. Risk för olaglig behandling och förtroendeskada.

Syfte (Ändamålsbedömning)

✅ Berättigat intresse kan användas:

Arbetsrelaterat och tydligt syfte, t.ex. verifiera identitet, meriter eller hantera risk i förtroenderoller.

❌ Berättigat intresse kan inte användas:

Allmän nyfikenhet eller rutinmässiga kontroller utan koppling till arbetsuppgifter.

Nödvändighet (minsta intrång)

✅ Berättigat intresse kan användas:

Endast relevanta och nödvändiga uppgifter. Syftet kan inte nås med mindre integritetsintrång.

❌ Berättigat intresse kan inte användas:

För bred datainsamling eller rutinmässiga kontroller, t.ex. kreditupplysning utan legitimt (beaktansvärt) behov.

Balans (intresseavvägning)

✅ Berättigat intresse kan användas:

Arbetsgivarens behov väger tyngre. Rimligt för den registrerade. Integritetsintrång begränsas genom dataminimering och transparens.

❌ Berättigat intresse kan inte användas:

Intrånget väger tyngre. Behandlingen ligger utanför den registrerades rimliga förväntningar eller är oproportionerlig, och skyddsåtgärder saknas.

Bedömning

✅ Berättigat intresse kan användas:

Kriterierna uppfyllda och dokumenterade. Artikel 6.1 f kan användas.

❌ Berättigat intresse kan inte användas:

Kriterierna inte uppfyllda. Berättigat intresse kan inte användas. Risk för olaglig behandling och förtroendeskada.

Observera: Samtycke är som huvudregel inte en giltig rättslig grund för bakgrundskontroller inför anställning, eftersom det på grund av beroendeställningen sällan kan anses frivilligt – och dessutom när som helst kan återkallas. Därför används i stället berättigat intresse när kriterierna i tabellen är uppfyllda.

Tre-stegsmodellen för intresseavvägning (LIA)

Ändamålsbedömning: Ändamålet måste vara legitimt och sakligt, exempelvis att verifiera identitet, meriter eller eventuella oegentligheter för en säker och korrekt rekrytering eller leverantörsrelation.
Nödvändighetsbedömning: Behandlingen ska vara proportionerlig i förhållande till ändamålet och det får inte finnas mindre integritetskänsliga alternativ som kan uppnå samma syfte.
Intresseavvägning: Uppdragsgivarens behov och syfte ska vägas mot risker, förväntningar och konsekvenser för den registrerade. Här ska även skyddsåtgärder finnas, till exempel utökade säkerhetsrutiner eller begränsningar avseende behandlingen.

När behandling sker med stöd av berättigat intresse har den registrerade rätt att invända mot behandlingen (artikel 21). Hur den rätten fungerar i praktiken beskrivs i avsnittet Den kontrollerades rättigheter.

GDPR innehåller inga formkrav för dokumentationen, men god dataskyddssed och IMY:s praxis är att intresseavvägningen ska dokumenteras skriftligen. Dokumentationen bör omfatta syfte, nödvändighet, proportionalitet, skyddsåtgärder och bedömd påverkan på den registrerade.

Så arbetar vi med rättslig grund

Svensk Bakgrundsanalys genomför en intresseavvägning (LIA) för varje enskild bakgrundskontroll som utförs med stöd av GDPR. Om en beställning omfattar flera personer eller olika typer av kontroller görs en separat intresseavvägning för varje individ och varje kontrolltyp. Bedömningen inom en och samma beställning kan därför skilja sig åt beroende på bland annat vilka uppgifter som behandlas och vilket syfte som ska uppnås med behandlingen.

För att möjliggöra en fullständig och korrekt bedömning inhämtas nödvändig information från uppdragsgivaren för att kunna genomföra LIA.

Steg-för-steg-guide för att pröva berättigat intresse

Steg 1: Identifiera syftet

Finns det en konkret eller sannolik risk att den aktuella rollen eller relationen kan missbrukas på ett sätt som skulle kunna ha en betydande påverkan på organisationens säkerhet, ekonomi eller renommé?

Ingen betydande risk – bakgrundskontroll får inte genomföras.

Ingen betydande risk – bakgrundskontroll får inte genomföras

Steg 2: Identifiera kategorier av personuppgifter

Kommer bakgrundskontrollen att omfatta personuppgifter om lagöverträdelser (t.ex. domar, straffrättsliga påföljder eller misstankar om brott)?

Kontroll omfattar endast vanliga personuppgifter – gå vidare till steg 4.

Kommer bakgrundskontrollen att omfatta personuppgifter om lagöverträdelser (t.ex. domar, straffrättsliga påföljder eller misstankar om brott)?

Kontroll omfattar endast vanliga personuppgifter – gå vidare till steg 4.

Steg 3: Kontrollera tillstånd

Har den som utför kontrollen tillstånd från IMY att behandla uppgifter om lagöverträdelser enligt artikel 10 GDPR?

Kontroll som omfattar personuppgifter om lagöverträdelser får inte utföras.

Har den som utför kontrollen tillstånd från IMY att behandla uppgifter om lagöverträdelser enligt artikel 10 GDPR?

Kontroll som omfattar personuppgifter om lagöverträdelser får inte utföras.

Steg 4: Genomför intresseavvägning (LIA)

Väger organisationens berättigade intresse tyngre än den registrerades integritet? Bedöm utifrån ändamål, nödvändighet och balans.

