Det senaste om gränsdragningen mellan GDPR och grundlagsskydd för söktjänster
I tidigare artiklar har vi redogjort för olika aspekter på relationen mellan integritetsskyddet enligt dataskyddsförordningen (GDPR) och grundlagsskyddet enligt svenska yttrandefrihetsgrundlagen (”YGL”) för de söktjänster med frivilliga utgivningsbevis som publicerar personuppgifter online. Att en söktjänst har grundlagsskydd genom ett frivilligt utgivningsbevis har tidigare ansetts medföra att söktjänsten helt undantas kraven i GDPR och därför fritt kan samla in och publicera stora mängder uppgifter om privatpersoner.
Söktjänster på Internet ger sina användare möjlighet att snabbt och enkelt få tillgång till information om privatpersoner. Sedan GDPR:s införande 2018 har Integritetsskyddsmyndigheten (”IMY”) mottagit många klagomål från individer vars personuppgifter har publicerats på olika söktjänster online. Vad för typ av uppgifter som publiceras varierar, men klagomålen till IMY de senaste åren visar att publiceringen ofta uppfattas som kränkande och orsakar oro för att kriminella kan använda informationen för att kartlägga brottsoffer.
Utöver klagomål till IMY har också söktjänsternas grundlagsskydd varit omdiskuterat i många andra sammanhang på senare tid. Grundlagsskyddet har kommit att prövas och ifrågasättas även i beslut hos domstolar och myndigheter. I februari 2025 meddelade Högsta domstolen två beslut om relationen mellan GDPR och svenska mediegrundlagar som särskilt avsåg frågan om en domstol kan neka att lämna ut brottmålsdomar även på det grundlagsskyddade området (dvs. trots att mottagaren har en grundlagsskyddad databas) med hänvisning till OSL:s bestämmelse om att utlämnande av uppgifter kan nekas när det finns en risk för behandling av uppgifterna i strid med GDPR.
Efter februari har ytterligare initiativ och aktiviteter relaterade till söktjänster och utgivningsbevis tillkommit. I det följande redogör vi kort för de senaste händelserna rörande frågor kopplat till gränsdragningen mellan GDPR och söktjänster med utgivningsbevis.
Integritetsskyddsmyndigheten har inlett tillsyn mot två söktjänster med utgivningsbevis
I maj 2024 publicerade IMY ett nytt rättsligt ställningstagande där IMY anser sig vara behörig att granska söktjänster med utgivningsbevis (läs mer om det här). I ställningstagandet framhävde IMY särskilt att enskildas rättsställning har stärkts genom praxisutveckling och poängterade att om det svenska grundlagsskyddet för utgivningsbevis ges företräde framför GDPR försvinner också möjligheten att lämna in klagomål till IMY och även möjligheten för den enskilde att ersättas på ett likvärdigt sätt och därmed tillgodose sina rättigheter. Ett sådant rättsläge ansåg IMY vara en alltför långtgående begränsning av det skydd som GDPR ska säkerställa.
Den 2 april 2025 meddelade IMY att två tillsynsärenden öppnats mot två bolag som står bakom söktjänster med utgivningsbevis och som publicerar uppgifter om lagöverträdelser, till exempel domar i brottmål.
I tillsynen kommer IMY att undersöka om företagen agerar i strid med GDPR när de publicerar uppgifter om lagöverträdelser i sökbara databaser. IMY har exempelvis ställt frågor för att förstå i vilken utsträckning brottsuppgifter finns publicerade i databaserna och om dessa uppgifter är sökbara, om verksamheten bedöms utgöra journalistisk verksamhet, samt om söktjänsterna har planer på att göra några förändringar i tjänsten.
I bolagens svarsskrivelser till IMY framgår bland annat att båda bolagen anser att verksamheten är journalistisk verksamhet och argument presenteras för att IMY inte har behörighet att utöva tillsyn över verksamheter med grundlagsskydd enligt nuvarande lagstiftning.
Det återstår att se vad IMY landar i sin tillsyn men om IMY finner att företagen bakom söktjänsterna bryter mot GDPR påverkar besluten även liknande söktjänster. Ytterst kan tillsynen medföra att söktjänster tvingas upphöra med att publicera uppgifter om lagöverträdelser. Detta skulle alltså inte bara påverka företagen som är föremål för tillsyn, utan också sätta en ny standard för hur söktjänster i Sverige måste hantera uppgifter om lagöverträdelser i framtiden.
