Bakgrundskontrollföretagen (BKF) hemställer härmed att Regeringen skyndsamt vidtar åtgärder för att säkerställa ett rättssäkert, enhetligt och långsiktigt hållbart regelverk för behandling och åtkomst av rättsdata och andra personuppgifter i samband med bakgrundskontroller.
Mer specifikt hemställs att Regeringen:
- Tillsätter en utredning med uppdrag att ta ett helhetsgrepp om det rättsliga ramverket för bakgrundskontroller. BKF instämmer i det behov av översyn som lyfts fram i Integritetsskyddsmyndighetens hemställan (IMY-2024-8036), särskilt vad gäller balansen mellan behov av bakgrundskontroller och skydd för den personliga integriteten. Utöver IMY:s förslag vill BKF betona vikten av att utredningen även omfattar arbetsgivares möjlighet att ta del av relevanta uppgifter om lagöverträdelser, när dessa behandlats av bakgrundskontrollsföretag med tillstånd enligt artikel 10 i dataskyddsförordningen och,
- säkerställer att dessa företag ges kontrollerad och säker tillgång till nödvändiga uppgifter från domstolar och myndigheter, inom ramen för ett system som stärker både rättssäkerhet och integritet.
BKF anser att Regeringen redan i närtid bör överväga att initiera kompletterande insatser, såsom ett riktat myndighetsuppdrag eller en departementspromemoria, för att påskynda en långsiktig lösning. Särskilt bör frågan om direktåtkomst till rättsdata för särskilt utsedda eller ackrediterade aktörer prioriteras.
Ett tydligt och fungerande regelverk är avgörande för att bakgrundskontroller ska kunna genomföras med rättssäkerhet, träffsäkerhet och respekt för individens integritet i linje med samhällets behov av trygghet, tillit och brottsförebyggande ansvar.
Bakgrund – samhällsbehovet, rättsläget & bakgrundskontrollsföretagens roll
Bakgrundskontroller är en förutsättning för trygga rekryteringar, säkra affärsrelationer och ett starkt förtroende i samhället. BKF:s medlemsföretag genomför dagligen kontroller för såväl offentlig sektor som näringsliv, ofta kopplade till säkerhetsklassade tjänster eller andra tjänster med påverkansmöjlighet över skyddsvärda tillgångar.
Samtidigt befinner sig branschen i ett rättsligt mellanläge. Arbetsgivares rätt att ta del av personuppgifter om lagöverträdelser som behandlats av bakgrundskontrollföretag enligt IMY:s tillstånd är i dag oreglerad. Detta skapar osäkerhet kring hur uppgifterna får användas i praktiken. I en tid då behovet av informationssäkerhet och riskbedömning ökar, riskerar denna otydlighet att bromsa både arbetsgivares beslutsfattande och branschens fortsatta utveckling.
En rättssäker och proportionerlig bakgrundskontroll bygger på en helhetsbedömning av flera informationskällor än rättsdata – såsom exempelvis identitet, ekonomiska uppgifter, tidigare anställningar och bolagsengagemang. Först när dessa uppgifter analyseras i sitt sammanhang av kvalificerad personal kan en välgrundad bedömning göras av en individs lämplighet i relation till det aktuella uppdraget.
Samtidigt är det en grundläggande princip i ett rättssamhälle att den som har avtjänat sitt straff ska ha möjlighet till återinträde i arbetslivet. Denna princip är viktig, men måste balanseras mot arbetsgivares ansvar att skydda sin verksamhet, sina anställda och sina intressenter. Alla roller är inte lämpliga för alla individer. Därför krävs att arbetsgivare ges tillgång till relevant information för att kunna göra individuella, ändamålsenliga och proportionerliga lämplighetsbedömningar.
Professionella bakgrundskontrollsleverantörer spelar en central roll i att säkerställa att dessa kontroller genomförs rättssäkert, ändamålsenligt och med respekt för individens integritet. Genom etablerade metoder, utbildad personal och systematiska processer kan dessa aktörer sätta information i relevant kontext och göra välavvägda bedömningar. Bakgrundskontrollsföretag har förutsättningar att hantera känsliga uppgifter på ett sätt som både möter arbetsgivares behov och skyddar den enskilde från godtyckliga eller felaktiga beslut. Deras roll är därmed avgörande för att bakgrundskontroller ska kunna bidra till ett tryggt och rättssäkert samhälle.
Historiskt har information om rättsdata hanterats muntligen av bakgrundskontrollsföretag med stöd av rättspraxis. I dag anpassar sig branschen till en tillståndsbaserad modell i enlighet med IMY:s rättstillämpning. Några av BKF:s medlemsföretag har redan beviljats tillstånd, fler har ansökt och övriga är i process att ansöka. Branschen befinner sig därmed i en övergångsperiod där ett nytt regelverk håller på att ta form.
BKF ser positivt på att flera bakgrundskontrollföretag nyligen har beviljats tillstånd av IMY att behandla personuppgifter om lagöverträdelser. Vi välkomnar även att IMY:s tillstånd i större utsträckning möjliggör relevansbedömningar i det enskilda fallet, vilket stärker skyddet för den personliga integriteten. Det är ett viktigt steg framåt men det löser inte frågan om arbetsgivares rätt att få ta del av personuppgifter om lagöverträdelser. Här krävs tydlig lagstiftning.
