GDPR och brottmålsdomarna (I och II) (NJA 2025 s. 123)
Hänvisat till av
Sökord Dataskydd · Allmänna handlingar · Sekretess · Förbehåll
Sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen. Med hänsyn till reglerna i EU:s dataskyddsförordning har sekretess ansetts föreligga när ett företag begärt ut ett större antal domar och andra handlingar i brottmål, trots att företagets verksamhet omfattats av grundlagsskydd. – Eftersom företaget bedriver journalistisk verksamhet har handlingarna lämnats ut med förbehåll. (I och II)
I
I ett protokoll den 28 mars 2024 antecknade Hovrätten för Övre Norrland följande.
Nyhetsbyrån Siren har återkommande begärt att ta del av allmänna handlingar i brottmål såsom domar och beslut (inklusive underinstansavgöranden), dagboksblad, och i förekommande fall stämningsansökningarna. Nyhetsbyrån Siren är en av Sveriges största nyhetsförmedlare och används av en stor andel svenska tidningar, TV och radiokanaler, samt nyhetssidor på internet. Bolaget bevakar och rapporterar om avgörandena i bl.a. hovrätten.
Hovrätten (hovrättspresidenten Erik Sundström) anförde följande i beslut den 28 mars 2024.
De begärda handlingarna är allmänna handlingar och ska lämnas ut, om inte sekretess råder enligt 21 kap. 7 § offentlighets- och sekretesslagen (OSL). Då det har framkommit att Nyhetsbyrån Siren har beviljats ett s.k. frivilligt utgivningsbevis uppkommer frågan om relationen mellan dataskyddsförordningen och grundlagsskyddet för yttrandefrihet i form av publicering av uppgifter om lagföring på webbplatser (databaser). Det saknas vägledande avgöranden i frågan.
Av artikel 10 dataskyddsförordningen framgår bland annat att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott endast får utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Därtill får, enligt artikelns andra mening, ett fullständigt register över fällande domar i brottmål endast föras under kontroll av en myndighet. Enligt artikel 85.1 dataskyddsförordningen ska medlemsstaterna i lag förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten, inbegripen behandling som sker för bl.a. journalistiska ändamål. Vidare framgår av artikel 85.2 att medlemsstaterna ska, för behandling som sker för journalistiska ändamål, fastställa undantag eller avvikelser från vissa av dataskyddsförordningens bestämmelser, om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. Begreppet journalistiska ändamål ska ges en vid tolkning, innefattandes verksamhet som syftar till att sprida information, åsikter eller idéer till allmänheten, och tillämpas på alla personer som är journalistiskt verksamma (Satakunnan Markkinapörssi och Satamedia, C-73/07, EU:C:2008:727 p. 56, 58 och 61).
I artikel 86 dataskyddsförordningen anges att personuppgifter i allmänna handlingar, får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med förordningen.
EU-domstolen har i ett avgörande den 22 juni 2021 (Latvijkas Republikas Saeima, mål C-439/19, EU:C:2021:504) funnit att bestämmelserna i GDPR kan utgöra hinder för en viss nationell lagstiftning som innebär att en myndighet överför uppgifter om lagöverträdelser, som omfattas av artikel 10, till ekonomiska aktörer för vidareutnyttjande. Domstolen erinrade om att syftet med artikel 10 är att säkerställa ett utökat skydd mot sådan behandling som kan, på grund av att uppgifterna är särskilt känsliga, utgöra ett särskilt allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skydd för personuppgifter i enlighet med artiklarna 7 och 8 i EU:s rättighetsstadga. Domstolen konstaterade även att unionsrätten har företräde framför nationella bestämmelser, inklusive grundlag (punkterna 74, 126 och 135).
Det svenska grundlagsskyddet och förhållandet till dataskyddsförordningen
Vid införandet av dataskyddslagen (2018:218) ansåg lagstiftaren att den unionsrättsliga dataskyddsregleringen fortsättningsvis gav utrymme för bestämmelserna om tryck- och yttrandefrihet i de svenska grundlagarna. En upplysningsbestämmelse infördes därför genom 1 kap. 7 § första stycket dataskyddslagen, vilken tydliggör att TF och YGL har företräde framför dataskyddsförordningen och dataskyddslagens bestämmelser. Av bestämmelsens andra stycke, som har sin grund i artikel 85.2 dataskyddsförordningen, framgår att bl.a. artikel 10 dataskyddsförordningen inte ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademisk, konstnärligt eller litterärt skapande.
I den s.k. databasregeln i 1 kap. 4 § YGL regleras under vilka förutsättningar tillhandahållande av information från en databas över internet omfattas av YGL. En aktör kan, efter ansökan, beviljas ett utgivningsbevis och därigenom omfattas av grundlagsskydd. Det innebär enligt 1 kap. 7 § första stycket dataskyddslagen att dataskyddsförordningen med kompletterande svenska bestämmelser inte ska tillämpas på den grundlagsskyddade delen av aktörens verksamhet, i den mån det skulle strida mot TF eller YGL.
I förarbetena till bestämmelserna om utgivningsbevis konstaterades att den fria tillgången till en så innehållsrik information som möjligt och till varierande åsiktsyttringar är en förutsättning för att medborgarna själva ska kunna ta ställning i olika frågor som angår dem. Bland de medborgerliga fri- och rättigheterna intar därför yttrandefriheten en central ställning vilken, tillsammans med informationsfriheten, i svensk rätt har fått ett specifikt skydd genom TF och YGL. Vid införandet av de s.k. frivilliga utgivningsbevisen konstaterade lagstiftaren att en risk med att behöva ansöka om och beviljas ett sådant bevis, är att den som vill ha grundlagsskydd måste vända sig till en myndighet. Det angavs att det inte kunde uteslutas att det finns en risk för att myndigheten i en spänd samhällssituation tillämpar ansökningsreglerna på ett sådant sätt att grundlagsskydd nekas med hänsyn till det väntade innehållet i databasen.
Risken undanröjdes genom att förutsättningarna för grundlagsskydd angavs direkt i grundlagen, nuvarande 1 kap. 5 § YGL (prop. 2001/02:74 s. 36 och 49).
Den 1 januari 2019 infördes möjligheten att genom lag begränsa grundlagsskyddet beträffande vissa söktjänster som innehåller uppgifter av särskilt integritetskänslig karaktär, t.ex. uppgifter om sexuell läggning och hälsa, med stöd av 1 kap. 20 § YGL.
Förslag till motsvarande bestämmelse beträffande lagöverträdelser har lagts fram vid två tillfallen men inte antagits av riksdagen (Dir. 2023:145, s. 6–7). Den svenska lagstiftningen saknar alltså möjlighet att genom inhemsk lag begränsa grundlagsskyddet enligt YGL beträffande lagöverträdelser.
Eftersom hanteringen av de begärda handlingarna innefattar behandling av personuppgifter om lagöverträdelser som innefattar brott, faller behandlingen under artikel 10 dataskyddsförordningen. Nyhetsbyrån Siren har även tidigare begärt och fått ut fullständiga kopior av sådana handlingar och i sådan omfattning att det enligt hovrättens bedömning rör sig om ett fullständigt register över fällande domar i brottmål som enligt förordningen enbart får föras under kontroll av en myndighet.
Det som följer av 1 kap. 7 § första stycket dataskyddslagen, d.v.s. att det svenska grundlagsskyddet alltid ska ha företräde framför dataskyddsförordningen för den som innehar ett frivilligt utgivningsbevis, är inte förenligt med principen om unionsrättens företräde. Detta gäller särskilt mot bakgrund av att den grundlagsskyddade delen av verksamheten enligt svensk rätt helt undantas från bestämmelserna i dataskyddsförordningen och att någon proportionalitetsbedömning då inte görs mellan rätten till skydd för personuppgifter och rätten till skydd för yttrande- och informationsfrihet (Latvijkas Republikas Saeima, p. 105). Med hänsyn till principen om unionsrättens företräde och EU-domstolens praxis, anser hovrätten att en avvägning måste göras i varje enskilt fall mellan det integritetsskyddsintresse som kommer till uttryck genom dataskyddsförordningen och de grundlagsskyddade rättigheter som gäller för innehavare av frivilliga utgivningsbevis, som återfinns i TF och YGL (se Kammarrätten i Stockholms dom den 13 mars 2024 i mål nr 6027-23).
Att neka en aktör som har beviljats ett utgivningsbevis att ta del av allmänna handlingar med motiveringen att grundlagsskyddet måste ge vika till förmån för dataskyddsförordningen måste göras med stor försiktighet. Samtidigt uppställer dataskyddsförordningen tydliga krav på medlemsstaterna att fastställa lämpliga skyddsåtgärder för de registrerades rättigheter och friheter när det kommer till personuppgifter som rör fållande domar i brottmål och lagöverträdelser som innefattar brott, när behandlingen av sådana uppgifter sker av någon annan än en myndighet. När det kommer till den proportionalitetsavvägning mellan olika intressen som måste göras, har EU-domstolen uttalat att uppgifter som faller under artikel 10 dataskyddsförordningen avser beteenden som samhället tar avstånd från, och att ett beviljande av tillgång till sådana uppgifter därför kan stigmatisera den berörda personen och utgöra ett allvarligt ingrepp i hans eller hennes privat- eller yrkesliv (Latvijkas Republikas Saeima p. 75 och Kammarrätten i Stockholms dom den 13 mars 2024 i mål nr 6027-23).
Att mot denna bakgrund med automatik helt undanta Nyhetsbyrån Siren från dataskyddsförordningens bestämmelser är enligt hovrättens mening inte förenligt med den proportionalitetsbedömning som måste göras mellan yttrandefrihet, handlingsoffentlighet och skyddet för personuppgifter. Det är som ovan angetts inte heller förenligt med Sveriges lojalitetsplikt gentemot EU. Dataskyddsförordningen ska därför tillämpas vid bedömningen av om Nyhetsbyrån Siren har rätt att ta del av de begärda handlingarna, trots vad som föreskrivs i dataskyddslagen om grundlagsskyddets företräde (se Kammarrätten i Stockholms dom den 13 mars 2024 i mål nr 6027-23).
Omfattas Nyhetsbyrån Siren av undantag i dataskyddsförordningen som innebär att handlingarna ändå ska lämnas ut?
Hovrätten ifrågasätter inte att Nyhetsbyrån Siren till övervägande del bedriver journalistisk verksamhet i den bemärkelsen som avses i dataskyddsförordningen. Journalistisk verksamhet är, som tidigare angetts, till stora delar undantagen EU:s dataskyddsreglering. Av EU-rättslig praxis framgår dock att journalistisk verksamhet inte kan undantas en proportionalitetsprövning och av dataskyddsförordningens ordalydelse följer även att bolag som bedriver journalistisk verksamhet inte får föra ett fullständigt register över fällande domar i brottmål (artikel 10 dataskyddsförordningen).
Det hovrätten har att pröva är alltså om brottmålsdomarna, efter en proportionalitetsbedömning, kan lämnas ut trots förbudet i artikel 10.
En databas innehållande domar, beslut och andra brottmålshandlingar, som inte innehåller personuppgifter såsom personnamn, personnummer och adress, är inte att betrakta som ett fullständigt register. Samtidigt uppfylls det journalistiska ändamålet med tillhandahållandet av handlingarna utan att enskilda personers rätt till privatliv kränks. Handlingarna ska därför lämnas ut, men med förbehållet att uppgifter om parternas personnamn, personnummer och adress inte får spridas genom databasen.
Detta förbehåll innebär att Nyhetsbyrån Siren inte får tillåta att angivna personuppgifter tillgängliggörs för andra i egna eller andras databaser. Förbehållet är en lämplig skyddsåtgärd för de registrerades rättigheter och friheter.
Hovrätten erinrar om att den som bryter mot det som bestämts i ett förbehåll kan dömas för brott mot tystnadsplikten. Påföljden är böter och fängelse i högst två år.
De begärda handlingarna ska lämnas ut till Nyhetsbyrån Siren med följande förbehåll.
Hovrätten för Övre Norrland antecknade härefter följande i ett föredragningsprotokoll den 9 april 2024.
Hovrätten har den 28 mars 2024 i administrativt beslut – – – beslutat om att lämna ut handlingar till Nyhetsbyrån Siren (Siren) med i beslutet angivna förbehåll.
Siren har inkommit med ny begäran/begäran om omprövning av hovrättens beslut. Siren har i första hand begärt att utlämnande av handlingar till nyhetsföretag som omfattas av automatiskt grundlagsskydd inte ska lämnas ut med förbehåll. I andra och tredje hand har Siren lämnat förslag på förbehållens utformning för det fall hovrätten bedömer att utlämnandet av handlingarna ändå måste villkoras av förbehåll.
Siren har som grund för sin begäran anfört i huvudsak följande. Hovrätten har fattat det tidigare beslutet på felaktiga grunder då hovrätten gjort bedömningen att Siren har ett s.k. frivilligt utgivningsbevis enligt 1 kap. 5 § YGL. Nyhetsbyrån omfattas rätteligen av det automatiska grundlagsskyddet som massmedium enligt 1 kap. 4 § YGL. De har vidare anfört att myndigheter i ett demokratiskt samhälle inte ska ha åsikter om hur denna information hanteras internt inom medier eller göra anspråk på att kontrollera oberoende mediers informationstillgångar. Att journalistiska ändamål ska undantas från GDPR understryker att EU-rätten har samma grundläggande syfte.
Hovrätten (hovrättspresidenten Erik Sundström) avslog Nyhetsbyrån Sirens begäran i beslut den 9 april 2024.
