Så får privata aktörer behandla uppgifter om lagöverträdelser

Behandling av uppgifter om lagöverträdelser, till exempel domar i brottmål, medför särskilda integritetsrisker. Därför har det i artikel 10 i GDPR införts en särskild skyddsreglering för sådana uppgifter. IMY antog för cirka 5 år sedan ett rättsligt ställningstagande om vilka personuppgifter som omfattas av begreppet ”personuppgifter som rör lagöverträdelser som innefattar brott” i artikel 10. 

Som vi tidigare meddelat kommer vi att se över vårt rättsliga ställningstagande, och som ett led i det arbetet har vi tagit ett nytt grepp genom att hämta in synpunkter utifrån. Vi är mycket tacksamma för de synpunkter vi fått in, som vi nu tar med oss i det fortsatta arbetet. Vi har också efterfrågat information från våra europeiska systermyndigheter om deras tolkning av artikel 10. Eftersom syftet med GDPR är att alla i EU ska ha samma skydd är det viktigt att vi gör en så enhetlig tolkning av bestämmelserna som möjligt.

När får man behandla uppgifter om lagöverträdelser?

En fråga som inte omfattas av det rättsliga ställningstagandet är vilket rättsligt stöd som behövs för att behandla uppgifter om lagöverträdelser, alltså under vilka förutsättningar man får behandla sådana uppgifter. I våra externa kontakter får vi ofta frågor om detta, och tanken med det här blogginlägget är att ge övergripande vägledning. En återkommande fråga är om det alltid krävs en rättslig förpliktelse för att privata aktörer, till exempel företag, ska få behandla uppgifter om lagöverträdelser. Svaret på den frågan är nej, mer om det nedan.

Myndigheter får behandla uppgifter om lagöverträdelser

Om vi börjar med myndigheter framgår det direkt av GDPR och den svenska dataskyddslagen att myndigheter får behandla uppgifter om lagöverträdelser. Det krävs alltså inte något särskilt stöd för myndigheters behandling av sådana uppgifter, utöver det krav på rättslig grund som alltid gäller enligt artikel 6 i GDPR. 

Privata aktörer behöver ett särskilt rättsligt stöd 

För privata aktörer krävs däremot ett särskilt stöd. Enligt artikel 10 i GDPR krävs att det finns nationell eller EU-rättslig reglering som tillåter behandlingen, och som innehåller lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. En förutsättning för att privata aktörer ska få behandla sådana uppgifter är alltså att det finns tillåtande reglering som uppfyller kraven i artikel 10. 

I svensk rätt finns sådan tillåtande reglering dels i den allmänna dataskyddsregleringen, det vill säga dataskyddslagen och kompletteringsförordningen, dels i sektorsspecifik lagstiftning. Se nedan för länkar till dataskyddslagen och kompletteringsförordningen.

Tillåtande bestämmelser i dataskyddslagen och kompletteringsförordningen

Av dataskyddslagen framgår att privata aktörer får behandla uppgifter om lagöverträdelser, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv (3 kap. 8 §). I dataskyddslagen finns också undantag för grundlagsskyddade medier, till exempel dagstidningar, och annan journalistisk verksamhet. Den innebär att uppgifter om lagöverträdelser kan behandlas utan särskilt lagstöd (1 kap. 7 §).

Enligt kompletteringsförordningen (5 §) får andra än myndigheter behandla uppgifter om lagöverträdelser, om det är nödvändigt för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Det kan till exempel vara fråga om en advokat som behandlar uppgifter om lagöverträdelser inom ramen för en domstolsprocess. Vidare får sådana uppgifter behandlas om det är nödvändigt för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras. Ett exempel på en sådan rättslig förpliktelse är skyldigheten att ha en intern visselblåsarkanal i 5 kap. 2 § lagen (2021:890) om skydd för personer som rapporterar om missförhållanden. I sådana visselblåsarkanaler får uppgifter om lagöverträdelser behandlas om det är nödvändigt för att uppfylla kraven i lagen. 

IMY:s föreskrifter och tillstånd

Enligt kompletteringsförordningen ges vidare IMY rätt att besluta föreskrifter på området. IMY:s föreskrifter gäller mer specifika falI, till exempel behandling av uppgifter om lagöverträdelser inom socialtjänsten och fristående skolors elevvårdande verksamhet IMYFS 2024:1 (pdf, 3 MB). IMY får även i enskilda fall besluta att andra än myndigheter får behandla sådana uppgifter. Här kan ni läsa mer om hur en sådan ansökan om tillstånd görs Ansöka om att få behandla personuppgifter om lagöverträdelser.

Tillåtande bestämmelser i sektorsspecifik reglering

Utöver den allmänna regleringen i dataskyddslagen finns sektorsspecifik reglering som ger stöd för att behandla uppgifter om lagöverträdelser. Exempel på detta är 5 kap. 6 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) och 23–24 §§ lagen (2021:34) om tillträdesförbud till butiker, badanläggningar och bibliotek. Eftersom dataskyddslagen är subsidiär i förhållande till andra lagar och förordningar, gäller dessa sektorsspecifika regleringar vid sidan av dataskyddslagen. 

Det krävs inte alltid en rättslig förpliktelse

En fråga som vi ofta får är om det alltid krävs en rättslig förpliktelse för att privata aktörer ska få behandla uppgifter om lagöverträdelse. Frågan utgår från kompletteringsförordningens reglering om rättsliga förpliktelser. Den regleringen är dock, som framgår ovan, en bland flera tillåtande regleringar som införts i svensk rätt. När det finns en tillåtande reglering i en annan lag eller förordning (se exempel under föregående rubrik) står den på egna ben. Man behöver då inte tillämpa kompletteringsförordningens reglering om rättslig förpliktelse. 

David Törngren, rättschef