Problembild
Två ömsesidigt beroende delar måste hanteras samlat för att säkerställa ett rättssäkert och fungerande system för bakgrundskontroller.
- Rätten till rättsdata – IMY:s tillståndsprövning enligt artikel 10 i GDPR har påbörjats, och BKF ser positivt på att allt fler medlemsföretag beviljas tillstånd. Men detta reglerar enbart behandlingen av uppgifter för bakgrundskontrollsföretagen – inte arbetsgivares rätt att ta del av relevanta uppgifter i skrift. Det skapar ett glapp mellan behandlingsrätten och användarrätt som riskerar att försvaga hela modellens funktionalitet och den registrerades integritet.
- Tillgång till rättsdata och andra relevanta personuppgifter – Även med tillstånd för behandling faller möjligheten att genomföra bakgrundskontroller om det saknas faktisk tillgång till den information som krävs. I dag bygger åtkomsten på två bristfälliga alternativ: manuell kontakt med flertal domstolar, eller användning av rättsdatabaser. Det förstnämnda är resurskrävande för alla parter, behäftat med flera risker till följd av manuell hantering och i praktiken ofta ineffektivt. Det senare präglas av oreglerad användning och osäker rättsgrund. Ingen av modellerna lever upp till kraven på rättssäkerhet, integritetsskydd eller teknisk tillförlitlighet av önskvärd nivå.
Utan rättslig tydlighet och fungerande åtkomst riskerar seriösa aktörer att utestängas från marknaden, samtidigt som osäkerheten ökar för arbetsgivare, leverantörer och hela samhällssektorer. Det krävs skyndsam rättslig tydlighet för att undvika ett växande vakuum för både uppdragsgivare och de individer som kontrolleras.
Förslag till åtgärder
BKF hemställer att Regeringen låter en särskild utredare analysera och föreslå följande:
1. Stärk och standardisera tillståndsprocessen för behandling av rättsdata
Utredningen bör analysera hur tillståndsprocessen enligt artikel 10 i dataskyddsförordningen kan göras mer förutsebar och enhetlig för aktörer inom bakgrundskontrollområdet. BKF ser positivt på IMY:s arbete med att bevilja tillstånd och att IMY lyft behovet att tydligare föreskrifter för kring kraven för tillstånd. Bristen på tydliga föreskrifter och vägledningar riskerar att skapa rättsosäkerhet och snedvrida konkurrens.
Utredningen bör överväga författningsförslag som:
- formaliserar en ackrediteringsmodell för bakgrundskontrollföretag,
- definierar krav på informationssäkerhet, proportionalitet och relevansbedömning, samt
- säkerställer enhetliga kriterier för tillståndsprövning och tillsyn.
En sådan reglering skulle stärka rättssäkerheten för individen, öka transparensen för arbetsgivare och skapa likvärdiga villkor för seriösa aktörer.
2.Reglera arbetsgivares rätt att ta del av rättsdata via bakgrundskontrollföretag
Utredningen bör analysera under vilka förutsättningar arbetsgivare ska ha rätt att, genom särskild utpekade eller auktoriserade bakgrundskontrollföretag, få tillgång till personuppgifter om lagöverträdelser i syfte att genomföra rättssäkra och proportionella riskbedömningar vid anställning, uppdrag eller andra kritiska relationer.
I dag råder oklarhet kring i vilken utsträckning arbetsgivare – särskilt inom den privata sektorn – har rätt att ta del av rättsdata som samlats in av bakgrundskontrollföretag med stöd av IMY:s tillstånd enligt artikel 10 i dataskyddsförordningen. Medan myndigheter i vissa fall har särskilt lagstöd för sådan åtkomst, saknas motsvarande tydlighet för övriga aktörer. Denna rättsosäkerhet försvårar rekryteringsprocesser och riskhantering i verksamheter där tillit, säkerhet och skyddsvärda intressen är avgörande. Endemol Shine-fallet tydliggör dessutom att tillgång till rättsdata inte automatiskt innebär rätt att vidareförmedla eller använda uppgifterna utan särskilt stöd i lag eller förordning.
Utredningen bör därför överväga hur:
- arbetsgivare kan ges legal möjlighet att ta del av riskrelevant rättsdata genom tredje part,
- behandlingen kan ske genom integritetsskyddade och ackrediterade processer, samt
- rätt till insyn, information och rättelse för den kontrollerade individen kan stärkas inom ramen för modellen.
En sådan reglering skulle harmonisera dataskyddsförordningens krav med arbetsmarknadens behov och motverka att seriösa arbetsgivare hamnar i rättsligt underläge.
