Integritet ställs mot säkerhet

Den 27 januari 2014 rapporterade Dagens Nyheter om en ny söktjänst på nätet, under rubriken ”Grannens domar kan läsas på nätet”. DN berättar i artikeln om hur domar från hela landet görs lätt tillgängliga för alla som betalar. 

Redan dagen efter skrev Kristina Svahn Starrsjö, generaldirektör på den myndighet som då hette Datainspektionen, på DN Debatt om faran med en ny söktjänst på nätet, med mängder av brottmålsdomar. Svahn Starrsjö beskrev hur den nya söktjänsten kringgår personuppgiftslagen genom att använda ett frivilligt utgivningsbevis, och hon uppmanade till en snabb grundlagsändring för att komma åt problemet. 

Den omskrivna sajten hette, och heter fortfarande, Lexbase. Tjänsten har sedan tillkomsten figurerat i medierapporteringen gång på gång, ofta kopplat till önskemål om lagändringar. Ändå lever tjänsten fortfarande och har fått många efterföljare.  

Diskussionerna om rättsdatabaserna är ofta polariserad. Å ena sidan vår djupt rotade svenska offentlighetsprincip, med syfte att ge journalister och enskilda möjlighet att granska och kontrollera makten så som den utövas i olika fora, däribland domstolarna. Å andra sidan enskilda människor som kan uppleva det som djupt integritetskränkande att arbetsgivare, affärskontakter eller rent av grannar med en knapptryckning kan plocka fram uppgifter om brott som begåtts för länge sedan och sonats genom straff.

På senare år har samhällsutvecklingen, med ett osäkert säkerhetspolitiskt läge och en våldsam kriminalitet, också gett olika söktjänster en ny funktion. Med hjälp av dem kan arbetsgivare och företagare snabbt och billigt kolla upp potentiella medarbetare eller underleverantörer, och i bästa fall undvika att kriminella gäng infiltrerar och utnyttjar verksamheten. 

Samtidigt som rättsdatabaserna ger möjligheter att undvika infiltration och olämpliga anställda eller affärskontakter kan de också fungera som ett redskap för kriminella krafter. Den som till exempel vill hitta en välbeställd, ensamstående äldre person att bedra eller råna har i dag alla möjligheter att identifiera potentiella offer. Söktjänsterna på nätet har beskrivits som ”en guldgruva för kriminella”. 

”Jätteolyckligt att det blivit så”

Granskning av makten och behovet av säkerhet ställs alltså mot integritetsskyddet i diskussionen. Kanske är det också de högst berättigade intressena som gjort att söktjänsterna överlevt och frodats så länge. Men kanske är det på väg att förändras. 

Hösten 2023 tillsatte regeringen en utredning med uppdraget att se över grundlagsskyddet för söktjänster som Lexbase, med syftet att stärka skyddet för den personliga integriteten. Resultatet presenterades i november 2024, men har ännu inte lett till några lagförslag. 

Utredarens förslag var att det undantag för vissa personuppgifter som finns i yttrandefrihetsgrundlagen och tryckfrihetsförordningen skulle utvidgas till att gälla alla personuppgifter. Det utvidgade undantaget ska dock, enligt utredaren, bara tillämpas om offentliggörandet innebär särskilda risker för otillbörliga intrång i enskildas personliga integritet.

Den 25 februari i år kom sedan två avgöranden från Högsta domstolen om söktjänsters och nyhetsbyråers möjlighet att få ut domar och andra handlingar från domstolar via så kallade massuttag, där en stor mängd handlingar begärs ut vid ett tillfälle. HD fastslog att sådana handlingar ska lämnas ut endast med förbehåll, så att personuppgifterna i dem enbart får användas i journalistisk verksamhet, men inte spridas vidare eller göras sökbara. 

HD:s avgöranden, som gäller rättsdatabaser som inte är öppna för allmänheten, blev en käpp i hjulet för söktjänsterna, som nu har betydligt svårare att få ut alla domar för att publicera dem, även om de inte verkar vara uträknade (läs mer om söktjänsternas arbete i artikeln ”Möter utvecklingen med olika strategier”). 

Utredningsförslaget och HD:s avgöranden är inte det enda som händer på området. Integritetsskyddsmyndigheten (IMY) som har tillsynsansvar för personuppgiftsfrågor deklarerade förra året att man ansåg sig kunna bedriva tillsyn även över söktjänster med frivilliga utgivningsbevis, och IMY har därefter inlett granskningar. Samtidigt väntar också många på EU-domstolens svar på de frågor som Attunda tingsrätt ställt till domstolen (se faktaruta). 

