Hoppa till innehåll på sidan

Brottsuppgifter

Här kan du läsa mer om vad som gäller när arbetsgivare vill hantera uppgifter om lagöverträdelser.

Begränsningar för att få behandla brottsuppgifter

Dataskyddsförordningen ställer upp särskilda begränsningar för att det ska vara tillåtet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott. Det gäller uppgifter om att någon

  • har begått ett brott
  • dömts för ett brott
  • häktats eller varit föremål för andra former av straffprocessuella tvångsmedel
  • misstänks för ett konkret brott.

Huvudregeln är att bara myndigheter får behandla personuppgifter om lagöverträdelser.

För arbetsgivare som inte är myndigheter krävs det att behandlingen som rör lagöverträdelser är tillåten enligt nationell rätt eller unionsrätt som innehåller lämpliga skyddsåtgärder. IMY kan genom generella föreskrifter, eller efter ansökan i ett enskilt fall, besluta att andra än myndigheter får behandla uppgifter om lagöverträdelser.

Exempel på när det kan vara tillåtet för arbetsgivare som inte är myndigheter att behandla uppgifter om anställdas lagöverträdelser

  • det är tillåtet enligt bestämmelser i en lag eller förordning
  • behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, till exempel ett skadeståndsanspråk eller som grund för uppsägning
  • behandlingen är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras
  • enligt generella föreskrifter från IMY(DIFS: 2018:2)
  • efter att ha fått ett tillstånd från IMY.

Myndigheter behöver alltså inte ha uttryckligt stöd i föreskrifter eller beslut från IMY för att få behandla uppgifter som rör lagöverträdelser. Men precis som andra arbetsgivare måste myndigheter ha stöd för sin behandling enligt dataskyddsförordningen. Det innebär att en myndighet får behandla personuppgifter om lagöverträdelser som är nödvändiga för sitt uppdrag om det finns en rättslig grund för att behandla uppgifterna. Det förutsätter också att behandlingen följer övriga dataskyddsregler som är tillämpliga i verksamheten.

Ingen arbetsgivare kan använda samtycke som rättslig grund för att behandla den här typen av uppgifter.

Belastningsregister

Det förekommer att en arbetsgivare vid anställningsintervjuer ställer frågor om brottslighet eller kräver att en arbetssökande ska visa upp ett utdrag ur polisens belastningsregister. Ett tillvägagångssätt som enbart innebär att frågor ställs eller att ett belastningsregisterutdrag visas upp på papper omfattas inte av dataskyddsförordningen.

Dataskyddsförordningen gäller dock om arbetsgivaren samlar in och behandlar personuppgifter, till exempel scannar in utdrag från belastningsregistret eller registrerar uppgifter om en enskild persons tidigare brottslighet. Utan särskilt författningsstöd är det inte tillåtet enligt dataskyddsförordningen att behandla personuppgifter om lagöverträdelser i samband med kontroll av utdrag ur belastningsregistret.

Dataskyddsförordningen kan bli tillämplig även om arbetsgivaren bara behandlar uppgifterna på papper, till exempel samlar in utdrag från belastningsregistret eller gör anteckningar för hand om en enskild person. Det gäller om informationen struktureras på ett sådant sätt att det med lätthet går att återfinna den för senare användning.

Om arbetsgivaren endast registrerar att ett registerutdrag har uppvisats, utan att information om innehållet framgår, är det inte en uppgift om lagöverträdelser. Däremot är det en behandling av personuppgifter. För att den ska vara tillåten ska den uppfylla grundläggande dataskyddsprinciper och ha stöd i en rättslig grund. Det kan regelmässigt inte anses vara en adekvat och relevant uppgift i samband med rekrytering.

Det finns förslag om att införa ett generellt förbud mot registerkontroll, det vill säga oavsett om dataskyddsförordningen gäller. Förslaget innebär att det ska krävas särskilt författningsstöd för att få begära att en arbetstagare eller arbetssökande ska visa eller överlämna ett utdrag ur belastningsregistret.

Sådant författningsstöd finns när det gäller vissa verksamheter, till exempel i skollagen och i lagen om registerkontroll av personer som ska arbeta med barn. Närmare regler om kontrollen, till exempel om den är obligatorisk eller frivillig för arbetsgivaren och vad som får dokumenteras i samband med kontrollen finns i respektive författning.

Brottsuppgifter vid visselblåsning

Arbetsgivare kan ha behov av att inrätta särskilda rapporteringskanaler där anställda kan rapportera om allvarliga oegentligheter inom bolagen, exempelvis bokföringsbrott eller mutbrott. Det brukar kallas för system för visselblåsning. Arbetsgivare har möjlighet att inrätta ett sådant system, där uppgifter om lagöverträdelser kan förekomma, i enlighet med en generell föreskrift från Integritetsskyddsmyndigheten som rör lagöverträdelser.

Föreskrift om lagöverträdelser (pdf 78 kB)

Utöver att följa föreskriften måste arbetsgivaren då följa bestämmelserna i dataskyddsförordningen, till exempel om grundläggande principer, stödja sig på en rättslig grund och ha rutiner för information till registrerade. Enligt föreskriften ska rapporteringen gälla allvarliga oegentligheter som begåtts av personer i nyckelpositioner eller ledande ställning inom det egna bolaget eller koncernen. Härutöver har arbetsgivaren (andra än myndigheter) möjlighet att ansöka om tillstånd hos Integritetsskyddsmyndigheten.

Arbetsgivaren behöver överväga om det krävs en konsekvensbedömning innan behandlingen påbörjas. Ett exempel på en sådan behandling som kräver konsekvensbedömning är när en organisation inför ett gemensamt system där det är möjligt att anmäla missförhållanden på arbetsplatsen, ett så kallat visselblåsarsystem.

I sammanhanget kan nämnas att det är på gång nya EU-regler om visselblåsning (det så kallade visselblåsardirektivet). Regeringen har tillsatt en utredning som ska föreslå hur direktivet ska genomföras i svensk rätt (SOU 2020:38).

Personuppgifter som rör lagöverträdelser

Konsekvensbedömningar och förhandssamråd

Senast uppdaterad: 2 juli 2021
Sidans etiketter Dataskydd