Hovrätten har i det tidigare beslutet gjort en avvägning mellan det integritetsskyddsintresse som kommer till uttryck genom dataskyddsförordningen och de grundlagsskyddade rättigheterna som gäller för bl.a. innehavare av frivilliga utgivningsbevis. En databas som inte omfattas av det s.k. automatiska grundlagsskyddet kan ansöka om ett frivilligt utgivningsbevis. Om sådant bevis erhålls får databasen samma ställning i förhållande till grundlagsskyddet som om den hade omfattats av det automatiska grundlagsskyddet. Hovrättens överväganden har gjorts mellan integritetsskyddsintresset i dataskyddsförordningen och de grundlagsskyddade rättigheterna som återfinns i TF och YGL. Det som Siren har anfört föranleder därför ingen annan bedömning i denna del.
Hovrätten har även i det tidigare beslutet beaktat att journalistisk verksamhet till stora delar är undantagen EU:s dataskyddsreglering och har efter en proportionalitetsbedömning prövat om brottmålsdomarna kan lämnas ut till Siren trots förbudet i artikel 10 dataskyddsförordningen. Det som Siren nu har anfört föranleder därför ingen annan bedömning i frågan om utlämning av handlingarna. Inte heller föranleder det som framförts någon annan bedömning i fråga om förbehållens utformning. Siren får alltså ta del av de begärda handlingarna med de förbehåll som anges i hovrättens tidigare beslut.
Till undvikande av missförstånd vill hovrätten understryka att domstolen även fortsättningsvis kommer att lämna ut brottmålsdomar till Siren och att det av förbehållet framgår att personuppgifterna får användas i journalistiskt syfte. Inget hindrar alltså Siren från att skapa nyheter som inkluderar personuppgifter. Om det är publicistiskt försvarbart eller inte är ett redaktionellt beslut och är inte en fråga för domstolen. Betydelsen av förbehållet är att personuppgifterna inte får tillhandahållas allmänheten eller betalande kunder genom Sirens databas.
Panoptes Sweden AB överklagade och yrkade att HD skulle undanröja hovrättens beslut och bifalla bolagets begäran om att få ta del av de önskade handlingarna utan förbehåll.
Målet avgjordes efter föredragning.
Föredraganden, justitiesekreteraren Malin Falkmer, föreslog i betänkande att HD skulle meddela följande beslut.
Skäl
Bakgrund
Punkterna 1–7 överensstämmer i huvudsak med punkterna 1–5 i HD:s skäl.
Frågan i målet
8 Frågan i målet rör hur dataskyddsförordningens[1] regler om hinder mot publicering av s.k. brottsuppgifter förhåller sig till det svenska grundlagsskyddet för yttrandefrihet i form av publicering av sådana uppgifter i databaser enligt 1 kap. 4 § YGL.
Dataskyddsförordningen och brottsuppgifter
9 Dataskyddsförordningen skyddar fysiska personers grundläggande rättigheter och friheter, särskilt skyddet för personuppgifter och rätten till privatliv. Förordningen tillkom för att garantera en enhetlig och hög skyddsnivå för fysiska personer som är likvärdig i alla medlemsstater. (Se dataskyddsförordningen, skäl 10.)
10 I den del privata företags behandling av personuppgifter omfattas av tillämpningsområdet ger förordningen medlemsstaterna möjlighet att, under särskilda villkor, i lag begränsa vissa skyldigheter och rättigheter, om en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda särskilda viktiga intressen. Begränsningarna bör överensstämma med kraven i EU:s stadga om de grundläggande rättigheterna och Europakonventionen. (Se dataskyddsförordningen, skäl 73.)
11 Artikel 10 i dataskyddsförordningen handlar om behandlingen av personuppgifter som rör fällande domar i brottmål samt överträdelser (brottsuppgifter). Sådan behandling får endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, och då med lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. Alla brottsuppgifter omfattas av artikeln, även om personuppgifterna inte skulle innehålla någon upplysning om en viss lagöverträdelse.
12 Syftet med artikel 10 är att säkerställa ett utökat skydd mot sådan behandling av personuppgifter som, på grund av att uppgifterna är särskilt känsliga, kan utgöra ett särskilt allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skydd för personuppgifter enligt artiklarna 7 och 8 i EU:s rättighetsstadga (se dom Latvijas Republikas Saeima, C-439/19, EU:C:2021:504, punkt 74). EU-domstolen har uttalat att denna artikel även gäller för sökmotorer som behandlar brottsuppgifter (se dom GC m.fl., C-136/17, EU:C:2019:773, p. 48).
13 Medlemsstaterna är skyldiga att anta nationell lagstiftning som förenar rätten till integritet enligt dataskyddsförordningen med yttrande- och informationsfrihet. Som en del i detta får en myndighet som hanterar allmänna handlingar med personuppgifter lämna ut sådana handlingar, med stöd i lag, om detta krävs för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med förordningen. (Se dataskyddsförordningen, artikel 85 och 86.)
14 EU-domstolen har förtydligat att rätten till informationsfrihet inte ska tolkas som att den motiverar att brottsuppgifter lämnas ut till var och en som begär ut sådana uppgifter, med mindre än att denne visat ett särskilt intresse av att erhålla uppgifterna. (Se artikel 85 i dataskyddsförordningen och dom Endemol Shine Finland, C-740/22, EU:C:2024:216, p. 54–58.)
15 När det gäller avvägningen mellan rätten till yttrande- och informationsfrihet och integritetsskydd måste de nationella domstolarna och myndigheterna göra en proportionalitetsbedömning i varje enskilt fall (se dom Lindqvist, C-101/01, EU:C:2003:596, punkt 84–89).
16 Kravet på intresseavvägning gäller även om hanteringen är avsedd för journalistiskt syfte. Behandlingen av personuppgifterna måste vara nödvändig för att förena rätten till privatlivet med de bestämmelser som reglerar yttrandefriheten. Behandlingen får vidare inte gå utöver vad som är strikt nödvändigt. (Se dom Satakunnan Markkinapörssi och Satamedia, C-73/07, EU:C:2008:727, p. 61.)
Tillämpligheten av dataskyddsförordningen i Sverige
17 Dataskyddsförordningen är en EU-förordning och därmed till alla delar bindande och direkt tillämplig i varje medlemsstat. En grundprincip inom EU-rätten är att den har företräde framför nationell rätt, även grundlag. (Se bland annat dom Melloni, C-399/11, EU:C:2013:107, p. 59.)
18 Dataskyddsförordningen har implementerats i svensk rätt genom lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Av dataskyddslagen framgår att varken den eller dataskyddsförordningen ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (se 1 kap. 7 § dataskyddslagen).
19 EU-domstolen har tidigare uttalat att medlemsstaterna är skyldiga att tolka reglerna om dataskydd på ett lojalt och fördragskonformt sätt. Myndigheter och domstolar i medlemsstaterna ska inte bara tolka sin nationella rätt på ett sätt som står i överensstämmelse med reglerna om skydd för personuppgifter, utan även se till att inte grunda sina beslut på en tolkning av dessa regler som skulle stå i strid med de grundläggande rättigheter som skyddas genom gemenskapens rättsordning eller med andra allmänna gemenskapsrättsliga principer, såsom proportionalitetsprincipen. Detta innebär även ett hinder för en medlemsstat att kategoriskt och generellt utesluta möjligheten att behandla vissa typer av personuppgifter, utan att tillåta en avvägning mellan de motstående rättigheterna och intressena i det enskilda fallet. (Se dom Lindqvist, C-101/01, EU:C:2003:596, p. 62 och p. 85–90.)
20 Som EU-domstolen påtalat kan inte tillämpligheten av en EU- förordning generellt och kategoriskt regleras av en medlemsstat i nationell lagstiftning. Detta skulle strida mot såväl lojalitetsplikten som skyldigheten till fördragskonform tolkning. Stadgandet i 1 kap. 7 § dataskyddslagen är därmed i sig inte tillräckligt för att svensk grundlag ska anses ha företräde framför dataskyddsförordningen.
Överlämnande av beslutskompetens till EU
21 Riksdagen kan inte överlämna beslutanderätt till EU i frågor som rör principerna för det svenska statsskicket. Därtill kräver ett överlämnande att ett fri- och rättighetsskydd som uppfyller en viss angiven standard är tillförsäkrat (se 10 kap. 6 § regeringsformen).
22 Med principerna för statsskicket avses riksdagens ställning som det främsta statsorganet och de grundläggande principerna om tryck- och yttrandefrihet. Redan vid införandet av paragrafen ansågs det omöjligt att kategoriskt förbjuda överlåtelse av rätten att fatta beslut som kunde begränsa någon av de grundläggande fri- och rättigheterna i 2 kap. RF (se prop. 1993/94:114 s. 21 f.).
23 Det är alltså enbart de grundläggande och mest skyddsvärda delarna av tryck- och yttrandefriheten som kan omfattas av skyddet i 10 kap. 6 § RF. Frågan om databaser med grundlagsskydd får publicera brottsuppgifter har utretts vid flera tillfällen, bland annat då denna typ av tjänster har ansetts ligga långt från själva kärnan för det område som grundlagarna är tänkta att omfatta. (Se exempelvis prop. 2017/18:49 s. 145.)
24 Rätten att med grundlagsskydd publicera den typen av uppgifter i databaser som är aktuella i detta fall kan därmed inte anses omfattas av de grundläggande principerna för det svenska statsskicket och den överlämning av beslutanderätt som skett till EU är alltjämt giltig.
25 Denna bedömning leder inte till att någon faktisk normkonflikt kan anses föreligga mellan nationell rätt och EU-rätt. Dataskyddsförordningen överlämnar uttryckligen till medlemsstaterna att förena rätten till integritet med yttrande- och informationsfriheten och EU-rätten har ett självklart företräde vid tolkningsfrågor.
26 Den egentliga konflikten mellan det svenska och det EU-rättsliga systemet utgörs främst av att det i svensk rätt inte tydligt stadgas att en intresseavvägning ska göras i de enskilda fallen. Denna skyldighet framgår dock tydligt av EU-domstolens praxis (jfr p. 19). Dataskyddsförordningen är därmed i alla delar giltig i svensk rätt.
Förhållandet mellan yttrandefrihetsgrundlagen och dataskyddslagen
27 Bolag som tillhandahåller databaser till allmänheten kan omfattas antingen av ett automatiskt grundlagsskydd eller ett s.k. frivilligt utgivningsbevis (1 kap. 4 och 5 §§ YGL). I rättighetsavseende är de båda skydden likvärdiga.
28 Som ovan konstaterats är inte regleringen i 1 kap. 7 § dataskyddslagen tillräcklig för att begränsa dataskyddsförordningens tillämplighet på tillhandahållandet av databaser, oavsett om de har grundlagsskydd eller ej (jfr p. 20). Giltigheten av paragrafen kan inte heller sätta dataskyddsförordningen ur spel på konstitutionell grund (jfr p. 24). En begäran om att lämna ut handlingar som innefattar brottsuppgifter till en databas ska därmed prövas mot bakgrund av de regler som finns i dataskyddsförordningen.
29 I såväl EU-rättslig som nationell lagstiftning finns undantag från dataskyddsområdet för journalistisk verksamhet. Detta begrepp ska tolkas brett; spridning av offentliga uppgifter är journalistisk verksamhet, om den syftar till att sprida information, åsikter eller idéer till allmänheten. Vilken typ av medium som används eller om det sker i vinstsyfte påverkar inte denna bedömning. EU-domstolen har ansett att behandling av personuppgifter som utgörs av personregister som enbart och i oförändrad form innehåller material som har publicerats i massmedierna omfattas av dataskyddsdirektivet och kan utgöra journalistisk verksamhet. (Se dom Satakunnan Markkinapörssi och Satamedia, C-73/07, EU:C:2008:727, p. 55–62.)
30 Även journalistisk verksamhet omfattas dock av kravet på en intresseavvägning mellan vikten av det fria informationsutbytet och skyddet för privatlivet. EU-domstolen har uttalat att nationell lagstiftning som tillåter en myndighet att lämna ut brottsuppgifter till andra än myndigheter måste innehålla lämpliga skyddsåtgärder för de registrerades rättigheter och friheter. Domstolen har vidare uttalat att respekten för privatlivet och skyddet för personuppgifter generellt väger tyngre än allmänhetens intresse av att få tillgång till handlingarna (se dom Endemol Shine Finland, C-740/22, EU:C:2024:216, punkt 55).
Sekretess enligt offentlighets- och sekretesslagen
31 Enligt OSL gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen (se 21 kap. 7 § OSL).
32 Någon fullständig bedömning av vilken behandling som kommer ske behöver inte göras, med det krävs att någon konkret omständighet föranleder bedömningen. En sådan kan vara en begäran om ett stort antal domar, så kallat massuttag, eller en begäran som är avgränsad på ett specifikt sätt, så kallat selekterat utdrag (se prop. 2017/18:105 s. 135).
33 Om en myndighet finner att det finns en sådan risk för skada som aktualiserar en sekretessbestämmelse, men att denna risk kan undanröjas genom att ett utlämnande kombineras med ett förbehåll som inskränker rätten att använda uppgiften så ska uppgiften lämnas ut med ett sådant förbehåll (se 10 kap. 14 § OSL).
34 Förbehållet får inte innehålla några andra villkor än de som krävs för att undanröja skaderisken. Innehållet i ett förbehåll ska vara preciserat och uppställt mot en enskild mottagare. Förbehåll kan inte heller meddelas i förväg för en viss typ av information utan ska föregås av en prövning i varje särskilt fall. (Se Eva Lenberg m.fl. Offentlighets- och sekretesslagen, 2024, version 29, JUNO, kommentar till 10 kap. 14 §.)