Den intensiva aktiviteten har förstås lett till många frågor till advokaterna. Advokat Ängla Pändel som arbetar med dataskydd och integritets- och yttrandefrihetsfrågor på Mannheimer Swartling var ombud i ett av HD-målen. Hon beskriver en rörig situation där rättsläget snabbt förändras. Utvecklingen har ställt till problem, inte minst för företag som arbetar med bakgrundskontroller, och därmed med att få ut domar från domstolar eller rättsdatabaser, och för alla de företag som är beroende av sådana. 

– För bakgrundskontrollsföretag pågår det helt klart verksamhetsanpassning just nu med väldigt oklara direktiv eftersom det kan ske förändringar ganska fort, konstaterar Ängla, som fortsätter:

– Det är jätteolyckligt att det har blivit så. Juridiken ska inte utgöra ett hinder för aktörer att bedriva legitim och samhällsnyttig verksamhet, så det blir svårt när juridiken förändras snabbt utan andra lösningar på plats.

Ängla pekar på att många verksamheter har ökade krav på sig att genomföra bakgrundskontroller, via avtal eller i informations- och säkerhetslagstiftning, på anställda och affärskontakter. Samtidigt begränsas nu möjligheterna för många aktörer att göra sådana på ett effektivt sätt.

– Det är helt klart utmanande att uppfylla sina skyldigheter samtidigt som det finns stora utmaningar när det kommer till behandlingen av personuppgifter, summerar hon.

Kan leda fel

Advokat Agnes Hammarstrand, som arbetar med digital juridik och dataskyddsfrågor på Advokatfirman Delphi, har en betydligt mer positiv syn på situationen. Hon menar att HD klargjort en hel del om utlämnande av allmänna handlingar i sina avgöranden.

– Myndigheter måste ta hänsyn till om dataskyddsregleringen kan komma att brytas vid ett utlämnande, till exempel vid massuttag. Då behöver man göra en bedömning enligt den sekretessbestämmelse som pekar på GDPR, förklarar Agnes. 

HD:s avgöranden rörde söktjänster med frivilliga utgivningsbevis (se faktaruta). Och just dessa har skapat en hel del irritation i dataskyddskretsar, påpekar Agnes. Att vissa kunnat komma undan reglerna i dataskyddsförordningen genom att luta sig mot utgivningsbevis har skapat en orättvisa, menar hon. 

– Vissa företag har lagt ner en massa tid och pengar och energi på att uppfylla kraven i GDPR medan andra bara tyckt att ”nej, vi struntar i GDPR, för vi har ett utgivningsbevis”, säger hon och tillägger att de frivilliga utgivningsbevisen från början skapades främst för medier och nättidningar. 

Men framför allt innebär söktjänsterna med domar ett stort integritetsproblem, anser Agnes. De kan dessutom leda helt fel. 

– Flera av de här databaserna har haft gratisvarianter där man kan söka på om någon finns med i databasen. Det har gjort att personer som kanske har hamnat i en vårdnadstvist eller blivit misshandlade har dykt upp i sökningarna. Företag, som har velat spara in på bakgrundskontrollskostnader, har använt dem och kanske avfärdat personer som älskar sitt jobb för att de finns i databasen överhuvudtaget, säger hon. 

Rättsläget nu har, enligt Agnes, gjort att klienter med frivilliga utgivningsbevis börjar anpassa sina tjänster till dataskyddsförordningen.

Behövs klarhet

Även advokat Henrik Lindstrand på Cederquist märker att många klienter har frågor om rättsläget och vad de behöver göra för att följa reglerna. Klienterna är dels företag som måste eller vill göra bakgrundskontroller, dels sådana som vill undvika att uppgifter på nätet används för att planera och genomföra brott. I den första gruppen kan till exempel finnas företag i den finansiella sektorn, som har hårda krav på sig när det gäller säkerhet och att motverka penningtvätt. Det oklara rättsläget och den snabba utvecklingen är olycklig för alla, anser Henrik. 

– Ingen tjänar på att detta, väldigt komplexa, område är otydligt. Det blir mycket utrymme för tolkningar. Det är ju inte önskvärt, vare sig från lagstiftarens, från användarens eller från databasernas perspektiv, säger han, och tillägger att det också skapar osäkerhet på de myndigheter som ska hantera utlämnandet av allmänna handlingar.

Den utveckling som pågår, med IMY:s tillsyn och EU-domstolens kommande ställningstagande, är därför välkommen, om den skapar större klarhet, anser Henrik.  