Kontroll får inte genomföras med berättigat intresse som rättslig grund.

Väger organisationens berättigade intresse tyngre än den registrerades integritet? Bedöm utifrån ändamål, nödvändighet och balans.

Kontroll får inte genomföras med berättigat intresse som rättslig grund.

Steg 5: Dokumentera bedömningen

Är intresseavvägningen dokumenterad i enlighet med god dataskyddspraxis?

Steg 6: Besluta och genomför

Om intresseavvägningen visar berättigat intresse:
– Utför endast nödvändig behandling
– Skydda data enligt GDPR (kryptering, åtkomstbegränsning)
– Övervaka kontinuerligt och radera när syftet upphör

💡 Tips:

Säkerställ att behandlingen ligger inom det syfte som dokumenterats i intresseavvägningen.
Uppdatera eller avsluta behandlingen om syftet förändras eller upphör.

Uppgifter om lagöverträdelser enligt artikel 10 GDPR

Uppgifter som rör lagöverträdelser (artikel 10 GDPR) omfattar bland annat uppgifter om att någon begått ett brott, blivit fälld eller friad i brottmål, varit föremål för straffprocessuella tvångsmedel eller misstänkts för ett konkret brott. Dessa uppgifter har ett särskilt starkt skydd. Huvudregeln i svensk rätt är att endast myndigheter får behandla sådana uppgifter. Andra än myndigheter får bara göra det med särskilt lagstöd (t.ex. i svensk författning eller IMY:s föreskrifter) eller efter tillstånd från IMY.

Tillståndsprövning hos IMY

IMY kan efter ansökan bevilja tillstånd att behandla personuppgifter om lagöverträdelser i de fall behandlingen inte har stöd i annan lag eller förordning. Prövningen sker enligt 3 kap. 9 § lagen (2018:218) med kompletterande bestämmelser till GDPR (dataskyddslagen) och 6 § förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.

Vid prövningen bedömer IMY bland annat om den planerade behandlingen uppfyller de grundläggande principerna i artikel 5 GDPR och om GDPR efterföljs vid behandlingen. Myndigheten granskar också säkerhetsåtgärderna för att skydda uppgifterna, hur gallring och arkivering ska hanteras samt hur de registrerade informeras om behandlingen.

Ett beviljat tillstånd är förenat med bindande villkor, bland annat om gallring inom viss tid, särskilda skyddsåtgärder för att begränsa åtkomst, tidsbegränsningar för tillståndets giltighet och krav på återrapportering till IMY. Bakgrundskontroller med stöd av GDPR får enligt IMY:s nuvarande tillståndsgivning endast genomföras för personer som innehar, eller är aktuella för, befattningar där uppgifter om lagöverträdelser kan ha en påverkan på uppdragsgivarens renommé, säkerhet eller ekonomi.

Registrering av uppgifter om lagöverträdelser tidsavgränsas med utgångspunkt i gallringsreglerna i 16–18 §§ lagen (1998:620) om belastningsregister. Uppgifter som inte längre är relevanta eller nödvändiga för ändamålet ska raderas, och endast verifierade uppgifter får ligga till grund för bedömningar. Uppgifter som bedöms som ej relevanta betraktas som överskottsuppgifter och ska raderas omedelbart.

Svensk Bakgrundsanalys har – som ett av få bakgrundskontrollföretag i Sverige – tillstånd från IMY att behandla personuppgifter om lagöverträdelser inom ramen för våra bakgrundskontroller.

Tillståndet innebär att IMY, efter prövning enligt GDPR och kompletterande svensk lagstiftning, har granskat våra processer och bedömt att vår hantering uppfyller de högt ställda krav som gäller för denna typ av känslig behandling. Prövningen omfattar bland annat dataminimering, uppgifternas kvalitet och riktighet, behörighetsstyrd åtkomst, tekniska och organisatoriska skyddsåtgärder samt tydliga regler för gallring och bevarande, liksom krav på laglighet, nödvändighet och dokumentation.

Tillståndet är förenat med bindande villkor. Vi följer upp efterlevnaden inom ramen för vårt ledningssystem, certifierat enligt ISO 9001, verkar strikt inom beslutets ramar och uppdaterar löpande kontroller, skyddsåtgärder och gallringsrutiner i linje med gällande rätt. Denna styrning säkerställer att behandlingen sker i enlighet med tillämpliga regelverk, proportionerligt och med högsta möjliga skydd för de registrerades rättigheter.

Känsliga personuppgifter (artikel 9 GDPR)

Artikel 9 GDPR omfattar särskilda kategorier av känsliga personuppgifter: uppgifter om hälsa, genetiska och biometriska uppgifter för entydig identifiering, sexliv eller sexuell läggning, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt fackligt medlemskap. Huvudregeln är att behandling är förbjuden, med ett begränsat antal uttömmande undantag.

Undantagen i artikel 9.2 – exempelvis uttryckligt samtycke, skyldigheter enligt arbetsrättslig lagstiftning, skydd av vitala intressen eller hantering av rättsliga anspråk – är snävt utformade och tillämpliga endast i särskilda situationer. Vid bakgrundskontroller föreligger normalt inte förutsättningar för dessa undantag. Samtycke anses mycket sällan utgöra en tillämplig rättslig grund vid behandling av personuppgifter inom ramen för rekrytering eller anställningsförhållande på grund av maktobalansen.

I praktiken innebär detta att känsliga personuppgifter enligt artikel 9 inte får behandlas inom ramen för en bakgrundskontroll.

