Integritetsskyddsmyndigheten (IMY) har nyligen beslutat att ge två olika bolag tillstånd att behandla personuppgifter rörande lagöverträdelser. Behandlingen av sådana personuppgifter är enligt GDPR i huvudsak förbehållen myndigheter. Endast i undantagsfall finns i svensk lagstiftning stöd för privata rättssubjekt att behandla personuppgifter rörande brott.
De bolag som har erhållit tillstånd är ett företag som erbjuder bakgrundskontroller samt en bank.
Företag som erbjuder bakgrundskontroller
Bolagets tjänst avser bakgrundskontroller inför rekrytering av personal, vid företagsförvärv och vid ingående av affärsrelationer. Uppgifterna är tänkta att samlas in från myndigheter, databaser med utgivningsbevis, media och internet och lagras i maximalt 70 dagar från att uppgifterna samlats in. Uppgifterna är begränsade till vad som kan anses vara relevant i förhållande till de yrkeskategorier som bakgrundskontrollen avser. Exempelvis ska kontroller av arbetssökande avseende bedrägerier, skattebrott, tillgreppsbrott och annan ekonomisk brottslighet endast ske för särskilt betrodda befattningar, med möjlighet att förfoga över större ekonomiska värden. Information om brott mot barn ska endast inhämtas gällande registrerade som erbjuds en yrkesroll som i huvudsak innefattar arbete med barn.
När uppdraget gäller bakgrundskontroll av leverantörer eller kunder till bolagets uppdragsgivare konstaterar IMY att sådana kan anses nödvändiga om affärsrelationen mellan uppdragsgivaren och dennes kund eller leverantör är sådan att den till sin natur kan ha en betydande påverkan på uppdragsgivarens renommé, säkerhet eller ekonomi. Kontrollerna får endast avse personer i ledande befattningar eller med bestämmande inflytande såsom verkställande direktörer, vice verkställande direktörer, ledamöter i styrelse och firmatecknare. Bolaget ges tillstånd att registrera lagöverträdelser som till sin natur är sådana att de skulle kunna påverka förhållandet mellan uppdragsgivaren och dess motpart negativt samt lagöverträdelser som till sin natur är sådana att förekomsten av dem skulle kunna påverka uppdragsgivarens renommé i samhället eller den bransch de verkar i negativt. IMY anser att till sådana brott räknas - om de är grova eller av normalgraden - bedrägerier och ekonomisk brottslighet, organiserad brottslighet och skattebrott.
Även vid förvärv av juridisk person konstaterar IMY att kontroller får ske avseende personer i ledande befattningar eller med bestämmande inflytande. I dessa fall får samma uppgifter som i förhållande till arbetssökanden kontrolleras.
IMY har i sitt beslut funnit att behandlingen kan ske med stöd av en intresseavvägning men inte med stöd av samtycke. Samtliga villkor för tillståndet framgår av IMY:s beslut.
Banker
Banker har att förhålla sig till lagstiftning avseende penningtvätt och finansiering av terrorism och den bank som gavs tillstånd för behandling för i detta syfte register över kunder med vilka kundförhållandet avslutats efter att misstanke om sådan brottslighet uppstått. För att motverka att sådan kund vänder sig till en annan del av verksamheten och där på nytt beviljas kundstatus har banken behov av att dela sina register mellan de olika filialerna. Inom den aktuella bankkoncernen finns gemensamma regler för bolagen att förhålla sig till. Det nu beviljade tillståndet tillåter därför banken att samköra register på sådana kunder mellan bolagets filialer i Sverige, Norge, Finland och Danmark.
I sitt beslut har IMY konstaterat att de krav som finns i den svenska penningtvättslagen inte är tillräckligt precisa för att rättslig förpliktelse (artikel 6.1.c. GDPR) ska kunna utgöra en laglig grund för bankens behandling. IMY konstaterar däremot att bankens behov av behandlingen har stöd av en intresseavvägning (artikel 6.1.f. GDPR), vilket innebär att bankens behov av kontrollerna väger tyngre än det integritetsintrång som behandlingen kan innebära för bankens kunder. Därtill konstaterar IMY att behandlingen inte går utöver vad bankens kunder kan förvänta sig. Banken har även vidtagit åtgärder för att undvika felaktiga utpekanden av personer och felaktig behandling av sådana personuppgifter. En länk till IMY:s beslut hittar du här.
Uppgifter om hälsa
I ett fall rörande personuppgifter om hälsa har IMY utfärdat en reprimand. Detta efter att ha mottagit klagomål mot ett företag som genom en söktjänst gör det möjligt för användare att söka efter känsliga personuppgifter i bolagets databas. Granskningen har avsett uppgifter om personer som är eller har varit föremål för tvångsvård på grund av psykisk ohälsa eller missbruk. I databasen finns alla domstolsavgöranden enligt lagen om psykiatrisk tvångsvård och lagen om vård av missbrukare från 2008 och framåt.
Företaget har utgivningsbevis enligt yttrandefrihetsgrundlagen, som normalt sett står över GDPR. Begränsningar i grundlagen finns dock när det gäller offentliggörandet av särskilt integritetskänsliga uppgiftssamlingar. I sitt beslut konstaterar IMY att behandlingen innebär särskilda risker för otillbörliga intrång i enskildas personliga integritet och att GDPR därför är tillämplig. Personuppgifter rörande hälsa får som grundregel inte behandlas. I GDPR finns dock ett antal undantag från denna regel, bl.a. samtycke. Eftersom bolaget saknat samtycke från de registrerade och inte heller i övrigt har kunnat påvisa att ett tillämpligt undantag föreligger bedöms företaget ha agerat i strid med GDPR.
Enligt IMY är överträdelsen av GDPR allvarlig och skulle normalt sett ha föranlett en kännbar sanktionsavgift. Eftersom frågan inte tidigare har prövats bedömer dock IMY att ingripandet bör stanna vid en reprimand. Länk till beslut finns här.
Behöver du eller din organisation hjälp med bedömningar relaterade till behandlingen av personuppgifter rörande brott eller andra frågor rörande personuppgiftsbehandling? Tveka i så fall inte att höra av dig till Wistrand!
Cookies för sociala medier samlar in information om att du delar information från vår webbplats via verktyg för sociala medier, eller analyser för att förstå din surfning mellan verktyg för sociala medier eller våra kampanjer för sociala medier och våra egna webbplatser. Vi gör detta för att optimera mixen av kanaler för att förse dig med vårt innehåll. Mer information om de verktyg vi använder finns i vår privacy policy.