Bedömningen i detta fall
35 Nyhetsbyrån Siren har begärt att få ut ett stort antal handlingar som innefattar brottsuppgifter. Nyhetsbyrån Siren bedriver en grundlagsskyddad databas, men detta undantar dem inte från tillämplighet av dataskyddsförordningens regelverk. En avvägning ska alltså göras mellan Nyhetsbyrån Sirens rättigheter så som innehavare av databasen och det integritetsintresse som kommer till uttryck genom dataskyddsförordningen.
36 Eftersom det rör sig om ett massuttag och då Nyhetsbyrån Siren varit öppna med att de bedriver en databas i vilken brottmålsdomar är sökbara kan det antas att personuppgifterna i domarna kan komma att behandlas i strid med reglerna i dataskyddsförordningen. Det kan dock inte anses vara fråga om ett fullständigt register, varför det inte finns något absolut förbud mot utlämnandet.
37 Vid en avvägning mellan de motstående intressena ska skyddet för personuppgifter generellt sett anses väga tyngre än allmänhetens intresse av att få tillgång till handlingarna (jfr p. 30). De allmänna handlingar som Nyhetsbyrån Siren begärt att få utlämnade ska därmed anses omfattas av sekretess enligt 21 kap. 7 § OSL.
38 Den risk som föranleder sekretesskyddet kan dock undanröjas om Nyhetsbyrån Siren inte tillåts använda personuppgifter i sin databas. På så sätt kan de juridiska resonemangen i domarna komma allmänheten till gagn utan att enskilda personers rätt till privatliv kränks.
39 Förbehåll bör inriktas på vilken typ av hantering som inte ska tillåtas och inte söka styra en framtida annan hantering. Därmed är det tillräckligt att förena utlämnandet med ett förbehåll om att personnummer, personnamn och adress för enskilda personer inte får tillhandahållas allmänheten eller betalande kunder genom den databas som Nyhetsbyrån Siren bedriver. Då förbehållet är ställt i relation till publiceringen i den databas som Nyhetsbyrån Siren tillhandahåller riktar det sig till databasens ansvariga utgivare.
40 Hovrättens beslut ska ändras på detta sätt.
HD:s avgörande
HD finner att de begärda handlingarna ska lämnas ut till Panoptes Sweden AB med förbehåll om att personnummer, personnamn och adress för enskilda personer inte får tillhandahållas allmänheten eller betalande kunder genom den databas som Panoptes Sweden AB bedriver.
HD (justitieråden Anders Eka, Kristina Ståhl, Petter Asp, referent, och Cecilia Renfors) meddelade den 25 februari 2025 följande beslut.
1 Panoptes Sweden AB:s verksamhet innefattar inhämtning, bearbetning, analys och presentation av information. Bolaget driver Nyhetsbyrån Siren.
2 Sirens kärnverksamhet består i att identifiera och samla in underlag för nyheter och att förmedla sådant underlag till andra nyhetsorganisationer eller massmedier, såsom tidningar, tidskrifter och etermediaföretag. Eftersom Siren är en nyhetsbyrå omfattas den databas (siren.se), där bland annat brottmålsdomar tillhandahålls, av grundlagsskydd enligt 1 kap. 4 § YGL.
3 Siren har av hovrätten begärt att få ta del av ett större antal allmänna handlingar i brottmål, såsom domar, beslut, dagboksblad och stämningsansökningar.
4 Hovrätten har beslutat att de begärda handlingarna ska lämnas ut, men med förbehåll av följande innebörd. De personuppgifter som framgår av handlingarna får användas endast i journalistisk verksamhet och personnummer, personnamn och adress för enskilda personer får inte tillhandahållas allmänheten eller betalande kunder genom databasen eller registren. Som skäl för beslutet anförde hovrätten att det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning[2]. Enligt hovrätten gällde därför sekretess för uppgifterna enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) och förbehåll utgjorde en lämplig skyddsåtgärd.
5 Bolaget har överklagat beslutet till HD. (Något prövningstillstånd krävs inte, jfr 54 kap. 9 § RB samt ”Hovrättens dagboksblad” NJA 2015 s. 180 p. 5–7.)
6 Målet gäller frågan om det råder sekretess för de begärda uppgifterna och, i så fall, om uppgifterna bör lämnas ut med förbehåll. I målet aktualiseras förhållandet mellan 21 kap. 7 § offentlighets- och sekretesslagen, 1 kap. 7 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (i det följande dataskyddslagen) och reglerna i dataskyddsförordningen.
7 Var och en har till främjande av ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande rätt att ta del av allmänna handlingar i den utsträckning som inte reglerna om sekretess hindrar detta (se 2 kap. 1 och 2 §§ TF).
8 Regler om sekretess finns i offentlighets- och sekretesslagen. Sekretess innebär att det är förbjudet att röja den uppgift som det gäller sekretess för, oavsett om det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (se 3 kap. 1 § offentlighets- och sekretesslagen).
9 Utgångspunkten är att brottmålsdomar är offentliga. Om en uppgift tas in i en domstols dom upphör eventuell sekretess för uppgiften att gälla, om inte domstolen beslutar om fortsatt sekretess (jfr 43 kap. 8 § offentlighets- och sekretesslagen).
10 Brottmålsdomar har i linje med detta i regel lämnats ut till den som har begärt det, även när det har rört sig om en större mängd. Också andra handlingar med kopplingar till brottmål, t.ex. dagboksblad och protokoll, lämnas regelmässigt ut, såvida det inte finns någon särskild sekretessbestämmelse som är tillämplig på uppgifter i dem.
11 Som framgår av hovrättens beslut har dock frågan väckts i vilken utsträckning 21 kap. 7 § offentlighets- och sekretesslagen som hänvisar till dataskyddsförordningen – eller dataskyddsförordningen som sådan – kan utgöra hinder mot att lämna ut sådana handlingar.
12 Enligt 21 kap. 7 § offentlighets- och sekretesslagen gäller sekretess för en personuppgift om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen.
13 Sekretessbestämmelsen i 21 kap. 7 § skiljer sig från andra sekretessbestämmelser såtillvida att den inte tar sikte på uppgifterna som sådana, utan på vad som kan antas ske med dem efter ett utlämnande. Enligt bestämmelsen ska den utlämnande myndigheten ta hänsyn till vad som kan antas om den kommande behandlingen och dess karaktär. En liknande bestämmelse har funnits sedan 1973. Bestämmelsen motiverades då bland annat med behovet av att skapa viss kontroll över möjligheterna att genom inhämtande av personuppgifter från befintliga register bygga upp nya register för andra ändamål än de ursprungliga (se prop. 1973:33 s. 100 f.).
14 En bedömning enligt paragrafen behöver göras endast om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen, t.ex. att det är fråga om ett massuttag. Någon fullständig bedömning av om behandlingen kommer att strida mot dataskyddsförordningen eller dataskyddslagen behöver inte göras. (Jfr prop. 2017/18:105 s. 135 f.)
15 Dataskyddsförordningen är bindande och direkt tillämplig i alla EU:s medlemsstater (se artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt). Förordningen tillkom för att bland annat garantera en enhetlig och hög skyddsnivå för fysiska personer som är likvärdig i alla medlemsstater. Den ska ses i ljuset av att skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet enligt Europeiska unionens stadga om de grundläggande rättigheterna. (Jfr dataskyddsförordningen, skäl 1 och 10; jfr även artikel 8 i stadgan och artikel 16 i fördraget om Europeiska unionens funktionssätt.)
16 I artikel 5 i dataskyddsförordningen anges att vissa grundläggande principer ska följas vid behandling av personuppgifter. Av dessa principer följer bland annat att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt samt att de ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Vidare ska de inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas och de får lagras under längre perioder endast för vissa ändamål.
17 De i artikel 5 angivna principerna kompletteras i artikel 6 med mer konkreta krav som måste vara uppfyllda för att behandlingen av uppgifterna ska vara laglig. Ett centralt krav är att någon av de grunder som anges i artikeln måste vara tillämplig för att en uppgift ska få behandlas. Exempel på sådana grunder är att det föreligger samtycke från den berörde eller att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse.
18 I artikel 9 regleras behandling av vissa särskilda kategorier av personuppgifter. Det gäller bland annat uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Behandling av sådana uppgifter är förbjuden om inte den registrerade uttryckligen har lämnat sitt samtycke eller behandlingen är nödvändig av vissa angivna skäl.
19 I artikel 10 finns regler som särskilt tar sikte på behandlingen av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som utgör brott och därmed sammanhängande säkerhetsåtgärder. Behandling av sådana uppgifter får utföras endast under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får föras endast under kontroll av en myndighet. (Angående EU-domstolens tolkning av begreppen lagöverträdelser och fällande domar, se domstolens dom av den 24 september 2019, GC m.fl., C-136/17, EU:C:2019:773, p. 72.)
20 Syftet med artikel 10 är att säkerställa ett utökat skydd mot sådan behandling av personuppgifter som, på grund av att uppgifterna är särskilt känsliga, kan utgöra ett särskilt allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skydd för personuppgifter enligt artiklarna 7 och 8 i EU:s rättighetsstadga (se EU-domstolens dom av den 22 juni 2021, Latvijas Republikas Saeima, C-439/19, EU:C:2021:504, p. 74).
21 Medlemsstaterna ska enligt artikel 85 i dataskyddsförordningen genom lag förena rätten till integritet enligt förordningen med yttrande- och informationsfriheten. De ska vidare – om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfriheten – fastställa undantag eller avvikelser från vissa uppräknade delar av förordningen (bland annat artikel 10) för viss behandling, exempelvis sådan som sker för journalistiska ändamål.
22 Av EU-domstolens praxis följer att uttrycket behandling för journalistiska ändamål ska tolkas brett. Det omfattar bland annat att sprida information, åsikter eller idéer till allmänheten. Vilken teknik som används eller om verksamheten bedrivs i vinstsyfte påverkar inte bedömningen. Även behandling av personuppgifter som innebär att material som har samlats in från myndigheter i oförändrad form tillhandahålls kommersiellt kan utgöra behandling för journalistiska ändamål. (Se EU-domstolens dom av den 16 december 2008, Satakunnan Markkinapörssi och Satamedia, C-73/07, EU:C:2008:727, p. 55–62.)
23 För att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med förordningen får bland annat myndigheter, i enlighet med den unionsrätt eller den medlemsstats rätt som gäller, lämna ut personuppgifter i allmänna handlingar (se artikel 86).
24 Det finns alltså ett utrymme enligt artiklarna 85 och 86 i förordningen att begränsa rätten till skydd för personuppgifter, men bara under förutsättning att begränsningarna är föreskrivna i lag, förenliga med det väsentliga innehållet i de grundläggande rättigheterna och uppfyller de krav som följer av den unionsrättsliga proportionalitetsprincipen. Det betyder bland annat att begränsningarna inte får gå utöver vad som är strikt nödvändigt, och det förutsätts också att det finns tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av undantagen. (Jfr t.ex. Latvijas Republikas Saeima, p. 105 och 106 med vidare hänvisning.)
25 Det sagda innebär att det är förutsatt att skyddet för personuppgifter kan variera mellan medlemsstaterna. Men det är samtidigt inte givet att de sammanjämkningar av olika intressen som har gjorts är godtagbara enligt unionsrätten.
26 I dataskyddslagen finns kompletterande bestämmelser till dataskyddsförordningen.
27 I 1 kap. 7 § första stycket föreskrivs att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Bestämmelsen omfattar inte bara sådan tillämpning av dataskyddsregleringen som skulle strida mot tryck- och yttrandefriheten, utan också sådan som skulle strida mot offentlighetsprincipen (jfr prop. 2017/18:105 s. 43).
28 I paragrafens andra stycke anges att artiklarna 5–30 och 35–50 i dataskyddsförordningen samt 2–5 kap. dataskyddslagen inte ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. I målet är det främst undantaget för journalistiska ändamål som är av intresse. Uttrycket behandling för journalistiska ändamål ska ges samma innebörd som enligt unionsrätten (se p. 22, jfr ”Stiftelsens webbplats” NJA 2001 s. 409).
29 EU-domstolen har i ett par avgöranden behandlat frågor som har gällt utlämnande av personuppgifter från myndigheter i relation till bland annat artikel 10 i dataskyddsförordningen.
30 I rättsfallet Latvijas Republikas Saeima konstaterade domstolen att bestämmelserna i dataskyddsförordningen utgör hinder för en nationell lagstiftning som innebär att ett offentligt organ som ansvarar för ett register med information om prickning av förare vid överträdelser av trafikregler är skyldigt att göra uppgifterna tillgängliga för allmänheten, utan att den som begär att få tillgång till uppgifterna behöver visa att han eller hon har ett särskilt intresse av att erhålla dem. Dataskyddsförordningen ansågs också utgöra hinder mot att det offentliga organet överför sådana uppgifter till ekonomiska aktörer för vidareutnyttjande, så att den som önskar få upplysningar om eventuell prickning kan vända sig direkt till dessa aktörer och få ut uppgifterna. (Se Latvijas Republikas Saeima, p. 122 och 129.)
31 Vid prövningen av om de nationella reglerna kunde anses vara förenliga med dataskyddsförordningen gjordes en bedömning av huruvida dessa, som alltså innebar en begränsning av skyddet i dataskyddsförordningen, var nödvändiga och proportionerliga i förhållande till de eftersträvade målen med regleringen. Inom ramen för den bedömningen beaktade domstolen såväl rätten till informationsfrihet enligt artikel 85 som allmänhetens rätt att få tillgång till allmänna handlingar enligt artikel 86, men fann att rätten till skydd för detta slags personuppgifter måste anses väga tyngre. (Se Latvijas Republika Saeima, p. 102–121 och 126.)