Roller: personuppgiftsansvarig och personuppgiftsbiträde

Rollen i en personuppgiftsbehandling avgör vem som bestämmer syfte och medel, vilka juridiska krav som gäller och vem som bär ansvaret om något går fel. Rollerna är inte något som går att komma överens om utan avgörs baserat på de faktiska omständigheterna vid behandlingen. Vid bakgrundskontroller är rollfördelningen särskilt viktig, eftersom de innefattar behandling av personuppgifter.

En förenklad tumregel är följande:

Personuppgiftsansvarig: bestämmer syftet, omfattningen och de väsentliga metoderna för behandlingen.
Personuppgiftsbiträde: behandlar uppgifter på instruktion från den personuppgiftsansvarige, utan eget inflytande över syfte eller väsentliga medel.
Självständig mottagare: tar emot uppgifter för egna ändamål och är då själv personuppgiftsansvarig för den nya behandlingen.

Att rollerna är tydliga är avgörande för att det ska stå klart vem som bär ansvaret gentemot både den registrerade och tillsynsmyndigheten.

Personuppgiftsansvarig

Den personuppgiftsansvarige är den part som bestämmer varför personuppgifter behandlas och de väsentliga delarna av hur behandlingen ska gå till. Det handlar exempelvis om att fastställa syftet med en kontroll, vilka uppgifter som är nödvändiga att samla in, varifrån uppgifterna ska hämtas och hur länge de får sparas. Rollen innebär ett övergripande ansvar för att all behandling sker i enlighet med GDPR och annan tillämplig lagstiftning.

I praktiken innebär det att den personuppgiftsansvarige måste välja och dokumentera rättslig grund. Den personuppgiftsansvarige måste också se till att uppgifterna begränsas till det som är nödvändigt, att lagringstiderna är proportionerliga, att säkerhetsåtgärder finns på plats och att de registrerade får tydlig information om behandlingen och kan utöva sina rättigheter. Rollen omfattar även ansvar för att ingå avtal med personuppgiftsbiträden, hantering av personuppgiftsincidenter och att eventuella internationella överföringar sker på ett lagligt sätt. Kort uttryckt: den personuppgiftsansvarige styr ramarna för behandlingen och bär huvudansvaret för att den sker lagenligt från början till slut.

Vid bakgrundskontroller som sker med stöd av IMY:s tillstånd är det den part som beviljats tillståndet som är personuppgiftsansvarig, vilket generellt är leverantören. Uppdragsgivaren är däremot personuppgiftsansvarig för sin egen efterföljande behandling av rapporten.

Personuppgiftsbiträde

Ett personuppgiftsbiträde behandlar personuppgifter för den personuppgiftsansvariges räkning och enbart på dennes dokumenterade instruktioner. I dessa fall krävs ett personuppgiftsbiträdesavtal (PUB-avtal). Avtalet reglerar bland annat behandlingens syfte och varaktighet, kategorier av personuppgifter, säkerhetsåtgärder, sekretesskrav, hantering av underbiträden, rutiner för incidentrapportering och vad som ska ske med uppgifterna när uppdraget avslutas. Ett personuppgiftsbiträde får aldrig använda uppgifterna för egna syften – görs det betraktas aktören i stället som personuppgiftsansvarig för den delen av behandlingen, med fullt ansvar för behandlingen.

Gemensamt personuppgiftsansvar

I vissa fall kan två aktörer tillsammans bestämma syfte och medel för en behandling. Då är de gemensamt personuppgiftsansvariga. Det kräver ett tydligt inbördes arrangemang där parterna fastställer hur ansvaret fördelas och informerar de registrerade om vem som är kontaktpunkt. De registrerade kan alltid vända sig till vilken som helst av de gemensamt ansvariga för att utöva sina rättigheter.

Gemensamt personuppgiftsansvar är normalt inte tillämpligt i Svensk Bakgrundsanalys verksamhet.

Ansvar och skadestånd

Den personuppgiftsansvarige har huvudansvaret för att behandlingen följer GDPR, medan ett personuppgiftsbiträde ansvarar för att följa instruktioner och avtalet. Vid skada kan både den personuppgiftsansvarige och personuppgiftsbiträdet bli skadeståndsskyldiga. Den registrerade har rätt att få ersättning från vilken som helst av parterna, varefter den part som bar det faktiska ansvaret kan kräva återbetalning från den andra.

Svensk Bakgrundsanalys är personuppgiftsansvarig

Svensk Bakgrundsanalys agerar som personuppgiftsansvarig för personuppgiftsbehandlingen som sker vid utförandet av bakgrundskontroller som genomförs med stöd av GDPR. Svensk Bakgrundsanalys definierar syfte, omfattning, datakällor och gallringsfrister för varje kontroll och dokumenterar en intresseavvägning (LIA) för varje individ och kontrolltyp, så att behandlingen blir proportionerlig, motiverad och rättssäker. Som personuppgiftsansvariga ansvarar vi även för att den registrerade får den information som krävs enligt GDPR samt för att begäranden om tillgång, rättelse, radering, begränsning och invändning hanteras inom de lagstadgade tidsfristerna.

Vid behandling av uppgifter om lagöverträdelser som sker i enlighet med det tillstånd vi har från IMY är Svensk Bakgrundsanalys alltid personuppgiftsansvariga. Detta skapar tydlighet för våra kunder och högsta möjliga skydd för de registrerades integritet.

