Artikel Beställares möjlighet att kontrollera leverantörer i rättsdatabaser

Enligt 13 kap. 1 § LOU måste upphandlande myndigheter utesluta leverantörer från upphandling om det framkommer att leverantören, eller personer i dess ledning, dömts för vissa brott (exempelvis bedrägeri, penningtvätt eller terroristbrott). För att kontrollera detta har en del upphandlande myndigheter använt sig av olika privatägda rättsdatabaser. Det förekommer även att privata beställare som inte har denna skyldighet gör sådana kontroller vid valet av entreprenör. Nya beslut från Högsta domstolen i två ärenden riskerar dock att försvåra sådana kontroller.

Kort om rättsdatabaserna

På senare år har flera företag på den svenska marknaden börjat tillhandahålla privata rättsdatabaser med brottmålsdomar. Dessa företag hämtar in stora mängder brottmålsdomar från landets domstolar och sammanställer dem därefter i databaser där användarna kan söka efter domar kopplade till enskilda namngivna privatpersoner. Detta gör det möjligt för användarna att kontrollera om en enskild person har blivit dömd för brott av en svensk domstol.

Lagstiftningsmässigt har rättsdatabaserna möjliggjorts av offentlighetsprincipen och de frivilliga utgivningsbevisen eftersom det är med stöd av denna lagstiftning som domarna innehållande personuppgifter samlats in och bearbetats.

Offentlighetsprincipen, yttrandefriheten och de frivilliga utgivningsbevisen

Enligt offentlighetsprincipen har alla rätt att ta del av allmänna handlingar. Denna princip följer av 2 kap. 1 § Tryckfrihetsförordningen (TF). Genom offentlighetsprincipen kan företagen bakom rättsdatabaserna samla in domar som innehåller de personuppgifter som företagen vill behandla, förutsatt att uppgifterna inte omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL).

Genom den grundlagsskyddade yttrandefriheten kan företagen även tillhandahålla informationen till användarna via rättsdatabaserna. En grundläggande yttrandefrihet följer av 2 kap. Regeringsformen. Media som driver journalistisk verksamhet har dessutom förenklat uttryckt en ”förstärkt” yttrandefrihet genom regler i TF och Yttrandefrihetsgrundlagen (YGL). Även företagen bakom rättsdatabaserna kan omfattas av dessa regler genom att ansöka om och beviljas ett frivilligt utgivningsbevis.

Förhållandet mellan grundlagarna och dataskyddsregleringen

Ytterligare tre viktiga regelverk i sammanhanget är OSL, dataskyddslagen samt den EU-rättsliga dataskyddsförordningen (i dagligt tal ”GDPR” efter det engelska namnet General Data Protection Regulation).

Dataskyddslagen och GDPR innehåller skydd för personuppgifter. Det följer av 21 kap. 7 § OSL att sekretess gäller för en personuppgift om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsregleringen. Det innebär i praktiken att om någon exempelvis begär ut en dom och domstolen antar att den dömdes namn kommer behandlas i strid med dataskyddsregleringen så ska domstolen lämna ut domen med namnet maskat.

En sådan maskning av personuppgifterna är ett problem för de företag vars affärsidé är att samla in just personuppgifter i domar för att sammanställa detta i rättsdatabaser.

Av 1 kap. 7 § dataskyddslagen följer dock att GDPR inte ska tillämpas i den utsträckning det skulle strida mot TF eller YGL. Grundlagarna ges därmed företräde framför GDPR.

Denna ordning har tidigare gjort det möjligt för söktjänster med utgivningsbevis att ta del av och publicera allmänna handlingar innehållande personuppgifter i rättsdatabaser utan hinder av GDPR. Resonemanget till stöd för detta är kortfattat följande: 21 kap. 7 § OSL hänvisar till GDPR. Enligt 1 kap. 7 § dataskyddslagen ska inte GDPR tillämpas om det strider mot TF eller YGL. En verksamhet som exempelvis har frivilligt utgivningsbevis omfattas av TF och YGL, och därmed är GDPR inte tillämpligt på verksamheten. Eftersom GDPR inte är tillämpligt kan sekretess inte föreligga enligt 21 kap. 7 § OSL.

Högsta domstolens beslut

Högsta domstolen har under början av 2025 meddelat två beslut av relevans för rättsdatabasernas verksamhet (beslut i Ä 3169-24 och Ä 3457-24 ). Bakgrunden till besluten var följande: Två företag som tillhandahåller rättsdatabaser begärde ut brottmålsdomar från två domstolar. Domstolarna fann att det kunde antas att företagens behandling av uppgifterna skulle behandlas i strid med GDPR och att det därmed förelåg sekretess för personuppgifterna i domen. I båda fallen hade de aktuella företagen utgivningsbevis.