32 I ett senare avgörande har EU-domstolen på motsvarande sätt konstaterat att dataskyddsförordningen utgör hinder mot att uppgifter om fällande domar i brottmål avseende fysiska personer i ett register som förs av domstol lämnas ut till vem som helst för att säkerställa allmänhetens tillgång till allmänna handlingar, utan att den person som begär utlämnandet behöver visa att personen har ett särskilt intresse av att få ut uppgifterna. (EU-domstolens dom av den 7 mars 2024, C-740/22, Endemol Shine Finland, EU:C:2024:216, p. 58.)
33 HD har att ta ställning till om, och i så fall på vilket sätt, prövningen av en begäran om att få ut allmänna handlingar som innehåller uppgifter om lagöverträdelser påverkas av dataskyddsförordningen.
34 Som framgår av det föregående föreskrivs i 1 kap. 7 § första stycket dataskyddslagen att den lagen och dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
35 Lagstiftarens avsikt med bestämmelsen får sägas ha varit att dataskyddsförordningen och dataskyddslagen över huvud taget inte ska tillämpas på det grundlagsskyddade området. Det skulle innebära att man i en verksamhet som omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen inte skulle behöva följa dataskyddsförordningen och att förordningen inte heller skulle inskränka myndigheternas skyldigheter att lämna ut personuppgifter. (Jfr prop. 2017/18:105 s. 40 ff., jfr även prop. 1997/98:44 s. 43 ff. angående den tidigare gällande regleringen.)
36 Med en sådan utgångspunkt är det följdriktigt att uppfatta 21 kap. 7 § offentlighets- och sekretesslagen på så sätt att sekretess enligt bestämmelsen inte kan föreligga i dessa fall; bestämmelsen förutsätter ju en bedömning av vad som kan antas om den kommande behandlingens förenlighet med dataskyddsregleringen.
37 Motsvarande gäller avseende fall där undantaget i 1 kap. 7 § andra stycket dataskyddslagen är tillämpligt, t.ex. vid behandling av personuppgifter för journalistiska ändamål utanför det grundlagsskyddade området. I stycket föreskrivs att vid sådan behandling ska flera av dataskyddsförordningens centrala bestämmelser, bland annat artiklarna 5–10, inte tillämpas.
38 Vid en tillämpning av den nationella regleringen måste emellertid unionsrättens krav beaktas. Medlemsstaterna ska enligt artiklarna 85 och 86 i dataskyddsförordningen visserligen göra en avvägning mellan intresset av yttrande- och informationsfrihet och allmänhetens rätt att få tillgång till allmänna handlingar å den ena sidan och rätten till skydd för personuppgifter å den andra. Men det kan ifrågasättas om en reglering som innebär att personuppgifter om lagöverträdelser i stor omfattning ska lämnas ut samtidigt som dataskyddsregleringen inte alls – eller endast till viss del – gäller för den efterföljande behandlingen av uppgifterna, går att förena med unionsrättens krav.
39 Brottmålsdomar innehåller många olika uppgifter av känslig natur. De innehåller inte bara personuppgifter om tilltalade och dömda, brott som ett avgörande avser och den eventuella påföljd som dömts ut. Där finns också ett stort antal andra personuppgifter, bland annat om målsägande och vittnen och om omständigheter kring de åtalade händelserna som kan knytas till olika personer.
40 Om 1 kap. 7 § första stycket dataskyddslagen uppfattas på det sätt som lagstiftaren får sägas ha avsett, innebär regleringen att skyddet för dessa personuppgifter – på det grundlagsskyddade området – uteslutande kommer att bygga på de möjligheter till ingripande som ges enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen och som i grunden har andra syften än att skapa ett personuppgiftsskydd. Om bestämmelsen uppfattas på detta sätt finns det inte heller några regler om hur personuppgifterna får behandlas eller några förutsättningar att utöva tillsyn såvitt avser uppgifter om lagöverträdelser.
41 Också i de fall som avses i 1 kap. 7 § andra stycket innebär en sådan ordning (se p. 35–37) att skyddet för personuppgifter i mycket stor utsträckning får stå tillbaka för intresset av yttrande- och informationsfrihet.
42 HD gör sammantaget bedömningen att det inte kan anses förenligt med unionsrätten att ha en ordning som innebär att brottmålsdomar i stor omfattning lämnas ut med följd att en betydande mängd personuppgifter rörande lagöverträdelser därefter kan behandlas i en databas och göras tillgängliga för andra. I princip finns då inte något annat skydd för integritetsintresset än det som kan ligga i ingripanden med stöd av mediegrundlagarna och brottsbalken. En sådan ordning undergräver närmast helt det skydd vid behandling av uppgifter om lagöverträdelser som dataskyddsförordningen syftar till att ge och kan inte anses innebära att det har fastställts lämpliga skyddsåtgärder för de registrerades rättigheter och friheter på det sätt som förutsätts enligt artikel 10 i dataskyddsförordningen. Bedömningen att detta inte är godtagbart gäller även i förhållande till behandling som sker för journalistiska ändamål eller andra ändamål som avses i artikel 85.
43 Det är alltså inte möjligt att förena den svenska regleringen med dataskyddsförordningen på det sätt som lagstiftaren får antas ha avsett.
44 Det är inte möjligt för HD att i ett enskilt avgörande mer generellt lösa de frågor som är förknippade med den svenska regleringen av dataskyddsförordningens tillämplighet. Domstolens uppgift är att ta ställning till hur frågorna i målet ska bedömas och då särskilt hur 21 kap. 7 § offentlighets- och sekretesslagen ska tillämpas.
45 Det kan erinras om att de allmänna frågeställningarna rörande avsaknaden av skydd för integritetsintresset vid behandling av personuppgifter på det grundlagsskyddade området är långt ifrån nya. Redan i samband med införandet av systemet med frivilliga utgivningsbevis i yttrandefrihetsgrundlagen hade konstitutionsutskottet farhågor om att grundlagsskyddet skulle kunna komma att omfatta databaser som utgör rena personregister och att detta kunde komma i konflikt med bestämmelser som har till syfte att skydda den personliga integriteten (jfr bet. 2001/02:KU21 s. 31 f.).
46 Det finns även skäl att här nämna att två förslag har lagts fram till riksdagen som syftat till att bättre balansera yttrandefrihets- och informationsfrihetsintressena med skyddet för personuppgifter avseende lagöverträdelser (se prop. 2017/18:49 och prop. 2021/22:59). Dessa har dock inte lett till lagstiftning. Till detta kommer att det återigen har lagts fram förslag rörande bland annat denna frågeställning (se SOU 2024:75). I sammanhanget kan även nämnas Integritetsskyddsmyndighetens rättsliga ställningstagande 2024:1 som emellertid är begränsat till söktjänster med utgivningsbevis.
47 Mot bakgrund av det som nu har sagts inställer sig frågan om det är möjligt att tolka och tillämpa det svenska regelverket på ett sätt som kan förenas med dataskyddsförordningen.
48 Som framgått av det föregående får lagstiftarens avsikt sägas ha varit att dataskyddsförordningen och dataskyddslagen inte alls ska tillämpas på det grundlagsskyddade området. Det kan emellertid konstateras att detta inte kommer till uttryck i lagtexten. I 1 kap. 7 § första stycket dataskyddslagen anges att dataskyddsförordningen inte ska tillämpas ”i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen”. Bestämmelsens utformning talar alltså närmast för att dataskyddsförordningen får vika först när det råder en konflikt mellan regelverken.
49 Det bör framhållas att det förhållandet att det gäller sekretess för vissa uppgifter som utgångspunkt inte kan anses innebära att det föreligger en konflikt med tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Tvärtom är det i tryckfrihetsförordningen förutsatt att riksdagen ska kunna lagstifta om sekretess och att sekretess då gäller också i förhållande till verksamheter som omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
50 Det finns också skäl att notera att 1 kap. 7 § dataskyddslagen och 21 kap. 7 § offentlighets- och sekretesslagen, såvitt nu är aktuellt, fick sin utformning i samma lagstiftningssammanhang. Den naturliga utgångspunkten bör vara att den ena bestämmelsen inte utesluter tillämpning av den andra. Till bilden hör också att det inte finns några uttalanden i förarbetena till 21 kap. 7 § som berör frågan om sekretessen bör gälla i förhållande till verksamheter som omfattas av grundlagsskydd enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
51 HD gör mot denna bakgrund bedömningen att det finns utrymme att tolka 1 kap. 7 § första stycket dataskyddslagen så att bestämmelsen inte hindrar att dataskyddsförordningens krav beaktas vid tillämpningen av den särskilda sekretessbestämmelsen i 21 kap. 7 § offentlighets- och sekretesslagen även på det grundlagsskyddade området. Och en sådan tolkning bör göras oavsett hur man ska se på innebörden av 1 kap. 7 § första stycket när det gäller frågan om förordningen kan tillämpas på den följande behandlingen i den verksamhet som omfattas av grundlagsskyddet.
52 Det betyder att den myndighet som har att göra en prövning enligt 21 kap. 7 § offentlighets- och sekretesslagen ska bedöma om uppgifterna efter ett utlämnande kan antas komma att behandlas i strid med bestämmelserna i dataskyddsförordningen, utan att ta ställning till i vilken mån den svenska regleringen innebär att förordningen inte ska tillämpas i den verksamhet som bedrivs av den som har begärt att få ut uppgifterna. Dataskyddsförordningen kan vid tillämpningen av 21 kap. 7 § då närmast ses som en fristående måttstock för när sekretess råder för uppgifter som annars skulle ha varit offentliga.
53 På detta sätt kan ett hänsynstagande till kraven i förordningen ske när det avgörs huruvida allmänna handlingar som innehåller personuppgifter ska lämnas ut.
54 I 1 kap. 7 § andra stycket anges att undantag från dataskyddsförordningens tillämpning ska göras i princip i samtliga de delar där förordningen öppnar för undantag. Närmare bestämt undantas, som framgått, artiklarna 5–30 och 35–50 i dataskyddsförordningen. Lagstiftaren har här mer tydligt använt den ordning för nationell anpassning som dataskyddsförordningen anvisar i artikel 85.
55 Av förarbetena framgår att det huvudsakliga syftet med undantaget i andra stycket har varit att se till att bland annat journalistisk verksamhet som inte omfattas av tryckfrihetsförordningen och yttrandefrihetsgrundlagen undantas från delar av dataskyddsförordningen och dataskyddslagen. En utgångspunkt vid utformningen av bestämmelsen har varit att undantag bör införas i den utsträckning som förordningen tillåter det (se prop. 2017/18:105 s. 44 f. och 187). Det kan noteras att bestämmelsen – även om den syftar till att träffa sådan verksamhet som inte omfattas av tryckfrihetsförordningen eller yttrandefrihetsgrundlagen – enligt sin ordalydelse täcker också verksamhet som har grundlagsskydd.
56 Ordalydelsen i andra stycket ger inte samma öppning för en tolkning i enlighet med unionsrätten som första stycket. De båda styckena måste dock ses i ett sammanhang. Andra stycket kan inte rimligen ges den innebörden att undantaget från dataskyddsförordningens tillämpning för icke-grundlagsskyddad verksamhet blir mer långtgående än det undantag som avser det grundlagsskyddade området.
57 Andra stycket bör alltså, på motsvarande sätt som första stycket, tillämpas så att det inte hindrar att dataskyddsförordningen fullt ut beaktas vid en prövning enligt 21 kap. 7 § offentlighets- och sekretesslagen. Den myndighet som har att göra prövningen ska således bedöma om uppgifterna efter ett utlämnande kan antas komma att behandlas i strid med bestämmelserna i dataskyddsförordningen, utan att ta ställning till om de undantagna artiklarna i förordningen ska tillämpas i den verksamhet som bedrivs av den som har begärt att få ut uppgifterna.
58 Sammantaget innebär det sagda att 1 kap. 7 § dataskyddslagen – bedömd i ljuset av unionsrätten – inte hindrar att dataskyddsförordningen beaktas vid tillämpningen av sekretessbestämmelsen i 21 kap. 7 § offentlighets- och sekretesslagen.
59 För att sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen ska gälla för de uppgifter som Nyhetsbyrån Siren har begärt att få ut krävs att det kan antas att uppgifterna efter ett utlämnande kommer att behandlas på ett sätt som är oförenligt med dataskyddsförordningen. Antagandet måste bygga på att det finns konkreta omständigheter som indikerar detta, men någon fullständig bedömning av om den behandling som kan antas komma att ske är oförenlig med dataskyddsförordningen behöver inte göras (se p. 14). Något ställningstagande till i vilken mån förordningen ska tillämpas i Sirens verksamhet ska inte göras, utan förordningen ska användas som en fristående måttstock vid bedömningen (se p. 52 och 57).
60 Siren har begärt att få ut ett större antal brottmålsdomar och andra handlingar kopplade till brottmål såsom beslut, dagboksblad och stämningsansökningar. Handlingarna innehåller uppgifter om lagöverträdelser och andra uppgifter av känslig natur. Siren har hos hovrätten återkommande begärt ut allmänna handlingar på motsvarande sätt. Mot denna bakgrund, och med beaktande av den omfattande behandling av personuppgifter av detta slag som sker hos Siren, kan det antas att de personuppgifter som finns i de begärda handlingarna kommer att behandlas på ett sätt som är oförenligt med artikel 10 i dataskyddsförordningen (jfr p. 42). Sekretess gäller följaktligen för de personuppgifter som finns i de handlingar som har begärts ut.
61 Om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde (10 kap. 14 § första stycket offentlighets- och sekretesslagen).