Agnes Norrby, biträdande jurist på Cederquist, håller med. Osäkerheten gör att många klienter vänder sig till advokatbyrån, för att få hjälp att göra rätt, konstaterar Agnes. 

– Behovet av bakgrundskontroller och att kolla upp uppgifter finns. Men klienterna behöver göra det på bästa möjliga sätt och vidta tillgängliga åtgärder för att förena de intressen som finns för alla inblandade, säger hon. 

Klienterna behöver därför bland annat hjälp med att välja rätt leverantör av bakgrundskontroller. 

– På kort sikt handlar det om att välja leverantör med omsorg och veta vilka risker det finns förknippat med olika typer av aktörer och modeller, säger Agnes och tillägger att det exempelvis i dag finns företag med tillstånd från IMY att behandla personuppgifter som rör lagöverträdelser för bakgrundskontroller (läs mer i artikeln ”Uppförandekod och tillsyn ska säkra balansen”), medan andra förlitar sig på utgivningsbevis. 

Ett annat råd till klienterna är att de inte bör låsa fast sig för mycket i en modell, tillägger Henrik. 

– Det kommer att ske förändringar på området, summerar Henrik. 
Ängla Pändels råd är likartat. ”Is i magen” är hennes rekommendation. 

– Mycket handlar ju om att förstå vad som händer och tolka utvecklingen, och sedan anpassa eller förbereda sin egen verksamhet efter de förändringar vi ser i juridiken, säger hon.

Och precis som kollegorna på Cederquist betonar Ängla att de allra flesta klienterna verkligen vill följa de regler som finns.  

– De aktörer som vi jobbar med vill verkligen värna integritetsskyddet, säger hon, och tillägger att företagen som bedriver bakgrundskontroller själva har arbetat fram etiska regler som är byggda på dataskyddsprinciper.

Kan bli konflikt

Det är alltså stora och viktiga principer som ska vägas mot varandra när rättsdatabaserna och deras söktjänster regleras och granskas. För att ytterligare komplicera landar frågan dessutom snabbt i förhållandet mellan svensk grundlag och EU-rätt.  

– Vi har ett mycket starkt yttrandefrihetsskydd i Sverige. Men data- och integritetsskyddanspråken regleras primärt EU-rättsligt. Så det finns en konflikt också mellan EU-rätt och svensk rätt, konstaterar Henrik Lindstrand.

Även Ängla Pändel tar upp detta. 

– Bakom allt det här finns frågan om EU-rättens företräde framför svensk grundlag, en fråga som är väldigt känslig och som jag tror det finns viss rädsla för att besluta om, säger hon.

Frågans känslighet kan vara en förklaring till att Högsta domstolen undviker den i de båda avgörandena från februari, anser Ängla. 

– HD indikerar att svensk lag inte följer EU-rätten genom att skriva något i stil med att ”lagstiftningen inte bör tillämpas på det sätt som lagstiftaren får antas ha avsett” eller liknande. 

Samtidigt är frågan om förhållandet mellan den svenska grundlagen och EU:s hårda persondatareglering i längden svår att komma ifrån. Den har också aktualiserats genom Attunda tingsrätts frågor till EU-domstolen i mars förra året. Tingsrätten vände sig till EU:s domstol med tre frågor, om EU-rättens förhållande till svensk rätt och om definitionen av journalistisk verksamhet.

Något slutgiltigt svar från domstolen har ännu inte kommit. Däremot en indikation om vad svaret kan tänkas bli, i form av generaladvokaten Maciej Szpunars förslag till beslut. Förslaget presenterades den 4 sept­ember, i slutfasen av arbetet med detta fokus. 

Szpunar resonerar ingående om förhållandet mellan nationell rätt och EU:s dataskyddsförordning, innan han landar i ett underkännande av den svenska ordningen där personer som upplever att deras rättigheter enligt förordningen kränkts måste vända sig till domstol med ett förtalsmål. 

Välbalanserad lag att föredra

Mot bakgrund av rättsutvecklingen framstår det som ganska logiskt att tillsynsmyndigheten IMY flyttat fram positionerna på området. Sedan förra året anser sig IMY ha möjlighet att bedriva tillsyn över databaser med utgivningsbevis, och har även inlett tillsyn mot fyra olika söktjänster (läs mer i artikeln ”Lösning för bakgrundskontroller behövs”). 

– Att IMY anser sig ha rätt att inleda tillsyn är ju uppenbart, men vi får se i vilken utsträckning de till slut kommer att tillämpa sitt tillsynsområde. Men det är helt klart en förändring i tidigare rättspraxis, säger Ängla Pändel. 