Tidigare har vi i vissa uppdrag agerat som personuppgiftsbiträde vid genomförandet av bakgrundskontroller. Dessa bakgrundskontroller utfördes då inte i enlighet med våra vanliga rutiner, utan skedde uteslutande enligt uppdragsgivarens instruktioner. I samtliga fall upprättades alltid ett PUB-avtal mellan oss och uppdragsgivaren.

Kontrollerades rättigheter

Vid bakgrundskontroller enligt GDPR har den kontrollerade (den registrerade) en uppsättning rättigheter. Dessa styr hur, när och vilka uppgifter som får behandlas samt hur begäranden ska hanteras. Nedan förklaras de centrala rättigheterna och vad de innebär i praktiken för bakgrundskontroller.

Transparens och information (artiklarna 13–14 GDPR)

Den kontrollerade har rätt att få tydlig information om behandlingen: ändamål, rättslig grund, kategorier av uppgifter, mottagare, lagringstider, rättigheter, kontaktuppgifter till personuppgiftsansvarig och dataskyddsombud samt källor när uppgifter inhämtas från tredje man.

När uppgifter samlas in direkt från den kontrollerade ska information lämnas i samband med insamlingen (artikel 13). När uppgifter samlas in från andra källor än den kontrollerade själv ska information lämnas inom en månad, eller senast vid den första kommunikationen med den kontrollerade (om det sker tidigare), eller senast när uppgifterna lämnas ut första gången till en annan mottagare (artikel 14). I vissa särskilda fall kan det föreligga undantag till informationsplikten, men då alltid med stöd av lag.

Rätt till tillgång (artikel 15 GDPR)

Den kontrollerade kan begära ett så kallat registerutdrag. Det ska ge en kopia av personuppgifterna samt relevanta metadata (ändamål, kategorier, mottagare, lagringstider, rättigheter, källor m.m.). Sekretess och andras rättigheter ska samtidigt skyddas, vilket kan innebära maskning av viss information.

Rättelse (artikel 16 GDPR)

Felaktiga eller ofullständiga uppgifter ska rättas eller kompletteras utan onödigt dröjsmål. Vid tvist om riktigheten används ofta begränsning av behandlingen till dess frågan är utredd.

Radering – ”rätten att bli bortglömd” (artikel 17 GDPR)

Radering kan begäras när uppgifterna inte längre behövs, behandlingen saknar rättslig grund, invändning har godtagits eller behandlingen är olaglig. Undantag gäller bland annat när lagring krävs för att uppfylla rättslig förpliktelse eller för att fastställa, göra gällande eller försvara rättsliga anspråk. I praktiken leder en begäran ofta till radering eller begränsning om uppgifterna behöver bevaras kortare tid.

Begränsning av behandlingen (artikel 18 GDPR)

Behandlingen kan pausas i vissa situationer, till exempel när riktigheten bestrids, när behandlingen är olaglig men radering inte är lämplig, när uppgifterna inte längre behövs men den kontrollerade behöver dem för rättsliga anspråk, eller i väntan på bedömning efter invändning.

Invändning mot behandling (artikel 21 GDPR)

Den kontrollerade har rätt att invända mot behandling av personuppgifter som grundas på berättigat intresse (artikel 6.1 f GDPR). När en invändning görs måste den personuppgiftsansvarige antingen upphöra med behandlingen eller kunna visa tvingande berättigade skäl som väger tyngre än den registrerades intressen, rättigheter och friheter.

Utöver detta finns en absolut invändningsrätt mot behandling för direkt marknadsföring. I sådana fall måste behandlingen alltid upphöra omedelbart, oavsett rättslig grund.

Dataportabilitet (artikel 20 GDPR)

Den kontrollerade har rätt att få ut sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och att överföra dessa uppgifter till en annan personuppgiftsansvarig. Denna rätt gäller endast behandling som grundar sig på samtycke eller avtal och sker automatiserat. Eftersom bakgrundskontroller normalt bygger på berättigat intresse är dataportabilitet sällan tillämpligt vid bakgrundskontroller.

Automatiserat beslutsfattande och profilering (artikel 22)

När en bakgrundskontroll utförs med stöd av GDPR har den kontrollerade enligt artikel 22 rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling, inklusive profilering, om beslutet får rättsliga följder eller på liknande sätt påverkar personen i betydande grad. Sådan behandling kräver som utgångspunkt den kontrollerades samtycke.

Tidsfrister, kostnader och identitetskontroll

Begäranden från den registrerade om att utöva sina rättigheter enligt GDPR – till exempel rätt till tillgång, rättelse eller radering – ska hanteras inom en månad. Tiden kan förlängas med upp till två månader om begäran är särskilt komplex eller om många begäranden hanteras samtidigt, men den registrerade ska alltid informeras om en sådan förlängning inom en månad.

Som huvudregel är hanteringen kostnadsfri. Avgift eller avslag kan bli aktuellt endast när en begäran är uppenbart ogrundad eller orimlig. Vid behov får den registrerades identitet verifieras, men utan att samla in fler uppgifter än nödvändigt.

Meddelande om åtgärder och mottagare

När rättelse, radering eller begränsning har skett ska den personuppgiftsansvarige, när det är möjligt, meddela mottagare som tagit del av uppgifterna. Den kontrollerade har rätt att få veta vilka dessa mottagare är.