62 Det framstår som klart att bestämmelsen är skriven med tanke på sådana sekretessbestämmelser vilkas tillämpning förutsätter ett beaktande av skada, men eller annan olägenhet. Någon hänvisning till sådana faktorer finns inte i 21 kap. 7 § offentlighets- och sekretesslagen, men det finns heller inte något undantag i 10 kap. 14 § som innebär att den inte kan tillämpas vid sekretess enligt 21 kap. 7 §. Sistnämnda bestämmelse syftar vidare, i likhet med flera andra sekretessregler, till att skydda uppgifter om enskildas personliga förhållanden. Ett utlämnande av uppgifter som är oförenligt med dataskyddsförordningen får därmed anses kunna medföra skada, men eller annan olägenhet. Även om resultatet av ett förbehåll inte fullt ut blir detsamma som i andra fall bör bestämmelsen i 10 kap. 14 § första stycket därför kunna tillämpas också när sekretess gäller enligt 21 kap. 7 §.
63 Att med stöd 10 kap. 14 § ställa upp ett förbehåll vid utlämnande av handlingar kan vara ett sätt att i viss mån åstadkomma en sådan avvägning mellan olika intressen som dataskyddsförordningen förutsätter. Det gäller särskilt när intresset av yttrande- och informationsfrihet ska förenas med rätten till integritet.
64 Med hänsyn till den verksamhet som Siren bedriver kan det antas att behandlingen av uppgifterna i de begärda handlingarna till betydande del kommer att ske för journalistiska ändamål. Handlingarna bör därför, som hovrätten har funnit, lämnas ut men med förbehåll som gör att intresset av att kunna bedriva den journalistiska verksamheten balanseras mot integritetsintresset. Det finns skäl att vid utformningen av förbehållet beakta att Siren via sin databas tillgängliggör bland annat redaktionellt bearbetad nyhetstext.
65 En rimlig balans mellan de olika intressena kan uppnås om förbehållet utformas så att det tar sikte på att förhindra att handlingarna – med de personuppgifter som finns i dem – tillhandahålls av Siren eller att uppgifterna görs sökbara för andra, men inte förhindrar att personuppgifterna används i t.ex. nyhetstexter eller nyhetsunderlag som Siren producerar.
66 Det finns mot den bakgrunden anledning att ändra hovrättens beslut på så sätt att förbehållet ges innebörden:
– att handlingarna, oavsett i vilken form, inte får tillhandahållas allmänheten eller betalande kunder om allmänheten eller kunderna därigenom får del av personnamn, personnummer eller adress för enskilda personer, och
– att Siren inte heller på annat sätt får erbjuda allmänheten eller betalande kunder sökmöjligheter i handlingarna på ett sätt som ger tillgång till personnamn, personnummer eller adress för enskilda personer.
Det av hovrätten beslutade förbehållet ska ändras så att det innebär:
– att handlingarna, oavsett i vilken form, inte får tillhandahållas allmänheten eller betalande kunder om allmänheten eller kunderna därigenom får del av personnamn, personnummer eller adress för enskilda personer, och
– att Siren inte heller på annat sätt får erbjuda allmänheten eller betalande kunder sökmöjligheter i handlingarna på ett sätt som ger tillgång till personnamn, personnummer eller adress för enskilda personer.
Justitieråden Henrik Jermsten och Thomas Bull var skiljaktiga och ansåg att överklagandet skulle bifallas. Enligt deras mening borde skälen lyda enligt följande.
Skäl
Bakgrund
1 Panoptes Sweden AB:s verksamhet innefattar inhämtning, bearbetning, analys och presentation av information. Bolaget driver Nyhetsbyrån Siren.
2 Siren är inriktad på myndighetsbevakning och kärnverksamheten består i att identifiera och samla in underlag för nyheter och att förmedla sådant underlag till andra nyhetsorganisationer eller massmedier, såsom tidningar, tidskrifter och etermediaföretag. Eftersom Siren är en nyhetsbyrå omfattas information ur Sirens databas av grundlagsskydd enligt 1 kap. 4 § YGL.
3 Siren har hos hovrätten begärt att få del av ett större antal allmänna handlingar i brottmål, såsom domar, beslut, dagboksblad och stämningsansökningar.
4 Hovrätten har beslutat att lämna ut de begärda handlingarna men med ett förbehåll. Förbehållet innebär att de personuppgifter som framgår av handlingarna endast får användas i journalistisk verksamhet och att personnummer, personnamn och adress för enskilda personer inte får tillhandahållas allmänheten eller betalande kunder genom databasen/registren.
5 Som skäl för beslutet anförde hovrätten att det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning. Enligt hovrätten gällde därför sekretess för uppgifterna enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) och förbehåll utgjorde en lämplig skyddsåtgärd.
Om utlämnande av domar m.m.
6 Var och en har till främjande av ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande rätt att ta del av allmänna handlingar i den utsträckning som inte reglerna om sekretess hindrar detta (2 kap. 1 och 2 §§ TF).
7 Enligt 21 kap. 7 § offentlighets- och sekretesslagen gäller sekretess för en personuppgift om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning eller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
8 Den aktuella sekretessbestämmelsen skiljer sig från andra sekretessbestämmelser såtillvida att den inte tar sikte på uppgifterna som sådana, utan på vad som kan antas ske med dem efter ett utlämnande. En bedömning enligt paragrafen behöver göras endast om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen, t.ex. att det är fråga om ett massuttag. Någon fullständig bedömning av om behandlingen kommer att strida mot dataskyddsförordningen eller dataskyddslagen behöver inte göras. (Jfr prop. 2017/18:105 s. 135 f.)
9 Dataskyddsförordningen uppställer i artiklarna 5 och 6 vissa grundläggande krav på behandlingen av personuppgifter, bland annat att de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Uppgifterna ska vidare behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade samt vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Ett centralt krav är vidare att någon av de grunder som anges i artikel 6 måste vara tillämplig för att en uppgift ska få behandlas. Exempel på sådana grunder är att det föreligger samtycke från den registrerade eller att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse.
10 I artikel 9 regleras behandling av vissa särskilda kategorier av personuppgifter. Det gäller bland annat uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Behandling av sådana uppgifter är förbjuden om inte den registrerade uttryckligen har lämnat sitt samtycke eller behandlingen är nödvändig av vissa angivna skäl.
11 I artikel 10 finns regler som särskilt tar sikte på behandlingen av personuppgifter som rör fällande domar i brottmål, lagöverträdelser som utgör brott och därmed sammanhängande säkerhetsåtgärder. Behandling av sådana uppgifter får utföras endast under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får föras endast under kontroll av en myndighet.
12 Medlemsstaterna ska enligt artikel 85 i förordningen genom lag förena rätten till integritet enligt dataskyddsförordningen med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. De ska vidare för behandling som sker för sådana ändamål – om det är nödvändigt för att förena rätten till integritet med yttrande- och informationsfriheten – fastställa undantag eller avvikelser från vissa uppräknade delar av förordningen, däribland artiklarna 5, 6, 9 och 10.
13 I 1 kap. 7 § första stycket dataskyddslagen anges att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Av andra stycket samma paragraf följer att bland annat artiklarna 5, 6, 9 och 10 i dataskyddsförordningen inte ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.
Den svenska sammanjämkningen enligt artikel 85
14 Inledningsvis kan konstateras att en EU-förordning till alla delar är bindande och direkt tillämplig i varje medlemsstat. Enligt fast praxis gäller att bestämmelser i förordningar i allmänhet har omedelbara verkningar i de nationella rättsordningarna, utan att det krävs att de nationella myndigheterna vidtar några tillämpningsåtgärder (EU-domstolens dom av den 15 maj 2021, Facebook Ireland m.fl., C-645/19, EU:C:2021:483, p. 110 och där angiven rättspraxis).
15 När det gäller vissa artiklar i dataskyddsförordningen utgör dessa emellertid inte en komplett reglering utan förordningen förutsätter en kompletterande reglering i nationell rätt. Så är exempelvis fallet beträffande förordningens krav på en nationell sammanjämkning av förordningens regler om skydd för personuppgifter med yttrande- och informationsfriheten.
16 Hur yttrandefrihet, informationsfrihet och skyddet för personuppgifter ska förenas och sammanjämkas framgår således inte av dataskyddsförordningen. Det finns dessutom ett utrymme för olikheter mellan medlemsstaterna i fråga om innehållet i bestämmelser som sammanjämkar rätten till skydd för personuppgifter med yttrande- och informationsfrihet (EU-domstolens dom av den 24 september 2019, Google, C-507/17, EU:C:2019:772, p. 69).
17 Att man i flera medlemsstater gjort omfattande undantag från dataskyddsförordningens bestämmelser för journalistisk verksamhet står klart (se SOU 2024:75 s. 120 ff. avseende Norge, Danmark och Finland). Även i länder som Nederländerna och Österrike har man, på ett sätt som liknar den svenska regleringen i sak, undantagit verksamheter som är journalistiska från förordningens tillämpningsområde.
18 Till bilden hör vidare att det vid sammanjämkningen enligt artikel 85 måste beaktas att rättigheterna i Europeiska unionens stadga om de grundläggande rättigheterna har en likvärdig ställning. Skyddet av personuppgifter regleras i artikel 8 och yttrande- och informationsfrihet skyddas genom artikel 11. Från unionsrättslig synvinkel har således ingen av rättigheterna en starkare ställning än den andra, utan vid konflikter måste de balanseras mot varandra.
19 Enligt svensk rätt ska alltså dataskyddsförordningen inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (prop. 2017/18:105 s. 40 ff.). Vidare ska bland annat artiklarna 5, 6, 9 och 10 i dataskyddsförordningen även utanför det grundlagsskyddade området inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål.
20 Utifrån artikel 85 i dataskyddsförordningen kan detta ställningstagande sägas innebära att den svenska lagstiftaren har bedömt att det är nödvändigt ur ett yttrandefrihetsperspektiv att helt undanta sådana aktörer som omfattas av grundlagsskydd från förordningens bestämmelser och att detsamma i allt väsentligt ska gälla för sådana aktörer som saknar grundlagsskydd men vars verksamhet har journalistiska ändamål. Den praktiska effekten av detta är att personuppgiftsbehandlingen i allt väsentligt är oreglerad.
21 Mot bakgrund av EU-domstolens avgöranden av den 22 juni 2021 i målet Latvijas Republika Saeima (C-439/19, EU:C:2021:504) och av den 7 mars 2024 i målet Endemol Shine Finland (C-740/22, EU:C:2024:216) kan emellertid den frågan ställas om den svenska regleringen utgör en sammanvägning av yttrandefrihet, informationsfrihet och skyddet för personuppgifter som är fullt ut förenlig med unionsrätten.
22 Enligt HD:s mening finns det inledningsvis anledning att notera följande beträffande EU-domstolens avgöranden. Det förstnämnda rättsfallet rörde sammanjämkningen enligt artikel 86 i dataskyddsförordningen mellan rätten till allmänna handlingar och rätten till skydd för personuppgifter och berörde endast artikel 85 i den del denna behandlar rätten till informationsfrihet. Någon yttrandefrihetsaspekt fanns inte i målet och de krav som artikel 85 ställer på en nationell sammanjämkning utifrån det intresset berördes inte. Avgörandet har därför ingen direkt betydelse för den nu aktuella situationen.
23 I det andra avgörandet fann EU-domstolen att respekten för privatlivet och skyddet för personuppgifter måste anses väga tyngre än allmänhetens intresse av att få tillgång till allmänna handlingar. Vidare framhölls att rätten till informationsfrihet enligt artikel 85 i dataskyddsförordningen inte ska tolkas så, att den motiverar att personuppgifter avseende fällande domar i brottmål lämnas ut till var och en som begär ut sådana uppgifter (p. 55 och 56).
24 EU-domstolens resonemang tog alltså sikte på intresseavvägningen mellan skyddet av personuppgifter om lagöverträdelser och allmänhetens tillgång till allmänna handlingar och informationsfriheten i allmänhet. Någon direkt bäring på situationer när en aktör begär ut uppgifter av det slaget för journalistiska ändamål har avgörandet således inte.
25 Den slutsats som kan dras av EU-domstolens avgöranden är att vid sammanjämkningen mellan informationsfriheten och skyddet för personuppgifter ska proportionalitetsprincipen iakttas och de nationella regler som införs får inte gå utöver vad som är nödvändigt. Vad detta konkret betyder i en kontext där andra intressen står mot varandra än de som var aktuella i de båda rättsfallen är däremot inte givet.
26 En annan iakttagelse som kan göras utifrån de båda rättsfallen är att EU-domstolens bedömning av om sammanjämkningen enligt artikel 85 och 86 i dataskyddsförordningen är godtagbar, har skett utifrån de konkreta omständigheterna i det enskilda fallet. Även om hänsyn måste kunna tas till ett nationellt systems utformning på abstrakt nivå är det alltså effekterna i det konkreta fallet som är avgörande för prövningen av om t.ex. kravet på proportionalitet är uppfyllt eller inte.
Bedömningen i detta fall
27 I det nu aktuella fallet är fråga om en begäran om utfående av allmänna handlingar av en aktör som har s.k. automatiskt grundlagsskydd, dvs. grundlagsskyddet följer direkt av grundlagen (1 kap. 4 § YGL).
28 Från grundlagssynpunkt innebär detta att utgångspunkten är att Siren är en aktör vars verksamhet får antas ligga i linje med syftet med yttrandefrihetsgrundlagen, dvs. att säkra ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande. Detta är alla ändamål som nära nog helt sammanfaller med de områden där undantag från dataskyddsförordningens bestämmelser medges enligt artikel 85.
