Rättsdatabaser kan bli ett dyrt alternativ för arbetsgivare

Rättsdatabaser kan bli ett dyrt alternativ för arbetsgivare. När Högsta domstolen den 25 februari 2025 satte stopp för domstolarnas rutinmässiga utlämning av omaskerade brottmålsdomar till kommersiella databaser förändrades spelplanen för alla som förlitar sig på snabba databasslagningar i rekryteringsprocessen. Beslutet signalerar att integritetsintresset väger tyngre än databasbolagens utgivningsbevis och att varje fortsatt spridning av omaskerade domar i princip står i strid med GDPR.

Arbetsgivare riskerar att bryta mot lagen

För arbetsgivare innebär det här en påtaglig risk att själv hamna i skottlinjen. Så snart en HR- eller säkerhetsavdelning loggar in på en söktjänst – oavsett om den heter Verifiera, Svensk bakgrundsanalys eller Lexbase – blir företaget självständigt personuppgiftsansvarig för den information som presenteras i webbläsaren och hämtas hem. Det är alltså ingen ursäkt att ”uppgifterna ju redan fanns på nätet” eller att ”tjänsten har utgivningsbevis”; arbetsgivaren måste själv ha en giltig rättslig grund, informera kandidaten och kunna visa att behandlingen är nödvändig och proportionerlig. När uppgifterna rör brottslighet skärps kraven ytterligare: utan uttryckligt lagstöd eller IMY-tillstånd är sådan behandling förbjuden.

IMY skärper tillsynen av arbetslivet

Intresset från IMY är dessutom stigande. I mars meddelade IMY att man under året kommer att prioritera tillsyn och vägledning riktad mot personuppgiftshantering i arbetslivet. När IMY samtidigt klargör att den har rätt att granska klagomål mot söktjänster åker även beställaren – arbetsgivaren – med i utredningen, något som affärsjuridiska byråer har varnat för.

Fackliga stämningar och rättsprocesser ökar

Civilrättsliga processer är på uppgång. I Arbetsdomstolen driver IF Metall en pilotstämning där man kräver 60 000 kronor i skadestånd sedan en verkstad vägrat förlänga en anställning på grundval av ett belastningsregisterutdrag som saknade lagstöd. Förbundet menar att kontrollen bryter mot GDPR och kollektivavtalets regler om integritet.

Låg tröskel för skadestånd enligt GDPR

Att beloppen inte behöver vara astronomiska för att svida illustreras av en dom i mars 2025 där en livsmedelskedja ålades att betala ideellt skadestånd för att ha dröjt mer än en månad med att lämna ut ett registerutdrag. Tingsrätten slog fast att den renodlade oro som dröjsmålet orsakade var tillräcklig skada enligt artikel 82 GDPR.
Tröskeln för att en arbetssökande ska få ersättning är alltså låg – och när det väl finns en överträdelse kan varje kandidat, inte bara facket, stämma arbetsgivaren.

Risker för arbetsgivare vid användning av databaser med utgivningsbevis

Administrativa sanktionsavgifter

IMY kan ålägga företag avgifter om man konstaterar att det sker brott mot GDPR (upp till 20 miljoner euro eller 4 % av global omsättning).

GDPR-skadestånd (art. 82) till arbetssökande

Otillåtet sök i databas, bristande information till kandidat (5 000 – 35 000 kr per drabbad; risk för masskrav i större rekryteringar).

Kollektivavtal & arbetsdomstol

IF Metalls pilotstämning om brott mot integritetsskydd i kollektivavtal (skadestånd + skadestånd till fack).

Ryktesskada

Negativ press om ”olaglig kartläggning” och påverkan på employer branding.

Varför hotet om GDPR-skadestånd är mer reellt än någonsin

Att arbetssökande själva riktar skadeståndskrav mot arbetsgivare på grund av brott mot GDPR är sannolikt något vi kommer se mer av.

1. Låg tröskel för ideell skada - EU-domstolen (C-300/21) slår fast att känslan av oro räcker för ersättning; svenska domstolar har redan följt upp (livsmedelskedjan, maj 2025).
2. Flera parallella ansvarsgrunder - Samma fel kan bryta mot GDPR, diskrimineringslagen och kollektivavtal – vilket staplar skadeposter.
3. IMY:s nya tillsynsfokus på arbetslivet - I sina Tillsyns- och vägledningsprioriteringar 2025 skriver IMY att man riktar särskild tillsyn mot bakgrundskontroller eftersom de ”är förknippade med betydande integritetsrisker” och betonar uttryckligen:

”Bakgrundskontrollsföretag, som genomför bakgrundskontroller på uppdrag av arbetsgivare och andra, behöver tillstånd från oss när de behandlar personuppgifter om lagöverträdelser.”

1. EDPB:s skärpta linje om ”berättigat intresse” - Nya riktlinjer från Europeiska dataskyddsstyrelsen kräver ett dokumenterat tre-stegs-test; slentrian­mässig användning av art. 6.1 f i rekrytering anses inte längre försvarbar.

Rättsdatabaser kan bli dyrt för dig som arbetsgivare – Så hanterar du risken

För dig som ska börja med bakgrundskontroller vid rekrytering, överväger att byta leverantör eller vill hitta ett mer riskfritt alternativ till rättsdatabaser så finns det några grundläggande saker att tänka på:

• Säkerställ IMY-tillstånd – kräv att leverantören har tillstånd från IMY för att kontrollera brottsuppgifter. Endast därigenom säkrar du compliance i hela kedjan och riskerar inte skadestånd p.g.a. överförda risker från databaser eller leverantörer som påstår sig göra rätt genom att hantera uppgifterna ”manuellt”.
• Begränsa ändamålet – Befattningen ska styra mängden data som samlas in, alltid kopplat till en definierad riskprofil
• Information och transparens – använd en leverantör som informerar kandidaten och är transparent genom hela processen

2Secure blev 2022 det första bakgrundskontrollföretaget att få IMY-tillstånd och hanterar hela kedjan – från beställning till säker radering – så att ett klick i en databas inte blir början på en dyr skadeståndsprocess.

Vill du veta mer om hur en modern, GDPR-kompatibel bakgrundskontroll ser ut? Kontakta oss på 2Secure så berättar vi gärna mer.