Klagomål och rättsmedel

Den kontrollerade har alltid rätt att inge klagomål till IMY och att söka rättsmedel i domstol, inklusive skadestånd om skada uppstått på grund av överträdelser av dataskyddsregleringen.

Vill du veta mer om hur en kontroll kan genomföras i praktiken? Du är välkommen att kontakta oss.

Kontakta oss

Bakgrundskontroller med stöd av säkerhetsskyddslagen

Säkerhetsskyddslagen är ett särskilt lagstöd som möjliggör behandling av uppgifter om lagöverträdelser när det är nödvändigt för att bedöma lojalitet, pålitlighet och eventuella sårbarheter hos personer som ska delta i säkerhetskänslig verksamhet. Lagen utgör därmed den typ av nationell reglering som artikel 10 i GDPR förutsätter för att brottsuppgifter ska få behandlas. Stödet gäller dock inte generellt, utan endast när en befattning har placerats i säkerhetsklass och en säkerhetsprövning enligt lagen ska genomföras.

Lär dig mer

Tillämpning och avgränsning

Bakgrundskontroller med stöd av säkerhetsskyddslagen används när ett missbruk av en tjänst kan orsaka skada för Sveriges säkerhet. Säkerhetsklassningen avgör prövningens omfattning och vilka uppgifter som får behandlas. Utgångspunkten är nödvändighet och proportionalitet: endast uppgifter som har faktisk betydelse för prövningens syfte får behandlas, och behandlingen ska begränsas till vad som krävs för att fatta ett välgrundat beslut.

Fördjupning

Roller och informationsflöden

Verksamhetsutövaren ansvarar för att säkerhetsprövningen genomförs och för att fatta den samlade lämplighetsbedömningen. När det gäller uppgifter om lagöverträdelser bygger lagstiftningen på att dessa hämtas via de myndighetskanaler som säkerhetsskyddslagen anvisar – i praktiken genom registerkontroll hos Säkerhetspolisen.

Det innebär att en verksamhetsutövare inte kan beställa brottsuppgifter från en privat aktör som saknar eget lagstöd (utgivningsbevis eller IMY-tillstånd) och samtidigt hävda att behandlingen sker med stöd av säkerhetsskyddslagen. I en säkerhetsprövning är det registerkontrollen som utgör den lagliga vägen för behandling av brottsuppgifter.

En privat aktör kan däremot, även utan utgivningsbevis eller IMY-tillstånd, bistå verksamhetsutövaren i den så kallade grundutredningen. Där kan andra typer av uppgifter inhämtas, exempelvis referenser, meriter eller ekonomiska förhållanden. Brottsuppgifter omfattas dock inte av denna del utan ska hanteras enligt de särskilda reglerna i säkerhetsskyddslagstiftningen. All behandling sker under sträng sekretess och med tydliga åtkomstbegränsningar.

Förhållandet till GDPR

Säkerhetsskyddslagen fungerar som ett särskilt undantag från förbudet att behandla brottsuppgifter enligt artikel 10 GDPR då det finns stöd i lag för behandlingen. Samtidigt gäller GDPR:s grundprinciper för övrig behandling hos verksamhetsutövaren – såsom uppgiftsminimering, lagringsbegränsning, korrekthet och säkerhet. Vissa av den registrerades rättigheter kan vara begränsade till följd av sekretess och särskild reglering, men endast i den utsträckning som följer av lag.

Den övergripande trenden är tydlig – bakgrundskontroller som genomförs med stöd av GDPR blir allt viktigare.

Kontakta oss

Rättsutveckling

Rättsläget för bakgrundskontroller och användning av rättsdatabaser är under förändring. Flera processer löper parallellt och deras utfall kan påverka varandra. Omfattning, ordning och tidpunkter för ikraftträdande är ännu inte fastställda. Den övergripande trenden är tydlig: bakgrundskontroller som genomförs med stöd av GDPR blir allt viktigare, medan det grundlagsskydd som i dag följer av utgivningsbevis kan minska eller i vissa fall helt fasas ut för vissa verksamheter.

Nedan sammanfattas de viktigaste pågående förändringarna:

Nyheter

Nedan sammanfattas de viktigaste nyheterna:

2025

4:e september

EU:s generaladvokat yttrar sig

Generaladvokatens yttrande i målet (C-199/24) kom den 4 september 2025. Generaladvokaten rekommenderar EU-domstolen att fastslå att det inte är tillåtet med ett totalt undantag till GDPR genom svensk lag på det sätt som 1 kap. 7 § dataskyddslagen har tillämpats i Sverige. EU-domstolens avgörande väntas under 2025. Därefter återupptar Attunda tingsrätt prövningen av det underliggande målet med hänsyn till EU-domstolens vägledning. Om det står klart att nuvarande svenska ordning inte är förenlig med EU-rätten kan regeringen och riksdagen tvingas se över lagstiftningen för att säkerställa överensstämmelse med GDPR.

2025

1:e september

Regeringen tillsätter utredning om bakgrundskontroller

Regeringen har utsett en särskild utredare för att ta ett helhetsgrepp om regelverket för bakgrundskontroller i både offentlig och privat verksamhet. Målet är tydliga och rättssäkra regler som motverkar infiltration och annan brottslig påverkan samtidigt som den personliga integriteten värnas. Utredningen leds av IMY:s generaldirektör Eric Leijonram och ska redovisas senast den 11 mars 2027.

