Personuppgiftspolicy för dig som ska genomgå
bakgrundskontroll eller säkerhetsprövning

1. Vem riktar sig denna personuppgiftspolicy till?

Denna personuppgiftspolicy (Policyn) riktar sig till dig som berörs av våra tjänster, exempelvis för att genomgå en säkerhetsprövning eller är föremål för en bakgrundskontroll. I denna beskrivs hur Svensk Bakgrundsanalys AB (org.nr 559305-2615), Holländargatan 20, 111 60 Stockholm (”Svensk Bakgrundsanalys”, ”vi”, ”vår”, ”oss”) behandlar dina personuppgifter.

2. Vem ansvarar för dina personuppgifter?

Vi utför våra tjänster på uppdrag av våra uppdragsgivare och behandlar personuppgifter i samband med detta. För sådan personuppgiftsbehandling är vi personuppgiftsansvariga vilket innebär att vi bestämmer vilka personuppgifter som samlas in och hur de ska behandlas.

Vi är måna om att du känner dig trygg med hur vi behandlar dina personuppgifter och vi uppmuntrar dig därför att läsa igenom Policyn noggrant.

Policyn kan komma att uppdateras. Om Policyn uppdateras, gäller den nya versionen av Policyn från det att den har publicerats på vår webbplats. Du kan se när vi senast gjorde uppdateringar längst ner i Policyn.

Om du vill veta mer om vår behandling av dina personuppgifter är du alltid välkommen att kontakta oss, till exempel via vår e-postadress [email protected].

3. Definition – vad menas med bakgrundskontroll?

Med bakgrundskontroll avses i denna policy en samlingsbenämning för olika typer av kontroller som resulterar i framtagandet av en rapport. Dessa kan bland annat omfatta kontroll av identitet, medborgarskap och migrationsuppgifter, körkort och fordonskopplingar, arbetscertifikat, utbildningar, yrkeslegitimationer, tillsynsärenden, ekonomi, bolagsengagemang, PEP- och sanktionskontroller, uppgifter om lagöverträdelser samt civilrättsliga och arbetsrättsliga ärenden, liksom information från öppna källor såsom sociala medier och massmedia. Exemplen är inte uttömmande, utan vilka uppgifter som behandlas beror på vilken typ av bakgrundskontroll kunden har beställt och vad som är relevant i sammanhanget, baserat på exempelvis befattning, ansvar, risker och sårbarheter.

4. Hur samlar vi in dina personuppgifter?

De personuppgifter som vi behandlar inhämtas i stor utsträckning från tredje part, till exempel från domstolar och myndigheter samt från kommersiella databaser som används i samband med bakgrundskontroller. Vi kan även få information från vår uppdragsgivare i samband med att de beställer en tjänst. I vissa fall lämnar du själv uppgifter direkt till oss, exempelvis när du deltar i säkerhetsprövningsintervjuer som vi genomför.

5. Hur vi behandlar dina personuppgifter

5.1 Särskilda krav vid säkerhetsprövningar

Utöver vad som följer av GDPR gäller särskilda regler när vi genomför säkerhetsprövningar enligt säkerhetsskyddslagen (2018:585). Dessa regler innebär att vi kan behöva behandla vissa personuppgifter i syfte att uppfylla lagstadgade krav på säkerhetsskydd. Behandlingen sker då i enlighet med de skyldigheter och förutsättningar som anges i säkerhetsskyddslagen och tillhörande föreskrifter. I samband med säkerhetsprövningar agerar vi som utgångspunkt på uppdrag av våra uppdragsgivare i egenskap av personuppgiftsbiträde.

6. Lagstöd för behandling av uppgifter om lagöverträdelser enligt GDPR

Behandling enligt GDPR av personuppgifter om lagöverträdelser sker med stöd av särskilt tillstånd som Integritetsskyddsmyndigheten (IMY) har utfärdat till oss. All behandling inom ramen för detta tillstånd sker i enlighet med dataskyddsrättsliga principer och efter en prövning i varje enskilt fall, där vi bland annat säkerställer att dina grundläggande rättigheter och friheter inte väger tyngre än våra uppdragsgivares berättigade intressen.

Behandling med stöd av tillståndet sker i samband med de bakgrundskontroller vi utför åt våra uppdragsgivare. Uppgifterna är begränsade till vad som är relevant för den aktuella tjänsten. Exempelvis kan det handla om uppgifter om trafik- eller narkotikabrott när en tjänst innebär att framföra fordon, eller om uppgifter om ekonomisk brottslighet vid tjänster som innebär ansvar för större ekonomiska värden.