29 Vad som är upplyst om Sirens verksamhet är följande. Siren är medlem i föreningen Tidningsutgivarna. Siren identifierar och samlar in underlag för nyheter för att förmedla sådant underlag till andra nyhetsorganisationer eller massmedier. Siren tar hand om, bedömer och utarbetar underlag med utgångspunkt i de handlingar som domstolar, myndigheter och andra har lämnat ut. Denna behandling är på olika sätt avsedd för publicering. Det är redaktionens medarbetare som analyserar materialet och gör självständiga nyhetsvärderingar. Därefter kan det bearbetade materialet användas för publicering i andra massmedier eller i Sirens egen databas.
30 Det får anses stå klart att Sirens insamlande av personuppgifter sker för journalistiska ändamål. Även om det alltså kan ifrågasättas om den svenska regleringen utgör en sammanvägning av yttrandefrihet, informationsfrihet och skyddet för personuppgifter som i alla delar lever upp till unionsrättens krav, finns det inget som tyder på att det beträffande en aktör som Siren inte skulle vara godtagbart göra sammanjämkningen mellan olika intressen enligt artikel 85 i dataskyddsförordningen på det sätt som den svenska lagstiftaren har gjort.
31 Det kan därför inte anses stå i strid med unionsrätten att såvitt avser Sirens begäran om utfående av allmänna handlingar låta grundlagsskyddet gälla på det sätt som den svenska lagstiftaren har avsett.
32 Som hovrätten har konstaterat är de efterfrågade handlingarna allmänna och de ska lämnas ut om inte sekretess gäller enligt 21 kap. 7 § offentlighets- och sekretesslagen. Enligt den paragrafen gäller sekretess för personuppgifter om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen.
33 Det kan emellertid inte antas att Siren kommer att behandla de personuppgifter som finns i de handlingar som Siren har begärt ut i strid med dataskyddsförordningen eftersom Sirens behandling av personuppgifter inte omfattas av förordningens bestämmelser.
34 Sekretess enligt 21 kap. 7 § offentlighets- och sekretesslagen gäller därmed inte. Överklagandet ska därför bifallas.
Justitierådet Agneta Bäcklund var skiljaktig och ansåg att målet skulle skrivas av från vidare handläggning. Hon ansåg att skälen från och med punkten 61 skulle ha följande lydelse.
61 Om en myndighet finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, ska myndigheten göra ett sådant förbehåll när uppgiften lämnas till den enskilde (10 kap. 14 § första stycket offentlighets- och sekretesslagen).
62 Det framstår som klart att bestämmelsen är skriven med tanke på sådana sekretessbestämmelser vars tillämpning förutsätter ett beaktande av skada, men eller annan olägenhet. Någon hänvisning till sådana faktorer finns inte i 21 kap. 7 § offentlighets- och sekretesslagen.
63 Det är svårt att se att ett förbehåll fullt ut skulle tillgodose möjligheten till avvägning mellan integritetsintresset och intresset av att bedriva journalistisk verksamhet när det är fråga om behandling av en stor mängd uppgifter som avser lagöverträdelser. Den risk som bestämmelsen i 21 kap. 7 § avser att förhindra – att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen – kan alltså inte undanröjas genom ett förbehåll.
64 Med den tolkning av förhållandet mellan 1 kap. 7 § dataskyddslagen och 21 kap. 7 § som HD gör är det dessutom knappast möjligt att ge några föreskrifter om behandlingen av de uppgifter om lagöverträdelser som lämnats ut, utan att ta ställning till om artikel 10 i dataskyddsförordningen gäller för den behandlingen. Ett förbehåll som innebär att det inte är tillåtet att lämna ut vissa uppgifter framstår inte heller som lämpligt med hänsyn till rätten att fritt meddela uppgifter i vilket ämne som helst.
65 Slutsatsen är därför att det inte finns förutsättningar att lämna ut handlingarna med förbehåll. Ett utlämnande med förbehåll framstår inte heller som en lämplig åtgärd.
66 Eftersom de handlingar som talan avser har lämnats ut till Siren med förbehåll bör överklagandet inte föranleda någon ytterligare åtgärd utan målet bör avskrivas från vidare handläggning.
II
Umeå tingsrätt antecknade följande i ett beslut den 20 februari 2024.
Trobar AB (Trobar) har begärt ut domar, beslut, protokoll och dagboksblad i brottmål vid tingsrätten. Trobar begär återkommande ut denna typ av handlingar. Trobar har ett utgivningsbevis och omfattas således av grundlagsskyddet som följer av yttrandefrihetsgrundlagen. Mot bakgrund av att Trobar är en återkommande beställare av uppgifter har fråga uppkommit om ett fortsatt utlämnande är förenligt med EU:s dataskyddsreglering och om det mot denna bakgrund kan råda sekretess för handlingarna. Trobar har därför förelagts att inkomma med närmare besked om den tänkta användningen av uppgifterna. Tingsrätten har särskilt begärt besked om det är fråga om journalistisk verksamhet samt om och i så fall hur handlingarna i någon form kommer att vara åtkomliga för allmänheten eller för betalande kunder.
Trobar har uppgett bl.a. följande. Trobar är en rättsdatabas och vänder sig endast till seriösa företag och organisationer, inte till privatpersoner. Trobars målgrupp ägnar sig åt bl.a. journalistik, forskning inom t.ex. kriminologi eller annan akademisk verksamhet. Trobar använder också den information som inhämtas för egen journalistisk verksamhet. Databasen tillhandahålls allmänheten, men inte på så sätt att vem som helst kan gå in och söka efter information. För att få tillgång till databasen måste man vara kund hos Trobar. För att bli kund krävs ett legitimt och seriöst syfte, och innan en kund accepteras får den därför genomgå en prövning. Prövningen är till för att säkerställa att användningen av databasen sker enbart för legala, legitima och seriösa ändamål. Inom ramen för vår prövning kontrollerar vi vad det är för typ av företag eller organisation som ansöker om att bli kund. Vi undersöker också vad de har tänkt använda informationen i databasen till, och ställer frågor bl.a. i syfte att kunna bedöma om kundens användning av informationen skulle kunna strida mot GDPR. När ett företag eller organisation har blivit kund måste de betala för att få tillgång till databasen. Få att komma åt informationen i databasen krävs också inloggning. – – – Syftet med det är att säkerställa att det är rätt personer som får tillgång till informationen. Eftersom Trobar har ett utgivningsbevis gäller inte GDPR för rättsdatabasen.
Det antecknas att det av webbplatsen trobar.se framgår bl.a. att Trobar är en informationstjänst med offentlig juridisk information för journalistisk verksamhet, utredningar och analyser. Det framgår även att det finns en tjänst som heter Trobar Monitor. En aviseringstjänst, där kunden får uppdateringar i realtid med nya domar, beslut och ärenden på de företag eller individer som kunden vill hålla sig uppdaterad om.
Tingsrätten (lagmannen Mikael Forsgren) avslog i beslut den 20 februari 2024 Trobar AB:s begäran om utlämnande av handlingar i dess helhet såvitt gällde brottmål.
Sammanfattningsvis avslår tingsrätten Trobars begäran, eftersom sökanden har begärt ut uppgifter i en sådan omfattning och med ett sådant innehåll att det kan antas att behandlingen kommer att stå i strid med EU:s dataskyddsreglering (GDPR). Sekretess råder därför enligt 21 kap. 7 § offentlighets- och sekretesslagen (OSL).
Vidare har tingsrätten gjort bedömningen att det inte finns något EU-rättsligt godtagbart undantag från kraven i GDPR när det gäller den tänkta behandlingen av personuppgifterna i detta fall. Ett beslut att inte lämna ut uppgifterna står inte i strid med vare sig tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Den tänkta behandlingen är inte uteslutande journalistisk verksamhet utan innefattar även verksamhet som inte kan bedömas som journalistisk. Sekretessbestämmelsen i 21 kap. 7 § ska därför tillämpas och Trobars begäran avslås.
Nedan utvecklar tingsrätten mer utförligt skälen för att avslå begäran.
Tingsrätten konstaterar att de handlingar i form av domar, beslut, protokoll och dagboksblad som Trobar har begärt ut är allmänna handlingar. Utgångspunkten enligt 2 kap. TF är därför att uppgifterna ska lämnas ut i en eller annan form. För att så inte ska ske krävs att det finns en tillämplig sekretessbestämmelse som hindrar ett utlämnande.
Den bestämmelse som är aktuell att överväga i detta fall är 21 kap. 7 § OSL. Enligt den bestämmelsen råder sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med bl.a. GDPR.
Trobar avser att behandla en stor mängd personuppgifter. I bedömningen av mängden personuppgifter beaktar tingsrätten både att det är fråga om domar, dagboksblad och dylikt, som regelmässigt innehåller mycket personuppgifter, och att Trobar är en återkommande beställare av sådana uppgifter. För att behandlingen ska vara tillåten måste bolaget bl.a. ha en laglig grund för behandlingen, följa ett stort antal principer och informera de registrerade om behandlingen (se artiklarna 5, 6 och 13–15 GDPR.) I just detta fall är kraven dessutom strängare än så.
Om Trobars begäran godtas, i likhet med tidigare framställningar från Trobar, får sökanden över tid tillgång till ett mycket stort antal förundersökningar. Enligt artikel 10 GDPR får behandling av personuppgifter som rör lagöverträdelser som innefattar brott endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Begreppet ”lagöverträdelser som innefattar brott” har en EU-gemensam innebörd. Uppgifter om att ett rättsligt förfarande inletts mot en fysisk person omfattas av begreppet, se EU-domstolens dom den 24 september 2019 i mål C-136/17 (”GC m.fl.”). EU-domstolen uttalade i rättsfallet bl.a. att uppgifter om förundersökning utgör uppgifter om ”lagöverträdelser” och ”brottmålsdomar” i den mening som avses i EU:s dataskyddsreglering. Detta oberoende av om det brott som personen åtalats för faktiskt har styrkts eller inte under domstolsförfarandet. För att få behandla uppgifterna i domar, beslut, protokoll och dagboksblad i brottmål måste alltså kraven i artikel 10 vara uppfyllda.
Förutom uppgifter om påstådda lagöverträdelser innehåller handlingarna som Trobar avser att behandla i många fall personuppgifter om de registrerades hälsa, sexualliv och sexuell läggning (artikel 9 i GDPR) vilket ställer särskilt stränga krav för att en behandling överhuvudtaget ska vara tillåten (såsom ett uttryckligt samtycke från den registrerade att behandlingen sker för ett specifikt ändamål).
Mot denna bakgrund bör det stå helt klart att det i princip inte är lagligt att upprätta en databas över handlingar i brottmål vid en tingsrätt. Detta innebär avsteg ifrån flera centrala artiklar i GDPR och innebär en kränkning av de grundläggande mänskliga rättigheter som förordningen ytterst syftar till att skydda. En återkommande begäran att få ut handlingar i brottmål från en tingsrätt bör därför i normala fall avslås med stöd av 21 kap. 7 § OSL. Som tingsrätten i flera tidigare beslut uttalat saknar det betydelse om detta sker i digital form eller i pappersform. Det går numera att med enkla medel omvandla pappersdomar till sökbara digitala kopior.
Av 1 kap. 7 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) följer emellertid att GDPR och lagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Vidare framgår av paragrafens andra stycke att artiklarna 5–30 och 35–50 i GDPR samt 2–5 kap. i lagen inte ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Om GDPR inte är tillämplig på den personuppgiftsbehandling som Trobar vill utföra, kan den förstås inte stå i strid med GDPR. I dessa angivna fall är sekretessbestämmelsen i 21 kap. 7 § OSL således inte tillämplig. Frågan nu är om det på grund av dessa undantag från GDPR finns skäl att lämna ut de begärda uppgifterna trots sekretessbestämmelsen.
Det första undantaget i 1 kap. 7 § dataskyddslagen anger alltså att GDPR får ge vika för bl.a. yttrandefrihetsgrundlagen i den utsträckning dessa regelverk krockar.
Kärnan i yttrandefrihetsgrundlagen är att säkerställa att var och en gentemot det allmänna är tillförsäkrad rätt att i en rad media offentligen uttrycka tankar, åsikter och känslor och i övrigt lämna uppgifter i vilket ämne som helst (1 kap. 1 §). Även Trobars databas omfattas av detta skydd för yttrandefriheten. Det närmare innehållet i denna framgår av 2 kap. Där märks bl.a. meddelar- och anskaffarfriheten och förbud mot censur.
Yttrandefrihetsgrundlagen reglerar dock inte alls frågan om myndigheters skyldighet att lämna ut allmänna handlingar. Att på grund av sekretess avslå en begäran om utlämnade av uppgifter från en allmän handling står alltså inte i konflikt med yttrandefrihetsgrundlagens bokstav. Tvärtom är det vanligt att grundlagsskyddad media p.g.a. någon av de många sekretessregler som finns i domstol nekas att ta del av uppgifter som begärs ut.
Vidare bedömer tingsrätten att även om Trobars tänkta offentliggörande av uppgifterna i detta fall inte hindras av GDPR, strider all den föregående behandlingen mot flera av de krav som i allmänhet gäller för den som behandlar andras personuppgifter och i synnerhet för den som behandlar uppgifter om påstådda lagöverträdelser (se föregående rubrik).
Det kan dock hävdas att en följd av undantaget i 1 kap. 7 § första stycket dataskyddslagen är att personuppgiftsreglerna inte alls ska tillämpas på det grundlagsskyddade området (se t.ex. Kammarrätten i Stockholms dom den 25 september 2020 i mål nr 4825–20). En sådan tolkning kan dock inte vara riktig. Det är inte så 1 kap. 7 § första stycket dataskyddslagen har formulerats (jfr andra stycket som gäller för bl.a. journalistisk verksamhet). I den utsträckning GDPR och yttrandefrihetsgrundlagen inte står i konflikt ska GDPR tillämpas. Det finns en rad bestämmelser i GDPR som uppenbarligen inte står i strid med yttrandefrihetsgrundlagen och enbart ett utgivningsbevis för en databas är knappast ett carte blanche för denna att under alla delar av behandlingen bortse från kraven i GDPR.