IMY har också en annan roll än som tillsynsmyndighet, i och med att myndigheten kan bevilja tillstånd för hantering av personuppgifter för företag som bedriver bakgrundskontroller. Hittills har tio företag beviljats sådana tillstånd. 

Agnes Hammarstrand tycker att IMY:s godkännande är en kvalitetsstämpel. Att företag kan ansöka om tillstånd gör också att det fortfarande är möjligt att få till stånd en seriös bakgrundskontroll, påpekar hon. 

De övriga advokaterna tycker däremot att IMY:s roll som tillståndsgivare är en smula problematisk. 

– Om det är så svårt att dra gränsen mellan yttrandefriheten och integritetsskydd att våra demokratiskt valda företrädare inte har kunnat balansera intressena – är det då vettigt att en tillsynsmyndighet tar den rollen? frågar Henrik Lindstrand retoriskt.

Han tillägger att en välbalanserad lagstiftning vore att föredra. Uppfattningen delas av IMY:s generaldirektör, som i en hemställan till regeringen sommaren 2024 uppmanade regeringen att tillsätta en utredning för att få till stånd en bättre reglering på området (läs mer i artikeln ”Lösning för bakgrundskontroller behövs”).

Kan drabba journalistiken

Mycket av diskussionerna om rättsdatabaser med söktjänster på nätet har kommit att handla om behovet av säkerhetskontroller. Söktjänsterna har dock också andra stora användargrupper, som jurister och journalister. Och medan juristerna oftast är mer intresserade av rättsutvecklingen än av personuppgifterna har journalister ofta stor nytta av just persondata i sina granskningar av missförhållanden och oegentligheter. 

Advokat Ulf Isaksson på TIME DANOWSKY arbetar med konstitutionella och medierättsliga frågor, ofta med publicister som klienter. Även han upplever att dagens rättsliga situation och i synnerhet HD:s avgöranden väcker många frågor hos klienterna.

– Många har intresserat sig för det här utslaget. Det ska tillämpas nu, och det ger ju upphov till frågor på alla möjliga ställen: domstolar, myndigheter och även från de som begär ut handlingar, säger han. 

Ulf var ombud i ett av de mål som HD prövade, som rörde Nyhetsbyrån Siren. Han har full förståelse för att människor kan uppleva söktjänsterna som integritetskränkande, men han ser skäl till oro när omsorgen om integriteten också slår mot grundlagsskyddade nyhetsbyråer liksom deras kunder som är massmedier. 

– Det är väldigt överraskande att även nyhetsrapportering och information som ligger till grund för män­niskors anspråk på kunskap om alla möjliga saker har dragits in i diskussionen, säger han, och tillägger att uppgifter om enskilda personer utgör ett viktigt underlag som professionella nyhetsredaktioner alltid använder som en del i sitt arbete. 

– Arbetet med granskande journalistik försvåras utan skäl. Mig veterligen är det mycket sällan som vanliga massmedier publicerar en hel dom från början till slut.

Ulf är också kritisk till att IMY omprövat sin tidigare ståndpunkt, att databaser med utgivningsbevis ligger utanför myndighetens tillsynsområde. 

– Den svenska ordningen är att sådant som har att göra med nyhetsbyråer och massmedier har anförtrotts Justitiekanslern, säger han.

Agnes Hammarstrand är däremot inte oroad över utvecklingen. Att samla stora mängder domar för andra att ta del av kan inte anses vara liktydigt med journalistik, anser hon. 

– Det finns ju ingen som ifrågasätter att en journalist ska kunna få ut allmänna handlingar. Däremot finns det inget publikt eller journalistiskt intresse av att kunna få veta allt om Ida Svensson för att hon har sökt ett jobb, säger Agnes. 

Behövs ett helhetsgrepp

Uppfattningarna om vilka värden som står på spel går alltså isär, litegrann beroende på perspektiv. Men en sak är alla advokaterna överens om: att det behövs större klarhet på området. 

Lagstiftningsinitiativ är också att vänta. Förutom det snart ett år gamla utredningsförslaget säger sig regeringen och justitieminister Gunnar Strömmer planera för ytterligare lagstiftningsarbete så snart EU-domstolen lämnat sina svar på Attunda tingsrätts frågor. 

Vad önskar då advokaterna av den reglering som tycks vara att vänta?

Agnes Hammarstrand efterlyser framför allt rättvisa spelregler, och att företag inte ska kunna kringgå dataskyddslagstiftningen och publicera integritetskränkande personuppgifter med hjälp av frivilliga utgivningsbevis. 