3. Ge bakgrundskontrollföretag säker och kontrollerad direktåtkomst till myndighetsuppgifter
Utredningen bör ges i uppdrag att analysera hur direktåtkomst till domstols- och myndighetsuppgifter kan möjliggöras för särskilt utsedda eller ackrediterade bakgrundskontrollsföretag. Dagens manuella tillgång till rättsdata skapar både rättsosäkerhet och operativa risker, samtidigt som den belastar domstolar och andra myndigheter med ett växande antal förfrågningar. Myndigheternas möjlighet att säkerställa korrekt och enhetlig informationshantering försvåras av det faktum att tusentals förfrågningar dagligen ska hanteras manuellt utan ändamålsenliga systemstöd.
BKF anser att en långsiktigt hållbar lösning måste bygga på:
- författningsreglerad direktåtkomst för företag som uppfyller krav på ackreditering, tillsyn och säkerhet,
- automatiserad och spårbar hantering av uppgifter, där all åtkomst loggas och följer fastställda åtkomstregler,
- minimering av personuppgiftsdelning till det som är nödvändigt för syftet
Direktåtkomsten bör omfatta uppgifter från:
- rättsvårdande myndigheter – exempelvis domstolar, Åklagarmyndigheten, Ekobrottsmyndigheten avseende personuppgifter om lagöverträdelser.
- Skatteverket, Kronofogdemyndigheten, Transportstyrelsen, Bolagsverket och Lantmäteriet – myndigheter vars uppgifter är avgörande för att genomföra riskbaserade bakgrundskontroller med hög integritetsnivå genom att bakgrundskontrollerna baseras på aktuell, tillförlitlig och verifierbar information från primärkällor.
BKF vill framhålla att belastningsregistret i detta sammanhang inte utgör ett tillräckligt verktyg. Utdragen redovisar enbart brottsrubriceringar utan tillhörande domskäl eller kontext, vilket omöjliggör professionella bedömningar baserade på omständigheter och proportionalitet. Det begränsar möjligheten att anpassa bedömningen efter verksamhetens specifika riskprofil.
Kompletterande förslag för snabbare hantering
BKF är medvetna om att sedvanliga utredningar tar tid. Samtidigt råder ett brådskande behov av rättslig tydlighet. Vi hemställer därför att Regeringen omgående överväger att vidta kompletterande eller alternativa åtgärder utöver en statlig utredning:
- Ge ett riktat uppdrag till IMY att ta fram vägledning för arbetsgivares tillgång till rättsdata via tredje part samt att utveckla kriterier för godkännande och tillsyn av bakgrundskontrollföretag. Detta kan ske inom ramen för myndighetens instruktion och regleringsbrev.
- Ge Domstolsverket i uppdrag att analysera hur kontrollerad och digitalt säkrad åtkomst till rättsdata kan erbjudas särskilt utsedda eller ackrediterade bakgrundskontrollsföretag, i syfte att minska rättsosäkerhet och administrativ belastning.
- Låt departementet ta fram en departementspromemoria (Ds) istället för en fullskalig SOU-utredning, med fokus på den rättsliga grunden för arbetsgivares rätt att få tillgång till personuppgifter om lagöverträdelser genom kontrollerade aktörer.
- Inrätta en samverkansgrupp mellan IMY, Domstolsverket, SKR och Bakgrundskontrollsföretagen för att hantera övergångsperioden och ta fram en interimslösning för trygg informationshantering.
BKF ser det som avgörande att det inte enbart initieras en utredning, utan att Regeringen även vidtar kompletterande och praktiskt inriktade åtgärder. Detta för att motverka den osäkerhet som i dag råder kring rätten och tillgången till rättsdata – för att skydda samhällets säkerhetsintressen så väl som de kontrollerades integritet.
Branschens ansvarstagande
Vår bransch har i nära två decennier utvecklat metoder, rutiner och integritetsskydd som för att leverera rättssäkra och proportionella bakgrundskontroller. Vi har tagit flera egna initiativ för att stärka kandidaternas integritet. Bland annat genom framtagande av en gemensam god branschsed och GDPR-praxis. I skrivande stund arbetar BKF även med att ta fram en uppförandekod, ett oberoende granskningsorgan och ansöka om status som tillsynsorgan hos IMY för medlemsföretagens personuppgiftshantering.
Utan rättslig tydlighet, både vad gäller rätten att behandla och tillgång till uppgifter, riskerar vi att hamna i ett läge där professionella aktörer inte kan leverera. BKF och dess medlemmar är fast beslutna att fortsätta erbjuda rättssäkra och ansvarsfulla bakgrundskontroller i linje med lagstiftningen. Vi välkomnar att fler företag beviljats tillstånd och vill verka för en stabil övergångsperiod som säkerställer att våra kunder fortsatt kan känna sig trygga i sina rekryteringsbeslut.
Avslutning
Frågan är brådskande. Det förändrade säkerhetsläget och kampen mot organiserad brottslighet kräver rättssäkra bakgrundskontroller här och nu. Samhällets behov av trygghet, arbetsgivares ansvar och individens integritet måste förenas i en långsiktig, rättssäker lösning.
Bakgrundskontrollföretagen är redo att bidra med expertis, praktiska lösningar och konstruktiv dialog – för ett tryggt, säkert och rättssäkert samhälle.
För BKF: PrimeSafe, ToFindOut, 2Secure, Tempest Risk Solutions, Valida, SRS Security, Validata, Nordic LEVEL Group