Vidare har EU-domstolen framhållit förordningens funktion att trygga grundläggande rättigheter för medborgarna och att varje undantag, även om de är tillåtna enligt förordningen, måste föregås av en proportionalitetsbedömning (se t.ex. dom av den 22 juni 2021, Latvijas Republikas Saeima, C-439/19, EU:C:2021:504). Domstolen har uttalat att bl.a. följande.
[...] även om allmänhetens tillgång till allmänna handlingar, såsom framgår av skäl 154 i förordningen, utgör ett allmänt intresse som kan motivera att personuppgifter som förekommer i sådana handlingar lämnas ut, måste man dock se till att allmänhetens tillgång till allmänna handlingar är förenlig med de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, vilket för övrigt är ett uttryckligt krav enligt artikel 86. Med beaktande bland annat av hur känsliga uppgifterna om prickning vid överträdelser av trafikregler är, och av allvarlighetsgraden i det ingrepp i de berörda personernas grundläggande rättigheter avseende respekt för privatlivet och skydd för personuppgifter som utlämnandet av dessa uppgifter innebär, måste dessa rättigheter anses väga tyngre än allmänhetens intresse av att få tillgång till allmänna handlingar, bland annat till det nationella fordons- och förarregistret.
I detta fall är det fråga om ett stort antal handlingar avseende i huvudsak väsentlig allvarligare brott än trafikförseelser som ska vägas mot ett kommersiellt bolags vilja att skapa och utveckla en databas för företagets kunders egna sökningar på känsliga personuppgifter. De syften som uppbär GDPR väger vid denna bedömning väsentligt tyngre. Tingsrätten anser att mot denna bakgrund bör i första hand svensk rätt tolkas på ett sätt som är förenlig med EU-rätten. Tingsrätten gör därför tolkningen att det inte står i strid med yttrandefrihetsgrundlagen att upprätthålla sekretessregeln i 21 kap. 7 § OSL vid en begäran om utlämnande av allmänna handlingar. Utlämnande av en stor mängd handlingar i brottmål till ett databasföretag kan därför inte ske om det kan antas att någon del av den efterföljande behandlingen sker i strid med GDPR.
Det kan tilläggas att tingsrätten inte finner skäl att ifrågasätta att Trobar bedriver en seriös verksamhet inriktad på seriösa kunder på det sätt som beskrivits. Detta utgör dock inte i sig skäl att bortse ifrån de krav som ställs i EU:s dataskyddsreglering. Det är känt för tingsrätten att det finns ett stort, och över tid allt större, antal webbsidor där känsliga personuppgifter tillgängliggörs. Det är inte domstolens uppgift att värdera kvaliteten på sådana sidor utan endast att pröva om ett utlämnande i ett enskilt fall är förenligt med lag. Trobars verksamhet innebär de facto att det är möjligt att söka på handlingar i brottmål ner på individnivå. Det är som framgått knappast en tillåten personuppgiftsbehandling hos Trobar. Men det är, även med en annan tolkning av utgivningsbeviset, sannolikt inte heller en tillåten personuppgiftsbehandling hos samtliga av Trobars kunder. Den lagliga möjligheten att behandla uppgifter om anklagelser om brott är som framgått ytterst begränsade (art. 10). Det kan därför antas att det, oavsett hur man skulle se på Trobars egen användning av uppgifterna, kan antas att det i nästa led kommer att ske en behandling av känsliga personuppgifter i strid med EU:s dataskyddsreglering.
Tingsrättens slutsats är att ett beslut att med stöd av 21 kap. 7 § OSL avslå begäran om utlämnande – dvs. att upprätthålla GDPR:s krav på personuppgiftsbehandling när det gäller fällande domar och anklagelser om brott – inte skulle stå i strid med yttrandefrihetsgrundlagen.
Tingsrätten konstaterar att Trobar, såvitt framkommit, bedriver en databas där betalande kunder själv kan göra sökningar. Det finns även en notistjänst som gör att enskilda individer kan följas. Verksamheten i denna del kan inte ens med en generös tolkning anses innefattas i det journalistiska undantaget som framgår direkt av GDPR.
Trobar har hävdat att det även bedrivs sedvanlig journalistisk verksamhet. Tingsrätten finner inte heller skäl att ifrågasätta detta. Det bör normalt inte ankomma på en domstol att värdera en verksamhets journalistiska ambitioner eller kvaliteter. Ett utlämnande till Trobar för sådana ändamål skulle alltså inte hindras av sekretess. Det förutsätter dock att det inte också bedrivs verksamhet som kan antas ske i strid med GDPR: Detta villkor är inte uppfyllt i detta fall. Den sekretess tingsrätten kommit fram till råder på grund av databasdelen av verksamheten hävs alltså inte till följd av att det även bedrivs journalistisk verksamhet.
Att p.g.a. sekretess neka någon att få ta del av allmän handling står inte heller i strid mot tryckfrihetsförordningens principiella rätt att få ut kopior av sådana handlingar.
Slutsatsen av det sagda är alltså att det inte finns något EU-rättsligt godtagbart undantag från kraven i GDPR när det gäller delar av den tänkta behandlingen av personuppgifterna i detta fall. Den tänkta behandlingen av uppgifterna kan således antas komma att ske i strid med GDPR. Begäran bör därför avslås.
Avslutningsvis kan nämnas att det är omfattningen och typen av uppgifter som i förening med den angivna tänkta användningen gör att det kan antas att uppgifterna vid ett utlämnande kommer att behandlas i strid med GDPR. Vid denna bedömning är det inte möjligt att göra någon sekretessprövning handling för handling eller att maskera uppgifter. Det skulle förutsätta att samtliga personuppgifter maskeras från samtliga förundersökningar och det har tingsrätten inte uppfattat ligger i begäran (jfr rättsfallet NJA 2015 s. 180).
Trobar AB överklagade tingsrättens beslut i Hovrätten för Övre Norrland och yrkade att hovrätten skulle ändra beslutet och besluta att tingsrätten skulle lämna ut de handlingar som Trobar hade begärt utlämnade, i första hand i digital form och i andra hand i pappersform. Som grund för sitt överklagande anförde Trobar sammanfattningsvis följande. GDPR är inte tillämplig på Trobars databas eftersom Trobar innehar utgivningsbevis och bolagets databas omfattas därmed av grundlagsskydd. Vad gäller formen för utlämnande är det brukligt att myndigheter lämnar ut handlingar elektroniskt om så begärs. Det är både lämpligt och möjligt för tingsrätten att tillgodose Trobars önskemål om formen för utlämnandet.
Hovrätten (hovrättspresidenten Erik Sundström, hovrättsrådet Lisa Hedlund och tf. hovrättsassessorn Linn Brewer, referent) avslog överklagandet i beslut den 27 mars 2024.
I likhet med tingsrätten konstaterar hovrätten att de efterfrågade handlingarna är allmänna handlingar och att handlingarna ska lämnas ut, om inte sekretess råder enligt 21 kap. 7 § OSL. Som tingsrätten angett har Trobar ett utgivningsbevis och omfattas därmed av grundlagsskyddet enligt YGL. Vid bedömningen av om handlingarna ska lämnas ut uppkommer därför frågan om relationen mellan GDPR och grundlagsskyddet för yttrandefrihet i form av publicering av uppgifter om lagföring på webbplatser (databaser). Det saknas vägledande avgöranden i frågan.
Tingsrätten har redogjort för relevanta bestämmelser och har kommit fram till att det kan antas att uppgifterna kommer behandlas i strid mot GDPR och att ett beslut om att inte lämna ut uppgifterna inte står i strid med vare sig TF eller YGL. Hovrätten gör i sistnämnda del en annan bedömning än tingsrätten. För tydlighetens skull redogör även hovrätten för en del av de rättsliga utgångspunkterna.
Av artikel 10 GDPR framgår bland annat att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott endast får utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Därtill får, enligt artikelns andra mening, ett fullständigt register över fällande domar i brottmål endast föras under kontroll av en myndighet. Enligt artikel 85.1 GDPR ska medlemsstaterna i lag förena rätten till integritet i enlighet med förordningen med yttrande- och informationsfriheten, inbegripen behandling som sker för bl.a. journalistiska ändamål. Vidare framgår av artikel 85.2 att medlemsstaterna ska, för behandling som sker för journalistiska ändamål, fastställa undantag eller avvikelser från vissa av GDPR:s bestämmelser, om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten. Begreppet journalistiska ändamål ska ges en vid tolkning, innefattandes verksamhet som syftar till att sprida information, åsikter eller idéer till allmänheten, och tillämpas på alla personer som är journalistiskt verksamma (Satakunnan Markkinapörssi och Satamedia, mål C-73/07, EU:C:2008:727 p. 56, 58 och 61).
I artikel 86 GDPR anges att personuppgifter i allmänna handlingar, får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med förordningen.
EU-domstolen har i ett avgörande den 22 juni 2021 (Latvijkas Republikas Saeima, mål C-439/19, EU:C:2021:504) funnit att bestämmelserna i GDPR kan utgöra hinder för en viss nationell lagstiftning som innebär att en myndighet överför uppgifter om lagöverträdelser, som omfattas av artikel 10, till ekonomiska aktörer för vidareutnyttjande. Domstolen erinrade om att syftet med artikel 10 är att säkerställa ett utökat skydd mot sådan behandling som kan, på grund av att uppgifterna är särskilt känsliga, utgöra ett särskilt allvarligt ingrepp i den grundläggande rätten till respekt för privatlivet och skydd för personuppgifter i enlighet med artiklarna 7 och 8 i EU:s rättighetsstadga. Domstolen konstaterade även att unionsrätten har företräde framför nationella bestämmelser, inklusive grundlag (punkterna 74, 126 och 135).
Vid införandet av dataskyddslagen (2018:218) ansåg lagstiftaren att den unionsrättsliga dataskyddsregleringen fortsättningsvis gav utrymme för bestämmelserna om tryck- och yttrandefrihet i de svenska grundlagarna. En upplysningsbestämmelse infördes därför genom 1 kap. 7 § första stycket dataskyddslagen, vilken tydliggör att TF och YGL har företräde framför GDPR:s och dataskyddslagens bestämmelser. Av bestämmelsens andra stycke, som har sin grund i artikel 85.2 GDPR, framgår att bl.a. artikel 10 GDPR inte ska tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademisk, konstnärligt eller litterärt skapande.
I den s.k. databasregeln i 1 kap. 4 § YGL regleras under vilka förutsättningar tillhandahållande av information från en databas över internet omfattas av YGL. En aktör kan, efter ansökan, beviljas ett utgivningsbevis och därigenom omfattas av grundlagsskydd. Det innebär enligt 1 kap. 7 § första stycket dataskyddslagen att GDPR med kompletterande svenska bestämmelser inte ska tillämpas på den grundlagsskyddade delen av aktörens verksamhet, i den mån det skulle strida mot TF eller YGL.
I förarbetena till bestämmelserna om utgivningsbevis konstaterades att den fria tillgången till en så innehållsrik information som möjligt och till varierande åsiktsyttringar är en förutsättning för att medborgarna själva ska kunna ta ställning i olika frågor som angår dem. Bland de medborgerliga fri- och rättigheterna intar därför yttrandefriheten en central ställning vilken, tillsammans med informationsfriheten, i svensk rätt har fått ett specifikt skydd genom TF och YGL. Vid införandet av de s.k. frivilliga utgivningsbevisen konstaterade lagstiftaren att en risk med att behöva ansöka om och beviljas ett sådant bevis, är att den som vill ha grundlagsskydd måste vända sig till en myndighet. Det angavs att det inte kunde uteslutas att det finns en risk för att myndigheten i en spänd samhällssituation tillämpar ansökningsreglerna på ett sådant sätt att grundlagsskydd nekas med hänsyn till det väntade innehållet i databasen. Risken undanröjdes genom att förutsättningarna för grundlagsskydd angavs direkt i grundlagen, nuvarande 1 kap. 5 § YGL (prop. 2001/02:74 s. 36 och 49).
Den 1 januari 2019 infördes möjligheten att genom lag begränsa grundlagsskyddet beträffande vissa söktjänster som innehåller uppgifter av särskilt integritetskänslig karaktär, t.ex. uppgifter om sexuell läggning och hälsa, med stöd av 1 kap. 20 § YGL. Förslag till motsvarande bestämmelse beträffande lagöverträdelser har lagts fram vid två tillfällen men inte antagits av riksdagen (Dir. 2023:145, s. 6–7). Den svenska lagstiftningen saknar alltså möjlighet att genom inhemsk lag begränsa grundlagsskyddet enligt YGL beträffande lagöverträdelser.
Trobar har begärt att få del av domar, beslut, protokoll och dagboksblad i brottmål. Det noteras att Trobar enligt egen uppgift driver en rättsdatabas. I databasen samlar Trobar in information som Trobar har hämtat från landets domstolar och Åklagarmyndigheten. Informationen består av domar, beslut, protokoll, dagboksblad, strafförelägganden och åtalsunderlåtelser. Trobar hämtar in informationen genom att regelbundet begära ut allmänna handlingar från angivna myndigheter. I sitt överklagande har Trobar angett att databasen riktar sig till professionella och seriösa företag och organisationer, som har ett behov av informationen som finns i databasen. Trobar har även uppgett att fritextsökning i databasen inte är tillåtet men att det går att söka på målnummer och identifikationsnummer.
