Remissvar från Bakgrundskontrollföretagen (BKF) gällande SOU 2024:75 – Personuppgifter och mediegrundlagarna

Bakgrundskontrollföretagen och näringslivets tillgång till information behöver regleras

Utredningen “Personuppgifter och mediegrundlagarna” (SOU 2024:75), publicerad den 20 november 2024, har granskat grundlagsskyddet för söktjänster som offentliggör personuppgifter, såsom information om brott, adresser, telefonnummer och civilstånd.

Syftet med utredningen är att stärka skyddet för personlig integritet när sådan information görs tillgänglig genom dessa tjänster. Utredningens föreslår därför att undantag från grundlagsskyddet ska kunna göras för rättsdatabaser som tillhandahåller personuppgifter, såsom domar och brottsmålsuppgifter.

Rättsdatabaser och bakgrundskontroller
För våra medlemmar är tillgången till information en förutsättning för att effektivt kunna genomföra relevanta, rätts- och integritetssäkra bakgrundskontroller. Konsekvensen av utredningens förslag – att utgivningsbeviset för rättsdatabaser försvinner – kan innebära konsekvenser för professionella bakgrundskontrollföretag och dess uppdragsgivare om tillgången till information inte säkras på annat sätt. Det riskerar också leda till en ökad administrativ arbetsbörda för landets domstolar som kan antas få en ökad mängd förfrågningar om allmänna handlingar.

För Bakgrundskontrollsföretagens (BKF) medlemmar är det viktigt att få tillgång till rättsdata för att kunna göra relevanta bakgrundskontroller. Utredningens förslag om en begränsning av grundlagsskyddet för vissa rättsdatabaser, som innebär att rättsdatabaser inte kommer omfattas av skyddet i Yttrandefrihetsgrundlagen (1991:1469), innebär att rättsdatabaser kan regleras i vanlig lagstiftning. Exempelvis regleras kreditupplysningsverksamhet på ett liknande sätt idag och det har i debatten, från myndighets- och domstolshåll, framförts idéer kring en möjlig liknande reglering av bakgrundskontrollföretag

BKF anser att rättsdatabaser eller liknande informationstjänster ska omfattas av en särskild reglering som begränsar hur personuppgifter får publiceras och lagras.
Om tillgången till information hanteras genom tillåtlighet av privata rättsdatabaser så förordar BKF en lagstiftning som reglerar innehållet i den information rättsdatabaser har rätt att ta fram om individer. Det innebär att rättsdatabaser kommer behöva omfattas av striktare reglering för att skydda enskilda individers integritet.

Några exempel från utredningen som BKF kan ställa sig bakom:

  • En reglering av vilka personuppgifter som får behandlas i rättsdatabaser.
  • Införa tidsgränser för hur länge information får ligga kvar i sådana databaser.
  • Möjliggöra ett starkare skydd för individer som omnämns i domar, exempelvis genom anonymisering.

Tillgången till information kan även säkras på annat sätt såsom redogjorts för ovan.

BKF anser att nyttjandet av rättsdatabaser eller liknande informationstjänster även bör regleras.
Ett eventuellt tillgängliggörande i reglerade rättsdatabaser måste baseras på legala grunder och både slentrian- och felaktiga sökningar som inte baseras på laglig grund ska beivras. BKF:s medlemsbolag har under flera år dels en gemensam god branschsed dels en djup kunskap och expertis av att hantera en större mängd personuppgifter i en risk- och sårbarhetskontext där både tekniska såväl som integritetsbaserade skyddsåtgärder i bakgrundskontrollprocessen är en självklar del av kärnverksamheten. Det är faktorer som behöver vara på plats för att upprätthålla integriteten för både uppdragsgivaren som den kontrollerade.

Som utredningen har belyst så är rättsdatabaser och söktjänster ett viktigt verktyg för den organiserade brottsligheten i dess nuvarande form. I tillägg till vad utredningen anför så är det med hänsyn till den mängd uppgifter som görs tillgängliga i söktjänsterna också rimligt att anta att tjänsterna kan användas för att identifiera potentiella insiders och utsätta dem för hot, exempelvis genom att hota med att avslöja negativ information för en arbets- eller uppdragsgivare. Det spelar i detta sammanhang ingen roll om söktjänsterna är fritt tillgängliga för var och en, eller skyddas av någon form av betalspärr. Risken för utnyttjande kvarstår.

Vidare finns det anledning att beakta nationella säkerhetsperspektiv. Utredningen har identifierat 65 söktjänster från 50 företag. Informationen i flera av dessa databaser är ofta mycket omfattande. Genom att samla in offentligt tillgänglig information från ett stort antal myndigheter och andra källor behandlar söktjänsterna ofta mer information om individer än vad myndigheterna själva får hantera. Denna informationsmängd – en omfattande kartläggning av Sveriges befolkning – är naturligtvis av intresse för främmande makt. Lagstiftningen ställer inga krav på IT-säkerhet för söktjänsterna, och det görs heller ingen ägarprövning.

Mot denna bakgrund bör det ställas lämpliga krav på hanteringen av aggregerade data om rättsdatabaser tillåts, såväl genom ägarprövning som vilka som får ges tillgång till informationen.

Ikraftträdande
Utredningen “Personuppgifter och mediegrundlagarna” (SOU 2024:75) föreslår att dessa grundlagsändringar ska träda i kraft 1 januari 2027. För att säkra en smidig övergång bör en utredning som säkrar bakgrundskontrollbranschens, säkerhetsbranschens och svenskt näringsliv tillgång till nödvändig information tillsättas omgående. BKF noterar i sammanhanget att IMY hemställt om tillsättande av en utredning avseende bakgrundskontroller och förordar att en sådan tillsätts. En sådan utredning bör upplysningsvis ta hänsyn till att BKF för närvarande arbetar på eget initiativ för att ta fram en uppförandekod och erhålla status som tillsynsorgan från Integritetsskyddsmyndigheten (IMY) för medlemmarnas personuppgiftshantering.

Vänliga hälsningar,
Johan Söderström,
Ordförande, Bakgrundskontrollsföretagen (BKF)
2025-02-29

PrimeSafe
ToFindOut
2Secure
Tempest Risk Solutions
Valida
SRS Security
Validata
Nordic LEVEL Group