Domstolarnas beslut överklagades till Högsta domstolen. Högsta domstolen fann, något förenklat, att 1 kap. 7 § dataskyddslagen inte innebär att GDPR helt saknar tillämplighet på det grundlagsskyddade området. Det måste i det enskilda fallet ske en intresseavvägning mellan intresset av yttrande- och informationsfrihet och allmänhetens rätt att få tillgång till allmänna handlingar å den ena sidan och rätten till skydd för personuppgifter å den andra sidan. Även företag som exempelvis har ett utgivningsbevis kan alltså behöva följa GDPR vid den verksamhet som omfattas av utgivningsbeviset, givet att intresset för verksamheten inte väger tyngre än intresset för personuppgiftsskyddet. Det innebär i förlängningen att även företag som har utgivningsbevis kan strida mot GDPR och att sekretess därmed kan föreligga enligt 21 kap. 7 § OSL.

Högsta domstolen ansåg att det inte var förenligt med GDPR att ha en ordning som innebär att brottmålsdomar i stor omfattning lämnas ut för att behandlas i en databas och göras tillgängliga för andra. I detta fall vägde alltså skyddet för personuppgifter tyngre, vilket innebar att sekretess förelåg enligt 21 kap. 7 § OSL.

De två företagen tillhandahöll dock även redaktionellt bearbetad nyhetstext. I detta fall ansågs de journalistiska intressena väga tyngre än personuppgiftsskyddet, och sekretess inte förelåg enligt 21 kap. 7 § OSL. Det innebar att domstolarna skulle lämna ut handlingarna med förbehållet att personuppgifterna däri inte fick tillhandahållas till allmänheten via databaser. På så sätt kunde företagen fortfarande skriva artiklar om domarna, men de fick inte ladda upp domarna omaskade på sina rättsdatabaser.

Beställares framtida möjlighet till kontroller genom rättsdatabaser

I nuläget är det svårt att med säkerhet bedöma vilken räckvidd Högsta domstolens beslut kommer att ha för de rättsdatabaser som beställare kan använda sig av för att granska potentiella leverantörer. Detta eftersom förhållandet mellan GDPR och den svenska regleringen fortsatt är otydligt efter dessa beslut.

Faktumet att Högsta domstolen slagit fast att sekretess kan gälla även i förhållande till en verksamhet som omfattas av TF/YGL talar dock för att företagen bakom rättsdatabaser framöver kommer få svårare att insamla personuppgifter till databaserna. Besluten från Högsta domstolen, även om de avser specifika begäranden om utlämnande, kommer med stor sannolikhet att vara vägledande för hur myndigheter hanterar liknande ärenden framöver, vilket sannolikt medför att liknande förbehåll i högre grad kommer att utfärdas. Om detta får genomslag kommer rättsdatabaserna ha kvar uppgifter om gamla domar samtidigt som nya domar inte kommer att kunna kopplas till enskilda individer, vilket kommer att leda till att dessa databaser blir mindre användbara allteftersom tiden går.

Samtidigt är Högsta domstolen tydlig med att det ska ske en intresseavvägning. I Högsta domstolens två beslut var det fråga om två företag som samlar in olika typer av brottmålsdomar för att dela dessa med dels andra nyhetsorganisationer och massmedier, dels företag som önskade använda uppgifterna för bakgrundskontroller, journalistik eller forskning. Det är möjligt att ett företag med en mer nischad affärsidé – exempelvis att endast samla in sådana domar som rör de brott som utgör uteslutningsgrunder enligt 13 kap. 1 § LOU och endast dela dessa domar med exempelvis upphandlande myndigheter – kan argumentera för att allmänintresset i det fallet väger tyngre än integritetsintresset. Denna typ av fråga kommer säkerligen att prövas tids nog, i takt med att fler domstolar sannolikt väljer att lämna ut domar med förbehåll om att personuppgifterna däri inte får tillgängliggöras i databaser.

Blickar vi framåt har EU-domstolen även att ta ställning till den svenska regleringen genom ett förhandsavgörande som Attunda tingsrätt begärt in (mål T 3743-23) vilket förhoppningsvis kommer att bringa klarhet i den svenska regleringens förenlighet med GDPR. Regeringens inställning i det kommande målet är att utformningen av avvägningen mellan integritet och yttrandefrihet åligger medlemsstaterna och att den svenska yttrandefriheten har en stark förankring i svensk rätt. Beroende på EU-domstolens ställningstagande skulle detta kunna öppna för framtida lagstiftningsåtgärder, vilka skulle kunna ge fortsatt utrymme åt vissa former av bakgrundskontroll.

Det finns dessutom en utredning (SOU 2023:43) om en samordnad registerkontroll för upphandlande myndigheter. Utredningen, som är ute på remiss, föreslår att Bolagsverket ska ansvara för att tillhandahålla ett system för samordnad registerkontroll som upphandlande myndigheter skulle kunna använda sig av. Denna lösning syftar till att underlätta granskningen av leverantörer för upphandlande myndigheter och kan delvis ersätta behovet av att använda privata rättsdatabaser för detta ändamål. Detta lagförslag kommer åtminstone möjliggöra för offentliga beställare att kontrollera leverantörer men kommer inte att hjälpa de privata beställare som kan vilja kontrollera enskilda entreprenörer.

Avslutningsvis bör det tilläggas att även om möjligheten att använda databaser eventuellt kommer att begränsas framöver så kvarstår möjligheten att direkt kontakta domstolar för att efterforska förekomsten av brottslighet. Detta förfarande är dock mer tidskrävande och mindre effektivt än att använda databaser.