6.1 Rättslig grund för behandling enligt GDPR

Vi behandlar dina personuppgifter i enlighet med gällande regelverk. För de behandlingar av personuppgifter som omfattas av GDPR gäller att vi endast behandlar dina personuppgifter om behandlingen är tillåten enligt tillämplig dataskyddslagstiftning. För behandling av personuppgifter som sker med stöd av vårt utgivningsbevis gäller i stället de regler som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

När vår personuppgiftsbehandling omfattas av GDPR behandlar vi dina personuppgifter med stöd av den rättsliga grunden berättigat intresse. Det innebär att behandlingen är nödvändig för ändamål som rör våra eller våra uppdragsgivares legitima intressen. Exempelvis kan våra uppdragsgivare ha ett intresse av att behandla personuppgifter i samband med rekrytering för att kunna bedöma en kandidats lämplighet för en tjänst. Vi har även ett eget berättigat intresse av att kunna erbjuda våra uppdragsgivare tjänster som bidrar till säkra och tillförlitliga rekryteringsprocesser.

För att avgöra om en behandling kan stödja sig på den rättsliga grunden berättigat intresse görs alltid en intresseavvägning, där vi väger våra eller våra uppdragsgivares berättigade intressen mot dina grundläggande rättigheter och friheter. Om dina rättigheter och friheter väger tyngre sker ingen behandling av dina personuppgifter.

Observera att rättslig grund kan variera beroende på vilken tjänst som utförs. För säkerhetsprövningar gäller särskilda regler i säkerhetsskyddslagen (2018:585). Den rättsliga grunden enligt GDPR är i dessa fall rättslig förpliktelse (artikel 6.1 c). För myndigheter kan även uppgift av allmänt intresse (artikel 6.1 e) vara tillämplig. I vissa av dessa sammanhang agerar vi på uppdrag av våra uppdragsgivare i egenskap av personuppgiftsbiträde.

6.2 Vilka typer av personuppgifter vi behandlar och vad de används till

Nedan redogör vi närmare för de kategorier av personuppgifter som vi behandlar, för vilka ändamål vi behandlar dem och vilken rättslig grund som vår behandling stödjer sig på, inklusive hur länge uppgifterna om dig sparas hos oss.

6.2.1 Utförande av bakgrundskontroll

6.2.2 Utförande av internationell bakgrundskontroll

6.2.3 Utförande av säkerhetsprövning eller säkerhetsprövningsintervju

Då vi agerar som personuppgiftsbiträde i samband med en behandling sker all behandling i enlighet med uppdragsgivarens instruktioner.

6.2.4 Tillvaratagande av rättsliga anspråk

Vi kan även behandla dina personuppgifter (dvs. de uppgifter som nämns i föregående avsnitt) för att du, uppdragsgivaren, vi eller berörd tredje part ska kunna fastställa, göra gällande eller försvara rättsliga anspråk, exempelvis vid förestående eller pågående tvist. Den rättsliga grunden för denna behandling är vårt berättigat intresse enligt artikel 6.1 f GDPR. Uppgifterna bevaras inte längre än nödvändigt. Detta innebär att uppgifterna sparas under den tid som ett rättsligt krav kan göras gällande enligt tillämplig preskriptionstid, samt, i förekommande fall, under pågående rättsprocess. När preskriptionstiden har löpt ut och det inte längre finns någon pågående eller potentiell tvist, raderas eller anonymiseras uppgifterna.

7. Säkerhetsåtgärder

Vi vidtar tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter mot obehörig åtkomst, obehörigt utlämnande och missbruk. Åtkomsten är begränsad enligt principen om minst privilegier, vilket innebär att endast behörig personal som behöver uppgifterna för sitt arbete har tillgång till dem. Vi använder etablerade skyddsmekanismer såsom kryptering, loggning, säkerhetskopiering, tvåfaktorsautentisering och kontinuerlig övervakning av våra system. Våra medarbetare får regelbundet utbildning i informationssäkerhet, och vi har rutiner för incidenthantering och återställning vid driftstörningar.

8. Med vilka vi delar dina personuppgifter

Åtkomsten till dina personuppgifter är begränsad till personer som behöver sådan åtkomst för de ändamål som beskrivs ovan. Utöver den delning av personuppgifter som närmare beskrivs i avsnitt 6.2.1–6.2.3 ovan, delar vi endast dina personuppgifter med följande mottagare:

1. Våra leverantörer: Vi kan i vissa fall anlita externa leverantörer, exempelvis vid internationella bakgrundskontroller eller för specifika databastjänster. Om personuppgifter delas med sådana leverantörer begränsas delningen alltid till det som är nödvändigt för syftet. När vi använder oss av leverantörer upprättar vi personuppgiftsbiträdesavtal och vidtar andra lämpliga åtgärder för att säkerställa att dina uppgifter behandlas i enlighet med denna Policy.
2. Myndigheter:Vi kan i undantagsfall behöva lämna ut personuppgifter till myndigheter när vi enligt lag eller myndighetsbeslut är skyldiga att göra det, exempelvis efter beslut från domstol eller tillsynsmyndighet.