IMY:s tillsyn kan ses som ett centralt steg för att få frågor som rör gränsdragningen mellan GDPR och frivilliga utgivningsbevis prövade. I ett pressmeddelande har IMY också framfört att IMY kommer att återkomma rörande söktjänsters publicering av andra typer av uppgifter än brottsuppgifter, exempelvis uppgifter om ekonomi och familjeförhållanden, som kan användas för att kartlägga individers liv.
Personer har stämt företag bakom söktjänster
I mars 2025 har stämningsansökningar lämnats in mot företag som tillhandahåller söktjänster och de personer som stämt söktjänsterna kräver att publicerade domar och personuppgifter ska tas bort. Personerna hävdar att de har rätt till radering, som är en rättighet som enskilda har enligt GDPR.
Samtliga personer som stämt bolagen som tillhandahåller söktjänsterna hänvisar till Högsta domstolens (”HD”) beslut från februari 2025 där HD bedömde specifikt huruvida GDPR kan få betydelse i bedömningen av om det råder sekretess för personuppgifter i brottmålsdomar även på det grundlagsskyddade området (d.v.s. trots att mottagaren har en grundlagsskyddad databas). Söktjänsterna hävdar i stället att HD:s beslut endast tar sikte på domstolars utlämnande av uppgifter, men inte brottsuppgifter som redan har lämnats ut och som finns tillgängligt på söktjänsterna.
Det återstår att se i vilken utsträckning stämningsansökningarna leder till domstolsprövning eller om parterna kommer att nå en förlikning.
Kammarrätten har avvisat ett överklagande från en söktjänst
I september 2024 fattade IMY tre beslut om att inleda tillsyn mot ett bolag som har en söktjänst med frivilligt utgivningsbevis med anledning av klagomål som inkommit till IMY avseende bolagets behandling av personuppgifter.
Bolaget valde att överklaga IMY:s beslut att inleda tillsyn och yrkade att IMY ska förbjudas att inleda tillsyn mot verksamheter som skyddas av frivilligt utgivningsbevis. Bolaget anser att, då GDPR inte ska tillämpas, är inte heller IMY tillsynsmyndighet över bolagets databas.
IMY framförde i stället att bolagets överklaganden ska avvisas eftersom IMY:s beslut att inleda tillsyn inte är överklagbara.
Enligt 41 § förvaltningslagen (2017:900) får ett beslut överklagas om beslutet kan antas påverka någons situation på ett inte obetydligt sätt. I bedömningen ska beslutets faktiska verkningar vara avgörande och det ska röra sig om en påverkan av tillräckligt kvalificerat slag. Vidare följer av GDPR (artikel 78.1) att varje fysisk eller juridisk person ska ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut rörande dem som meddelats av en tillsynsmyndighet.
Förvaltningsrätten i Stockholm beslutade i december 2024 att avvisa bolagets överklaganden då beslut att inleda tillsyn typiskt sett inte medför några direkta rättsverkningar och inte heller några sådana faktiska verkningar som krävs för att beslutet ska kunna överklagas i enlighet med 41 § förvaltningslagen. Inte heller kan ett sådant beslut anses vara rättsligt bindande på ett sådant sätt att det medför en rätt till ett effektivt rättsmedel i enlighet med GDPR. IMY:s beslut om att inleda tillsyn mot bolaget var därmed inte överklagbara.
Bolaget valde att överklaga till Kammarrätten i Stockholm som konstaterade att för att ett beslut ska vara överklagbart med stöd av GDPR måste beslutet ha sådana verkningar att beslutet är rättsligt bindande. IMY:s beslut att inleda tillsyn i här aktuella ärenden är beslut under handläggningen av ärendena. Besluten har enligt kammarrättens mening inte sådana verkningar att de är rättsligt bindande och därför valde kammarrätten, precis som förvaltningsrätten, att avvisa bolagets överklaganden.
Avslutande kommentar
Vi på Cederquist håller oss löpande uppdaterade om utvecklingen i dessa frågor. Hör gärna av dig om du har några frågor rörande relationen mellan GDPR och svensk grundlag eller i övrigt om tjänster som publicerar personuppgifter online.
