EFTERLEVNAD

Rättsdatabaser och gråaktörer på fall – förbehållen sätter den verkliga gränsen

Efter HD:s beslut i Ä 3169-24 är rättsläget tydligt: den som använder rättsdata ansvarar själv enligt GDPR. Många gråaktörer döljer olaglig hantering bakom välkända varumärken och till synes legitima tjänster. Att följa de tre förbehållen är nu avgörande för att undvika överträdelser och skydda kandidatintegritet.

Förbehållen enligt HD

När brottmålsdomar lämnas ut gäller tre centrala förbehåll:

• Handlingarna får inte tillhandahållas allmänheten eller betalande kunder om detta innebär att de får del av personnamn, personnummer eller adress till enskilda personer.
• Det är inte tillåtet att erbjuda allmänheten eller betalande kunder någon form av sökmöjlighet i handlingarna som ger tillgång till personnamn, personnummer eller adress till enskilda personer.
• Handlingarna får inte användas för att avisera allmänheten eller betalande kunder på ett sätt som gör det möjligt att bevaka om en viss person förekommer i handlingarna.

Dessa tre punkter är formulerade av Högsta domstolen och gäller oavsett typ av verksamhet, kommersiell eller journalistisk.

Två typer av aktörer – båda kan bryta mot förbehållen

Hur kunder kan känna igen olagliga aktörer

Det finns flera kännetecken på aktörer som bryter mot förbehållen:

• Möjlighet att söka på namn eller personnummer i domar.
• Brist på information om förbehåll.
• Leverantören har ingen egen inhämtning från tingsrätterna

Det här gör att en gråaktör inte alltid är lätt att identifiera vid en första kontakt. Många kunder tror sig köpa en legitim tjänst – men får i själva verket åtkomst till information som hanteras i strid med lagen. Många gånger gömmer aktören sin rättsdatahantering bakom ett neutralt eller välkänt varumärke och erbjuder ofta andra till synes legitima tjänster, exempelvis digital referenstagning eller kandidatverifiering.

Enligt GDPR är det alltid den som använder personuppgifterna som ansvarar för att behandlingen sker lagligt. Det går alltså inte att hänvisa till leverantören om uppgifterna har hanterats i strid med förbehållen. Felaktig hantering kan leda till tillsyn och sanktionsavgifter – även för den som bara använder informationen.

Slutsats

• Förstahandsaktörer kan agera lagligt så länge de följer förbehållen.
• Gråaktörer, som köper och sprider vidare information i strid med förbehållen, bryter mot reglerna redan i sin konstruktion.
• Aktörer som gör uppgifterna tillgängliga för betalande kunder eller allmänheten bryter mot minst 2 av förbehållen.
• Kunder som använder olagligt spridd information riskerar eget ansvar enligt GDPR.

Utgivningsbevis förändrar inte rättsläget. Det finns ingen gråzon – bara laglig eller olaglig hantering. Enda vägen är att följa förbehållen exakt, utan undantag.

Kontakta oss

Efter HD:s beslut är det tydligt att många av de lösningar som används idag inte uppfyller lagens krav. Bakgrundskontroller kan fortfarande göras effektivt och lagenligt – men det kräver att man följer förbehållen och skyddar kandidatens integritet genom hela processen.

Fortcheck hjälper organisationer att genomföra bakgrundskontroller med högsta möjliga integritet och i full överensstämmelse med gällande lagstiftning.

Vill du veta hur bakgrundskontroller kan göras lagligt, tryggt och med respekt för individens integritet?