2025

2:e april

IMY:s tillsyn och egeninitierade granskningar

Den 2 april 2025 inledde IMY tillsynsärenden mot Legal Newsdesk Sweden AB (Lexbase.se) och Fuplex AB (Krimfup.se). Därefter, den 23 juni 2025, inleddes tillsyn mot Upplysning Checknode AB (Upplysning.se) samt Nusvar AB (Mrkoll.se). Besked i dessa ärenden väntas under hösten 2025.

Ett sannolikt utfall av dessa tillsynsärenden är att IMY kommer fram till att GDPR helt eller delvis gäller även för dessa söktjänster, trots att de har utgivningsbevis. I så fall kan företagen tvingas till omfattande förändringar i sin hantering av uppgifter om lagöverträdelser, exempelvis krav på rättslig grund, lagringstider och information till registrerade.

2025

25:e februari

HD:s beslut om utlämnande av brottmålsdomar och förhållandet mellan mediegrundlagarna och GDPR

Den 25 februari 2025 meddelade Högsta domstolen två prejudikat (mål nr Ä 3457-24 och Ä 3169-24) som tydliggör hur 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) ska tillämpas vid så kallade massbegäranden av brottmålsdomar, även när mottagaren omfattas av grundlagsskydd enligt YGL.

HD fann att sekretess kan gälla med stöd av GDPR. Domarna fick lämnas ut, men endast med förbehåll som begränsar hur uppgifterna får användas, i syfte att säkerställa att materialet kan nyttjas för journalistisk verksamhet men inte för kommersiell vidareanvändning eller som del av sökbara databaser. Samtidigt framhöll domstolen att den nuvarande rättsliga regleringen inte ger ett tillräckligt heltäckande svar på hur balansen mellan TF/YGL och GDPR ska dras. HD betonade därför att en mer övergripande avvägning kräver lagstiftningsåtgärder.

I praktiken innebär besluten att domstolar även fortsättningsvis ska lämna ut större mängder handlingar, men att dessa – till skillnad från tidigare – kan förenas med förbehåll som försvårar sökbarhet och vidareutnyttjande.

2024

1:e november

Nya IMY-föreskrifter om behandling av uppgifter om lagöverträdelser

Sedan 1 november 2024 gäller IMY:s föreskrifter IMYFS 2024:1. Föreskrifterna klargör när organisationer får behandla uppgifter om lagöverträdelser och möjliggör sådan behandling i sex tydligt avgränsade situationer. Exempel är dokumentation inom socialtjänst och utbildning, jävskontroller i advokatverksamhet, visselblåsarkanaler som rör personer i nyckelpositioner samt sanktionslistkontroller hos företag som står under tillsyn av Finansinspektionen, ISP eller Strålsäkerhetsmyndigheten.

2024

13:e juni

IMY:s hemställan om bakgrundskontroller

I juni 2024 lämnade IMY in en hemställan till regeringen om en bred översyn av de rättsliga förutsättningarna för bakgrundskontroller. Syftet är att tydliggöra när sådana kontroller kan genomföras lagligt, vilka typer av uppgifter som får behandlas och hur åtkomst till nödvändig information ska regleras.

IMY framhåller bland annat behovet av att arbetsgivare i vissa fall ska kunna få laglig tillgång till uppgifter om lagöverträdelser, till exempel vid rekrytering till säkerhetskänsliga befattningar.

2024

14:e maj

IMY:s behörighet att granska söktjänster

Den 14 maj 2024 slog IMY i ett rättsligt ställningstagande fast att myndigheten är behörig att inleda tillsyn även mot söktjänster med utgivningsbevis när detta sker efter klagomål från enskilda.

Ställningstagandet innebär en tydlig förändring i förhållande till tidigare praxis, där utgivningsbevis i praktiken ofta har ansetts ge ett generellt skydd mot tillsyn enligt GDPR. IMY klargör nu att frågan om GDPR:s tillämplighet alltid måste prövas i det enskilda fallet och att grundlagsskydd inte kan åberopas som en generell spärr mot myndighetens tillsyn.

2024

1:e mars

Attunda tingsrätt begär förhandsavgörande från EU-domstolen

Den 1 mars 2024 beslutade Attunda tingsrätt att begära ett förhandsavgörande från EU-domstolen (mål C-199/24). Frågorna rör förhållandet mellan svenska regler om grundlagsskyddade söktjänster och GDPR. Begäran registrerades hos EU-domstolen den 13 mars 2024.

EU-domstolen ska ta ställning till om det svenska undantaget för grundlagsskyddade databaser är förenligt med GDPR. Frågorna berör särskilt artikel 85 GDPR, som reglerar hur medlemsstaterna får göra undantag eller inskränkningar i dataskyddet för att värna yttrandefrihet och informationsfrihet. Kärnfrågan gäller om den svenska ordningen – där ett utgivningsbevis ger ett långtgående skydd för vissa söktjänster – uppfyller EU-rättens krav på nödvändighet och proportionalitet.

Beroende på domstolens bedömning kan flera konsekvenser bli aktuella i Sverige, samtliga med den sannolika konsekvensen att GDPR kommer att tillämpas även på grundlagsskyddad verksamhet som inte har journalistiska ändamål (eller sker för akademiskt, konstnärligt eller litterärt skapande). Det är troligt att EU-domstolen kommer att kräva en mer proportionerlig reglering, vilket kan innebära att Sverige behöver ändra sin lagstiftning.