Det som följer av 1 kap. 7 § första stycket dataskyddslagen, d.v.s. att det svenska grundlagsskyddet alltid ska ha företräde framför GDPR för den som innehar ett frivilligt utgivningsbevis, är inte förenligt med principen om unionsrättens företräde. Detta gäller särskilt mot bakgrund av att den grundlagsskyddade delen av verksamheten enligt svensk rätt helt undantas från bestämmelserna i GDPR och att någon proportionalitetsbedömning då inte görs mellan rätten till skydd för personuppgifter och rätten till skydd för yttrande- och informationsfrihet (Latvijkas Republikas Saeima, p. 105). Med hänsyn till principen om unionsrättens företräde och EU-domstolens praxis, anser hovrätten att en avvägning måste göras i varje enskilt fall mellan det integritetsskyddsintresse som kommer till uttryck genom GDPR och de grundlagsskyddade rättigheter som gäller för innehavare av frivilliga utgivningsbevis, som återfinns i TF och YGL (se Kammarrätten i Stockholms dom den 13 mars 2024 i mål nr 6027-23).
Att neka en aktör som har beviljats ett utgivningsbevis att ta del av allmänna handlingar med motiveringen att grundlagsskyddet måste ge vika till förmån för GDPR måste göras med stor försiktighet. Samtidigt uppställer GDPR tydliga krav på medlemsstaterna att fastställa lämpliga skyddsåtgärder för de registrerades rättigheter och friheter när det kommer till personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, när behandlingen av sådana uppgifter sker av någon annan än en myndighet. När det kommer till den proportionalitetsavvägning mellan olika intressen som måste göras, har EU-domstolen uttalat att uppgifter som faller under artikel 10 GDPR avser beteenden som samhället tar avstånd från, och att ett beviljande av tillgång till sådana uppgifter därför kan stigmatisera den berörda personen och utgöra ett allvarligt ingrepp i hans eller hennes privat- eller yrkesliv (Latvijkas Republikas Saeima p. 75 och Kammarrätten i Stockholms dom den 13 mars 2024 i mål nr 6027-23).
Att mot denna bakgrund med automatik helt undanta Trobar från GDPR:s bestämmelser är enligt hovrättens mening inte förenligt med den proportionalitetsbedömning som måste göras mellan yttrandefrihet, handlingsoffentlighet och skyddet för personuppgifter. Det är som ovan angetts inte heller förenligt med Sveriges lojalitetsplikt gentemot EU. GDPR ska därför tillämpas vid bedömningen av om Trobar har rätt att ta del av de begärda handlingarna, trots vad som föreskrivs i dataskyddslagen om grundlagsskyddets företräde (se Kammarrätten i Stockholms dom den 13 mars 2024 i mål nr 6027-23).
Vid en avvägning mellan de registrerades intresse av skydd för sina personuppgifter och Trobars intresse av att ta del av de aktuella uppgifterna med avsikt att fortsätta driva sin verksamhet, väger de registrerades rättigheter tyngre. Hovrätten har vid denna bedömning särskilt beaktat att uppgifterna rör lagöverträdelser och att ett utlämnande kan utgöra ett allvarligt ingrepp i den enskildes privat- eller yrkesliv. Trobar har också med hänsyn till en starkt etablerad verksamhet inom bakgrundskontroller ett intresse av att få ut uppgifterna, vilket framstår som det egentliga ändamålet med behandlingen av de begärda personuppgifterna, dvs. ändamålet kan inte betraktas som journalistiskt.
Mot denna bakgrund kan det antas att uppgifterna i de begärda handlingarna efter ett utlämnande kommer att behandlas i strid med GDPR. Uppgifterna omfattas därmed av sekretess enligt 21 kap. 7 § OSL. Överklagandet ska därför avslås.
Trobar AB överklagade och yrkade att HD skulle förordna att tingsrätten skulle lämna ut de begärda handlingarna.
HD (samma ledamöter som i målet under I) meddelade den 25 februari 2025 följande beslut.
1 Trobar AB tillhandahåller via en rättsdatabas information som inhämtas från landets domstolar samt från Åklagarmyndigheten och Ekobrottsmyndigheten. Informationen i databasen består av domar, beslut, protokoll, dagboksblad och beslut om strafförelägganden och åtalsunderlåtelser.
2 Trobars databas riktar sig till företag och organisationer som önskar få tillgång till information av detta slag för sin verksamhet, t.ex. för bakgrundskontroller men även för journalistik eller forskning. Det finns bland annat en tjänst som innebär att en kund aviseras när ett visst person- eller organisationsnummer förekommer i en handling. Databasen riktar sig inte till privatpersoner och det sker en prövning innan någon tillåts att bli kund hos bolaget. Trobars rättsdatabas omfattas av utgivningsbevis och därmed av grundlagsskydd enligt 1 kap. 4 och 5 §§ yttrandefrihetsgrundlagen.
3 Trobar har av Umeå tingsrätt begärt att få ut domar, beslut, protokoll och dagboksblad i brottmål vid tingsrätten.
4 Tingsrätten beslutade att avslå Trobars begäran med hänvisning till att Trobar begärt ut uppgifter i en sådan omfattning och med sådant innehåll att det kan antas att Trobars behandling av uppgifterna kommer att stå i strid med EU:s dataskyddsförordning. Enligt tingsrätten gällde därför sekretess för uppgifterna enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400).
5 Hovrätten har avslagit Trobars överklagande.
6–63. Överensstämmer med punkterna 6–63 i HD:s skäl under I.
64 Av handlingarna i målet framgår att Trobars databas i inte obetydlig omfattning syftar till att möjliggöra olika typer av bakgrundskontroller. Det finns bland annat en tjänst som innebär att kunden aviseras när ett visst personnummer förekommer i en handling i databasen. Trobar publicerar emellertid också i viss utsträckning egna nyheter och nyhetsunderlag. Intresset av att kunna fortsätta bedriva den verksamheten bör beaktas vid prövningen av om ett förbehåll bör meddelas.
65 När det gäller den verksamhet som består i att möjliggöra bakgrundskontroller kommer ett förbehåll, som är utformat på ett sådant sätt att det undanröjer den risk för skada eller men som följer med ett utlämnande av handlingarna, att innebära att verksamheten inte kan fortgå. Att lämna ut handlingarna med förbehåll kan då framstå som meningslöst.
66 Trobar ägnar sig dock i viss utsträckning också åt verksamhet som kan antas ske för journalistiska ändamål. Handlingarna bör därför lämnas ut med förbehåll som gör att intresset av att kunna bedriva den verksamheten balanseras mot integritetsintresset.
67 En rimlig balans mellan dessa intressen kan uppnås om förbehållet utformas så att det tar sikte på att förhindra dels att handlingarna – med de personuppgifter som finns i dem – tillhandahålls av Trobar, dels att personuppgifterna görs sökbara för andra eller används för att avisera andra om handlingarnas innehåll, men samtidigt inte förhindrar att personuppgifterna används i t.ex. nyhetstexter eller nyhetsunderlag som Trobar producerar.
68 Det innebär att handlingarna ska lämnas ut av tingsrätten med ett sådant förbehåll.
Hovrättens beslut ändras på så sätt att de begärda handlingarna ska lämnas ut av Umeå tingsrätt med ett förbehåll som innebär:
– att handlingarna, oavsett i vilken form, inte får tillhandahållas allmänheten eller betalande kunder om allmänheten eller kunderna därigenom får del av personnamn, personnummer eller adress för enskilda personer,
– att Trobar inte heller på annat sätt får erbjuda allmänheten eller betalande kunder sökmöjligheter i handlingarna på ett sätt som ger tillgång till personnamn, personnummer eller adress för enskilda personer, och
– att handlingarna inte heller får användas för att avisera allmänheten eller betalande kunder på så sätt att möjlighet ges att bevaka om en viss person förekommer i handlingarna.
Justitieråden Henrik Jermsten och Thomas Bull var skiljaktiga och ansåg att överklagandet skulle avslås. Enligt deras mening borde skälen lyda enligt följande.
Skäl
Bakgrund
1 Trobar AB tillhandahåller via en rättsdatabas information som hämtas in från landets domstolar samt från Åklagarmyndigheten och Ekobrottsmyndigheten. Informationen i databasen består av domar, beslut, protokoll, dagboksblad och beslut om strafförelägganden och åtalsunderlåtelser.
2 Trobars databas riktar sig till företag och organisationer som har behov av information av detta slag för sin verksamhet, t.ex. bakgrundskontrollföretag eller sådana som sysslar med journalistik eller forskning. Det finns bland annat en tjänst som innebär att en kund aviseras när ett visst person- eller organisationsnummer förekommer i en handling. Databasen riktar sig inte till privatpersoner och det sker en prövning innan någon tillåts att bli kund hos bolaget. Trobars rättsdatabas har grundlagsskydd enligt yttrandefrihetsgrundlagen genom utgivningsbevis (se 1 kap. 4 och 5 §§ yttrandefrihetsgrundlagen).
3 Trobar begärde hos Umeå tingsrätt att få ut domar, beslut, protokoll och dagboksblad i brottmål.
– Tingsrätten beslutade att avslå Trobars begäran med hänvisning till att Trobar begärt ut uppgifter i en sådan omfattning och med sådant innehåll att det kan antas att behandlingen kommer att stå i strid med EU:s dataskyddsförordning. Enligt tingsrätten gällde därför sekretess för uppgifterna enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400).
4 Hovrätten avslog Trobars överklagande.
Om utlämnande av domar m.m.
5–25. Överensstämmer med punkterna 6–26 i Henrik Jermstens och Thomas Bulls skiljaktiga mening i målet under I.
Bedömningen i detta fall
26 I det nu aktuella fallet är fråga om en begäran om utfående av allmänna handlingar av en aktör som har grundlagsskydd för sin databas genom utgivningsbevis (se 1 kap. 4–6 §§ YGL).
27 Vid en ansökan om utgivningsbevis görs det inte någon prövning av databasens innehåll eller syfte. Av det förhållandet att frivilligt grundlagsskydd gäller för en viss verksamhet kan alltså inga slutsatser dras beträffande i vilken mån personuppgifter samlas in för journalistiska ändamål eller inte.
28 Trobar har upplyst följande om sin verksamhet.
29 Trobar hämtar in information från domstolar och åklagarmyndigheter. Informationen består av domar, beslut, protokoll, dagboksblad, strafförelägganden och åtalsunderlåtelser. Databasen riktar sig till professionella och seriösa företag och organisationer, som har ett behov av den information som finns i databasen för sin yrkesutövning. En målgrupp är sådana seriösa bakgrundskontrollföretag som är medlemmar av bakgrundskontrollföretagens branschorganisation. En annan målgrupp ägnar sig åt bl.a. journalistik och forskning eller annan akademisk verksamhet.
30 För att få åtkomst till rättsdatabasen krävs att man är kund hos Trobar. Innan man kan bli kund genomför Trobar en prövning. Prövningen syftar till att säkerställa att databasen används enbart för lagliga, legitima och seriösa ändamål. Inom ramen för prövningen kontrollerar Trobar vilket slags företag eller organisation den som ansöker om att bli kund är. Trobar undersöker också vad sökanden avser att använda informationen i databasen till. Det är endast de sökande som uppfyller Trobars krav som får bli kunder hos Trobar.
31 HD finner, i likhet med hovrätten, att Trobars begäran får anses i huvudsak syfta till att inhämta uppgifter till en databas som riktar sig till företag och organisationer som har behov av information om lagöverträdelser för s.k. bakgrundskontroll. Det egentliga ändamålet med behandlingen av de begärda personuppgifterna kan därmed inte betraktas som journalistiskt. Att verksamheten också innefattar tillhandahållande av information till aktörer verksamma inom journalistik eller forskning ändrar inte denna bedömning.
32 Såvitt beträffar Trobar är det alltså inte vid bedömningen av om det svenska regelverkets sammanjämkning enligt artikel 85 gjorts på ett proportionerligt sätt fråga om att väga intresset av behandling för journalistiska ändamål mot integritetsskyddsintresset. Här ska i stället intresset av att kunna genomföra bakgrundskontroller ställas mot intresset av skydd för personuppgifter och privatliv. Det ska då särskilt beaktas hur känsliga uppgifter om lagöverträdelser kan vara för enskilda (Latvijas Republika Saeima, p. 112 och 113).
33 Vid den avvägning som ska göras anser HD att de registrerades intresse av integritetsskydd väger tyngre än Trobars anspråk på yttrande- och informationsfrihet.
34 Det förhållandet att Trobar har ett utgivningsbevis bör därför inte medföra att bolagets behandling av personuppgifter ska betraktas som oreglerad. En sådan ordning är inte förenlig med det krav på proportionalitet som gäller avseende hur medlemsstaterna sammanjämkar intresset av skydd för personuppgifter med yttrande- och informationsfriheten. Det finns därför såvitt avser Trobars begäran om utfående av allmänna handlingar skäl att bortse från det grundlagsskydd som följer av utgivningsbeviset vid prövningen av om sekretess gäller enligt 21 kap. 7 § offentlighets- och sekretesslagen.
35 HD finner, liksom hovrätten har gjort, att det finns anledning att anta att Trobars behandling av de personuppgifter som de begärda handlingarna om lagöverträdelser innehåller kommer att ske i strid med dataskyddsförordningens regler. Sekretess föreligger således och överklagandet ska avslås.
Justitierådet Agneta Bäcklund var skiljaktig och ansåg att överklagandet skulle avslås. Hon ansåg att skälen från och med punkten 61 skulle ha följande lydelse.
61–65. Överensstämmer med punkterna 61–65 i Agneta Bäcklunds skiljaktiga mening i målet under I.
66 Överklagandet ska sålunda avslås.
[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
[2] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).