Vi har i flera tidigare artiklar berört relationen mellan GDPR och de svenska mediegrundlagarna (yttrandefrihetsgrundlagen (”YGL”) och tryckfrihetsförordningen (”TF”)). Diskussionen har särskilt kretsat kring förekomsten av så kallade frivilliga utgivningsbevis för databaser som medför att en databas är grundlagsskyddad.
Att en databas har grundlagsskydd har ansetts medföra att databaserna undantas GDPR och därför fritt kan samla in och publicera stora mängder uppgifter om privatpersoner i söktjänster. Förekomsten av sådana söktjänster, och databasernas grundlagsskydd, har emellertid varit omdiskuterat på senare tid och har kommit att prövas och ifrågasättas i beslut hos domstolar och myndigheter.
I februari 2025 meddelade Högsta domstolen (”HD”) två beslut rörande relationen mellan GDPR och svenska mediegrundlagar. HD bedömde specifikt huruvida GDPR kan få betydelse i bedömningen av om det råder sekretess för personuppgifter i brottmålsdomar även på det grundlagsskyddade området (dvs. trots att mottagaren har en grundlagsskyddad databas).
I det följande redogör vi kort för HD:s beslut.
HD:s beslut avser två likartade ärenden som har överklagats till HD efter att domstolar nekat att lämnat ut handlingar, eller lämnat ut handlingar med förbehåll om hur personuppgifterna som framgått av handlingarna får användas.
Det ena beslutet avser ett företag som tillhandahåller en rättsdatabas med information från domstolar och Åklagarmyndigheten. Det andra beslutet avser en nyhetsbyrå som tillhandahåller nyheter baserade på offentliga handlingar till sina kunder. Båda företagen har en databas med utgivningsbevis där brottmålsdomar och andra tillhörande dokument publiceras.
Innehåll som publiceras på en databas som har ett frivilligt utgivningsbevis är grundlagsskyddat enligt YGL. I den svenska lagen med kompletterande bestämmelser till GDPR anges att GDPR inte ska tillämpas i den utsträckning som det skulle strida mot YGL. Bestämmelsen har hittills tolkats som att databaser som har ett utgivningsbevis inte behöver följa GDPR alls.
Ett sätt för söktjänster med utgivningsbevis att få information är att begära ut allmänna handlingar från myndigheter och därefter publicera uppgifterna på sina grundlagsskyddade databaser. Rätten att ta del av allmänna handlingar är en grundlagsfäst rättighet som syftar till att allmänheten ska kunna ha insyn i det allmännas verksamhet. Tillgången begränsas dock genom regler om sekretess i offentlighets- och sekretesslagen (”OSL”). För att en allmän handling ska vara offentlig och lämnas ut är en förutsättning alltså att dess innehåll inte skyddas av sekretess.
Enligt en bestämmelse i OSL gäller sekretess för personuppgifter om det kan antas att uppgifterna efter utlämnandet kommer att behandlas i strid med GDPR eller nationell lagstiftning som kompletterar GDPR. Denna sekretessbegränsning har tidigare inte ansetts vara möjlig att tillämpa vid utlämnande för publicering av uppgifter på databaser med utgivningsbevis, eftersom de inte ansetts omfattas av GDPR.
Frågan för HD att ta ställning till i de två besluten var om det anses föreligga sekretess för de begärda uppgifterna, för att uppgifterna efter utlämnandet kommer att behandlas i strid med GDPR eller nationell lagstiftning som kompletterar GDPR, även om uppgifterna lämnas ut till mottagare som bedriver verksamhet via grundlagsskyddade databaser.
Enligt GDPR ska medlemsstaterna förena rätten till integritet med rätten till yttrande- och informationsfrihet. Även om det finns visst utrymme att begränsa rätten till skydd för personuppgifter, krävs ändå att begränsningarna inte går utöver vad som är nödvändigt.
I besluten resonerar HD kring EU-rättens relation till nationell rätt, och framhäver särskilt att EU-rätten ska beaktas vid tillämpningen av nationell rätt. HD konstaterar att företagens verksamhet omfattas av grundlagsskydd genom frivilliga utgivningsbevis och att lagstiftarens intention anses ha varit att GDPR inte ska tillämpas inom det grundlagsskyddade området. HD gör dock bedömningen att den svenska ordningen att personuppgifter om lagöverträdelser i stor omfattning kan lämnas ut av myndigheter, samtidigt som GDPR som utgångspunkt inte ska gälla för den efterföljande behandlingen av uppgifterna, inte är förenlig med GDPR.
Enligt HD är inte heller nödvändigt för utlämnande myndighet att ta ställning till i vilken mån den svenska regleringen innebär att GDPR inte ska tillämpas på i verksamhet som bedrivs av den som har begärt att få ut uppgifter från en myndighet. I stället ska GDPR ses som en fristående måttstock för bedömningen av när sekretess råder för uppgifter som annars skulle ha lämnats ut.
I de aktuella ärendena gjorde HD sammantaget bedömningen att uppgifterna som begärts ut från domstolarna ska vara belagda med sekretess eftersom det kan antas att uppgifterna efter utlämnande kan behandlas i strid med GDPR:s regler om behandling av uppgifter om brott. Däremot ansågs uppgifterna kunna lämnas ut med förbehåll. Förbehållen i de aktuella besluten innebär att uppgifterna visserligen får lämnas ut, men mottagaren får inte tillhandahålla uppgifterna till allmänheten eller betalande kunder om de innehöll personnamn, personnummer eller adress för enskilda personer. Mottagaren får inte heller göra uppgifterna sökbara. Genom förbehållen är det alltså inte möjligt för mottagaren av uppgifterna att till exempel dela med sig av uppgifterna via en söktjänst.
HD:s beslut medför att leverantörer av bakgrundskontrolltjänster kommer att vara förhindrade att inhämta brottmålsdomar från myndigheter och därefter tillhandahålla uppgifter ur handlingarna i sina tjänsteleveranser till kunder, till exempel för att genomföra bakgrundskontroller. Integritetsskyddsmyndigheten har uttalat att HD:s medför att integritetsskyddet stärks och det skapas klarhet i en fråga som har varit omdiskuterad längre.
De frågor som aktualiseras i HD:s beslut har som sagt varit uppe för diskussion under en längre tid, och rättsutvecklingen går snabbt. Som exempel kan nämnas att EU-domstolen ska meddela ett förhandsavgörande och ge vägledning i tolkning av hur GDPR inverkar på svenska bestämmelser om frivilliga utgivningsbevis och frågor rörande personuppgiftsbehandling som görs med ”journalistiska ändamål”. Vi har i tidigare nyhetsbrev redogjort för andra händelser rörande relationen mellan GDPR och TF/YGL som du kan läsa via länkarna nedan:
Vi håller oss löpande uppdaterade på rättsutvecklingen på detta område och är väl insatta i frågorna. Ni är välkomna att höra av er om ni har några frågor om HD:s beslut, eller dataskyddsrättsliga frågor generellt.