2024

22:e februari

Kommunernas möjligheter att genomföra bakgrunds- och registerkontroller

Den 22 februari 2024 gav regeringen i ett snabbspår en särskild utredare i uppdrag att se över kommunernas möjligheter att genomföra bakgrunds- och registerkontroller. Arbetet resulterade i promemorian Utökade registerkontroller vid anställning i kommun (Ds 2024:24), publicerad den 31 oktober 2024. Förslagen var på remiss till den 7 februari 2025 och bereds nu i Regeringskansliet. Ingen proposition har ännu lämnats.

Det som föreslås i Ds 2024:24 (i korthet):

registerkontroll inför anställning som innebär arbete med äldre och personer med funktionsnedsättning,
utökad registerkontroll för arbete med barn, inklusive fler brott och uppgifter ur misstankeregistret,
möjlighet för kommuner att besluta om registerkontroller för befattningar som är kritiska för kommunens uppdrag, där vissa kontroller genomförs av Säkerhetspolisen.

2023

19:e oktober

Betänkande om grundlagsändring: Personuppgifter och mediegrundlagarna

Den 19 oktober 2023 tillsatte regeringen en särskild utredning om samspelet mellan reglerna för skydd av personuppgifter och de svenska mediegrundlagarna. Arbetet resulterade i betänkandet Personuppgifter och mediegrundlagarna som överlämnades den 20 november 2024. Utredningen behandlade samspelet mellan reglerna för skydd av personuppgifter och de svenska mediegrundlagarna TF och YGL.

Syftet med utredningen var att se över balansen mellan personlig integritet och yttrandefrihet i en digital tid. En central fråga var hur söktjänster som gjorde personuppgifter lätt tillgängliga borde regleras, samt i vilken utsträckning personuppgifter fick spridas, lagras och återanvändas inom ramen för grundlagsskyddad verksamhet.

Utredningen föreslog att undantaget från grundlagsskydd för söktjänster skulle utvidgas till att omfatta alla typer av personuppgifter när publiceringen medförde särskilda integritetsrisker. I sådana fall skulle i stället dataskyddslagstiftningen gälla, med IMY som tillsynsmyndighet.

Eftersom grundlagsändringar kräver två riksdagsbeslut med ett allmänt val emellan kan eventuella ändringar tidigast träda i kraft den 1 januari 2027.

Vanliga frågor

Svensk Bakgrundsanalys är personuppgiftsansvarig för den behandling som sker när vi genomför bakgrundskontroller enligt GDPR, eftersom vi ensamma bestämmer ändamål och medel för behandlingen.

När uppdragsgivaren därefter hanterar personuppgifterna – till exempel genom att spara eller bearbeta rapporten – blir uppdragsgivaren personuppgiftsansvarig för sin egen behandling. Det innebär att det inte finns något gemensamt personuppgiftsansvar för den behandling som avser vår bakgrundskontroll. Svensk Bakgrundsanalys och uppdragsgivaren är i stället separata personuppgiftsansvariga och ansvarar var för sig enligt GDPR.

Nej. Ni som kund behöver inte ett eget tillstånd för den behandling som genomförs av Svensk Bakgrundsanalys. Svensk Bakgrundsanalys agerar som självständigt personuppgiftsansvariga vid genomförandet av bakgrundskontroller. För behandlingen av uppgifter om lagöverträdelser har Svensk Bakgrundsanalys ett tillstånd från IMY enligt 5 kap. 1 § dataskyddslagen. Tillståndet omfattar även behandlingen som krävs för att lämna ut personuppgifterna till våra kunder. Ni kan alltså ta del av dem i vår portal baserat på det tillståndet. För de fall ni därefter vill behandla dessa personuppgifter vidare i era egna system (till exempel genom att lagra, dela eller bearbeta uppgifterna) omfattas den behandlingen av GDPR, och ni blir då själva personuppgiftsansvariga för den.

Nej. Det finns inget krav på att uppgifter om lagöverträdelser måste lämnas muntligt. En aktör som har tillstånd från IMY enligt 5 kap. 1 § dataskyddslagen får behandla och lämna ut sådana uppgifter i den form som är lämplig och säker – till exempel skriftligt i en fysisk rapport eller genom att visa den på en skärm. Det viktiga är att uppgifterna hanteras med tillräckliga säkerhetsåtgärder enligt artikel 32 i GDPR, så att obehöriga inte får tillgång till dem.

Ja. Ett bakgrundskontrollföretag som behandlar personuppgifter om lagöverträdelser (såsom dessa definieras enligt artikel 10 GDPR) inom ramen för en bakgrundskontroll behöver som utgångspunkt tillstånd från IMY för att ha rätt att behandla uppgifterna.

Som regel nej. En arbetsgivare kan normalt inte använda samtycke som rättslig grund för bakgrundskontroller enligt GDPR, eftersom den kontrollerade personen står i en beroendeställning och därför sällan kan lämna ett helt frivilligt samtycke. I stället krävs att det finns ett berättigat intresse som rättslig grund för att genomföra kontrollen.

Svensk Bakgrundsanalys informerar den kontrollerade personen i egenskap av personuppgiftsansvarig. Innan prövningen inleds gör vi en bedömning av om det föreligger ett berättigat intresse för genomförandet av kontrollen i fråga för att etablera att vi har en tillämplig rättlig grund för personuppgiftsbehandlingen. Om prövningen visar att berättigat intresse saknas avbryts beställningen, ingen behandling sker och den kontrollerade personen informeras inte.