9. Var vi behandlar dina personuppgifter

Med undantag för vid internationella bakgrundskontroller behandlar dina personuppgifter inom EU/EES. Vid internationella bakgrundskontroller kan behandling och överföring till länder utanför EU/EES vara nödvändig. I dessa fall säkerställer vi att överföringen sker i enlighet med gällande dataskyddslagstiftning, exempelvis genom EU-kommissionens beslut om adekvat skyddsnivå eller genom standardavtalsklausuler och andra lämpliga skyddsåtgärder.

Via följande länk hittar du information om de länder utanför EU/EES som EU-kommissionen beslutat uppfyller en adekvat skyddsnivå för tillåten överföring av personuppgifter:

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_sv

Via följande länk hittar du de standardavtalsklausuler som EU-kommissionen har beslutat om:

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_sv

Våra tjänster driftas på Amazon Web Services (AWS) servrar. Dessa servrar är lokaliserade i region Stockholm.

10. Dina rättigheter

Du har rättigheter i förhållande till oss och vår behandling av dina personuppgifter. Information om dina rättigheter och hur du går till väga för att utöva dem anges nedan.

Vi ber dig observera att dina rättigheter gäller i den omfattning som följer av tillämplig dataskyddslagstiftning och att det i förekommande fall kan föreligga undantag från rättigheterna. Vi ber dig även observera att vi kan komma att behöva mer information från dig i syfte att bland annat bekräfta din identitet innan vi går vidare med din begäran om att utöva dina rättigheter.

För att utöva dina rättigheter eller begära mer information om dessa ber vi dig att kontakta oss, vilket enklast sker via e-post: [email protected].

10.1 Rätten till tillgång

Du har rätt att få bekräftelse på om vi behandlar personuppgifter som rör dig. Om så är fallet har du också rätt att få tillgång till dessa personuppgifter genom ett s.k. registerutdrag samt ytterligare information om den aktuella behandlingen, såsom för vilket eller vilka ändamål behandlingen sker, berörda kategorier av personuppgifter samt vilka mottagare som personuppgifterna lämnats ut till.

10.2 Rätten till rättelse

Du har rätt att utan onödigt dröjsmål få felaktiga uppgifter om dig rättade samt inkompletta uppgifter om dig kompletterade.

10.3 Rätten till radering

Du kan begära att vi raderar dina personuppgifter om:

• Personuppgifterna inte längre är nödvändiga för de ändamål de samlats in eller annars behandlats;
• Du invänder mot behandling som vi genomför med stöd av intresseavvägning och din invändning väger tyngre än vårt eller annans berättigade intresse av behandlingen;
• Personuppgifterna har behandlats på olagligt sätt;
• Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse.

10.4 Rätten till begränsning av behandling

Du har rätt att begära att vi begränsar behandlingen av dina personuppgifter om:

• Du bestrider personuppgifternas korrekthet, under en tid som ger oss möjlighet att kontrollera om uppgifterna är korrekta eller inte;
• Behandlingen är olaglig och du motsätter dig att vi raderar dina personuppgifter och i stället begär att vi begränsar användningen av dem;
• Vi inte längre behöver behandla uppgifterna för de ändamål de samlades in för, samtidigt som du behöver uppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga anspråk;
• Du invänt mot den behandling som vi genomför med stöd av intresseavvägning och väntar på kontroll av om din invändning väger tyngre än vårt eller annans berättigade intresse av att fortsätta med behandlingen.

10.5 Rätten att göra invändningar

Du har rätt att göra invändningar mot sådan behandling av dina personuppgifter som sker baserat på vårt eller annans berättigade intresse. Om så sker måste vi, för att få fortsätta behandlingen, kunna visa tvingande berättigade skäl som väger tyngre än dina intressen, rättigheter och friheter.

10.6 Rätten till dataportabilitet

Vid behandling av dina personuppgifter med stöd av ett avtal med dig eller med stöd av ditt samtycke, har du rätt att få ut de uppgifter som du lämnat och att få dem överförda till en annan personuppgiftsansvarig, när detta är tekniskt möjligt. Observera dock att denna rättighet inte är aktuell i vår verksamhet, eftersom vi inte behandlar personuppgifter med stöd av dessa rättsliga grunder.

10.7 Rätt att återkalla ditt samtycke

Om behandlingen av dina personuppgifter grundar sig på ditt samtycke har du alltid rätt att när som helst återkalla det. En återkallelse påverkar inte lagligheten av den behandling som skett innan återkallelsen. Observera dock att denna rättighet inte är aktuell i vår verksamhet, eftersom vi inte behandlar personuppgifter med stöd av samtycke.

11. Klagomål till tillsynsmyndighet

I Sverige är Integritetsskyddsmyndigheten den myndighet som är ansvarig för att övervaka tillämpningen av gällande dataskyddslagstiftning. Om du anser att vi behandlar dina personuppgifter på ett felaktigt sätt uppmuntrar vi dig att i första hand kontakta oss så att vi får möjlighet att se över dina synpunkter. Du kan dock alltid lämna in ditt klagomål till Integritetsskyddsmyndigheten.

12. Policyuppdateringar

Vår Policy uppdaterades senast: 7 oktober 2025.