– Det ska vara tydliga ramar och att lagstiftaren tar ställning till vad som är okej och inte, säger hon.

Behovet av bakgrundskontroller kan och bör skötas med hjälp av seriösa bakgrundskontrollföretag, med tillstånd av IMY, anser Agnes.

Även Ängla Pändel ser att integritetsskyddet behöver stärkas. Söktjänster tillgängliga för alla, där var och en kan kolla upp grannen eller dotterns nya pojkvän, är en del av problemet. Ett annat är att tjänsterna kan användas för ogrundade bakgrundskontroller, där resultatet kan bli fel eller i värsta fall rent diskriminerande.

Samtidigt har alla centrala aktörer, inklusive IMY och regeringen, lyft fram att det behövs fungerande tjänster för de viktiga bakgrundskontrollerna, påpekar Ängla.  

– Bakgrundskontroller har en tydlig och viktig funktion i samhället, men de ska skötas på ett lagenligt sätt där säkerhetsintressen och integritetsintressen balanseras, säger hon.

I dagsläget har många företag svårt att genomföra de bakgrundskontroller de behöver, framhåller Ängla. Hon berättar att situationen kompliceras ytterligare av att domstolar, efter HD:s avgöranden, tolkar rättsutvecklingen olika och att det förekommer fall där domstolar även nekat utlämnande av enskilda allmänna handlingar eller handlingar till företag som har tillstånd från IMY. 

Det som behövs nu, menar Ängla, är ett helhetsgrepp på frågorna om integritet, yttrande- och informationsfrihet och säkerhet.

– Det är oerhört viktigt att det inte blir en snabb lagstiftning som mest sätter plåster på ett stort blödande sår, lagstiftaren behöver zooma ut och se den stora bilden som täcker in frågor kopplat till grundlag, nationell säkerhet, bakgrundskontroller och till journalistik och juristers behov. Annars är risken att vi snart behöver revidera lagen igen, säger hon. 

Håller sig till ordningen

Även Agnes Norrby betonar att det behövs en långsiktigt hållbar reglering på området. Därmed behöver den också vara teknikneutral, och ta med den snabba utvecklingen av AI i beräkningen. Frågan är också vem som ska ta initiativet och sätta upp spelreglerna: den svenska lagstiftaren eller EU. 

– Jag tror att det är bättre från ett svenskt perspektiv att vi kontrollerar frågan och hanterar och reglerar den på ett bra sätt, än att EU-domstolen dirigerar oss i en viss inriktning baserat på nuvarande ordning, säger Agnes. 

Hennes kollega Henrik Lindstrand jämför med regleringen av kreditupplysningar. Även dessa innehåller ju i högsta grad integritetskänslig information. Där måste kreditupplysningsbolag i dag ha tillstånd att bedriva kreditupplysningsverksamhet och de måste implementera säkerhetsåtgärder som syftar till att skydda enskildas integritet. 

– På motsvarande vis skulle man kunna tänka sig en ordning där bolag får behandla uppgifterna från domar, men de ska göra det på vissa villkor och implementera åtgärder för att tillgodose både integritetsskyddet och yttrandefriheten, säger Henrik, och fortsätter:

– En kombination av lagstiftning och reglering av vilka aktörer som får tillgång till integritetskänsliga uppgifter skulle eventuellt kunna vara en del av vägen framåt. 

Även Ulf Isaksson drar parallellen till kreditupplysningar. Men framför allt menar han att regleringen måste göras så att yttrandefriheten inte äventyras. I praktiken innebär det att reglerna bör tas in i grundlagarna. 

Ulf hänvisar till Advokatsamfundets remissyttrande över betänkandet Personuppgifter och mediegrundlagarna från mars i år. Samfundet fastslog där bland annat att tekniken att lagstifta genom delegation till IMY undergräver syftet med tryckfrihetsförordningens och yttrandefrihetsgrundlagens konstitutionella ställning. ”Det är inte lämpligt att framtida ändringar i den lag till vilken delegation sker i praktiken får styra det rättsliga skyddet för tryck- och yttrandefriheten”, skrev samfundet.

– Integritetsaspekten i de här frågorna ska tas om hand i tryckfrihetsförordningen och i yttrandefrihetsgrundlagen. Man ska inte delegera ut och bort dem för tillämpning och bedömning hos olika myndigheter. Därmed håller man sig till den grundlagssystematiska ordning som man har bestämt sig för för länge sedan. Det är väldigt viktigt, fastslår Ulf.