Om prövningen visar att berättigat intresse föreligger går beställningen vidare och personen informeras omgående utan dröjsmål. Vi skickar ett kort mejl som talar om att en kontroll har beställts och av vilken uppdragsgivare, vilket ändamål och vilken rättslig grund som används, vilka typer av personuppgifter som behandlas samt hur den kontrollerade personen når oss och kan utöva sina rättigheter, inklusive rätten att invända. Mejlet länkar till den fullständiga informationen.

Den fullständiga informationen finns i portalen Mina kontroller och sker i enlighet med transparenskraven i GDPR. Där framgår bland annat kontaktuppgifter till personuppgiftsansvarig och dataskyddsombud, rättslig grund, vilka kategorier av personuppgifter som behandlas och från vilka källor de kommer, mottagare, eventuella tredjelandsöverföringar och skyddsåtgärder, lagringsperiod eller kriterier för lagring, samtliga rättigheter inklusive rätten att invända och klagorätt till IMY. Rättigheter utövas via ett formulär i portalen och begäranden hanteras skyndsamt av dataskyddsombudet, senast inom en månad.

Nej. Personuppgifter om till exempel hälsa, religion eller facklig tillhörighet räknas som känsliga enligt artikel 9 i GDPR. Sådana personuppgifter får bara behandlas i undantagsfall, vilket inte gäller för bakgrundskontroller. Svensk Bakgrundsanalys behandlar därför inte känsliga personuppgifter.

Nej. Uppgifter om lagöverträdelser får som huvudregel endast behandlas av behöriga aktörer enligt dataskyddslagstiftning. Privatpersoner får behandla personuppgifter om lagöverträdelser endast för rent privata ändamål. Svensk Bakgrundsanalys har – som ett av få bakgrundskontrollföretag i Sverige – tillstånd från Integritetsskyddsmyndigheten (IMY) att behandla brottsuppgifter i samband med bakgrundskontroller.

Ja, men bara när det finns stöd i lag eller förordning – till exempel inom skola och förskola, LSS-insatser för barn, HVB, säkerhetsklassade tjänster eller försäkringsdistribution. Då ska ni följa de särskilda regler som gäller för när kontrollen får göras och vad som får dokumenteras. Utanför dessa områden finns inget lagligt stöd för att kräva att den kontrollerade personen visar upp ett utdrag.

Uppgifter som används för att bedöma en persons kreditvärdighet omfattas som huvudregel av kreditupplysningslagen. För att ta del av en kreditupplysning om en privatperson krävs ett legitimt behov. Den kontrollerade personen får en omfrågekopia med information om vem som har begärt upplysningen och vilket innehåll som har lämnats. Svensk Bakgrundsanalys tillhandahåller kreditupplysningar via tredje part som har tillstånd från Integritetsskyddsmyndigheten (IMY).

Uppgifterna finns tillgängliga i högst 30 dagar efter att beställningen har färdigställts. Därefter raderas de automatiskt.

Vid genomförandet av bakgrundskontrollen är leverantören personuppgiftsansvarig för sin behandling och stödjer den på sin egen rättsliga grund, berättigat intresse enligt artikel 6.1 f GDPR. Om ni som offentlig verksamhet vidarebehandlar uppgifterna, till exempel genom att lagra eller omstrukturera uppgifterna, blir ni personuppgiftsansvariga för er egen behandling och måste då ha en egen rättslig grund.

Offentliga verksamheter ska som huvudregel inte stödja sin behandling på berättigat intresse. I stället ska behandlingen normalt grundas på artikel 6.1 c (rättslig förpliktelse) och/eller artikel 6.1 e (uppgift av allmänt intresse eller myndighetsutövning), med stöd i den lagstiftning och de regler som styr verksamheten, till exempel krav på lämplighets- och säkerhetsprövningar vid rekrytering eller kontroll av leverantörer.

Om rapporten innehåller uppgifter om lagöverträdelser enligt artikel 10 GDPR har myndigheter stöd i svensk rätt att behandla sådana uppgifter inom ramen för sin verksamhet. Även i dessa fall krävs dock att behandlingen vilar på artikel 6.1 c och/eller e och att GDPR:s grundprinciper följs.

Vill du veta mer om hur en kontroll kan genomföras i praktiken? Du är välkommen att kontakta oss.

Kontakta oss

Om du vill veta hur våra bakgrundskontroller och säkerhetsprövningar kan genomföras på ett juridiskt tryggt och effektivt sätt.

Att navigera i rättsläget för bakgrundskontroller och säkerhetsprövningar kräver både juridisk förståelse och praktisk erfarenhet. Svensk Bakgrundsanalys följer rättsutvecklingen noggrant och anpassar sina rutiner efter gällande regler och domstolsavgöranden. Vi arbetar med tydliga processer, verifierar varje uppgift och gör noggranna intresseavvägningar för att skydda både verksamheters säkerhet och individers integritet.

Telefon: 010-491 12 27

E-post: [email protected]

Du kan enkelt nå oss via formuläret intill.

Vi ser fram emot att berätta mer om våra tjänster och hitta en lösning anpassad efter dina behov. Vi svarar vanligtvis inom en arbetsdag.

Varmt välkommen!

Genom att fylla i och skicka oss detta formulär godkänner du att Svensk Bakgrundsanalys lagrar dina personuppgifter. Läs mer här.

Detta formulär skyddas av reCAPTCHA, och Googles integritetspolicy och användarvillkor gäller.