HDs beslut om avidentifiering och GDPR i brottmålsdomar - vad domen betyder och hur du kan följa den i praktiken

Publicerad:
Av: Redaktionen

Högsta domstolen har den 25 februari 2025 satt en ny praktisk standard för hur svenska domstolar och mottagare av domstolshandlingar får hantera personuppgifter i brottmål. Domen handlar inte bara om offentlighetsprincipen. Den handlar om hur GDPR artikel 10 ska respekteras i Sverige när stora mängder känsliga personuppgifter hämtas ut, lagras, indexeras och görs sökbara digitalt.

HDs beslut om avidentifiering och GDPR - detta förändras

Bakgrunden till målet

En aktör begärde ut ett stort antal handlingar från brottmål. Det handlade om bland annat domar, beslut, dagboksblad och stämningsansökningar. Traditionellt har sådana handlingar kunnat lämnas ut relativt fritt och därefter indexerats, lagrats och gjorts sökbara i kommersiella databaser. Det innebär att en person med namn och personnummer kan förekomma i en privat söktjänst kopplad till brottsuppgifter långt efter dom.

I målet prövade Högsta domstolen två saker. Först om det överhuvudtaget är förenligt med GDPR att lämna ut stora mängder brottmålsinformation på det sättet. Sedan om det går att lämna ut handlingarna men sätta villkor på hur mottagaren får använda identitetsbärande uppgifter.

Varför GDPR artikel 10 är central

GDPR artikel 10 ger brottsuppgifter ett extra starkt skydd. Uppgifter om brott, lagöverträdelser, misstankar och påföljder är inte vanlig persondata. Det är data som kan orsaka särskilt allvarlig skada om den sprids fel. Därför får sådan information bara behandlas under myndighetskontroll eller med tydligt reglerade skyddsåtgärder.

HD pekar på att den svenska modellen med obegränsat massuttag av domar och fri sekundärpublicering i sökbara databaser i praktiken har gjort det möjligt att bygga kommersiella register över lagöverträdelser utan motsvarande skydd. Det anses inte längre acceptabelt.

Offentlighetsprincipen gäller fortfarande - men inte utan villkor

Offentlighetsprincipen ligger fast. Domar och andra handlingar från domstol är som huvudregel offentliga. Det går fortfarande att begära ut dem.

Skillnaden efter domen är vad som händer efter utlämnandet. Domstolen säger att myndigheten ska pröva om det kan antas att uppgifterna efter utlämnandet kommer användas på ett sätt som strider mot GDPR. Om risken finns gäller sekretess för personuppgifterna. Myndigheten kan då lämna ut handlingarna med förbehåll.

HDs villkor för utlämnande

Högsta domstolen formulerar ett konkret förbehåll som nu blir vägledande.

Två saker förbjuds:

  • Handlingarna får inte göras tillgängliga för allmänheten eller betalande kunder om det innebär att namn, personnummer eller adress till enskilda personer röjs.

  • Mottagaren får inte heller erbjuda sökfunktioner som gör det möjligt för allmänheten eller betalande kunder att hitta just namn, personnummer eller adress i det utlämnade materialet.

Det här är viktigt. Det handlar inte bara om att inte publicera en pdf i sin helhet. Det handlar också om att inte tillåta fritextsökningar som låter andra slå på ett visst namn och få fram brottsinformation direkt.

Vad detta betyder för journalistik

HD gör en tydlig avvägning. Journalistisk granskning ska fortfarande vara möjlig. Journalister ska kunna läsa en dom, förstå vad den handlar om, göra egna bedömningar och publicera nyhetsmaterial som bygger på innehållet.

Men domarna som sådana får inte masspubliceras i sin råa form, med fullständiga identiteter intakta, som en betaltjänst där vem som helst kan söka på en persons namn, få fram brottsdomar och koppla det till adress. Poängen är att begränsa bulkexponering av identifierande uppgifter, inte att stoppa ansvarsfull rapportering.

Så påverkas myndigheter och offentlig sektor

Myndigheter som lämnar ut handlingar kan inte längre nöja sig med att skicka kopior i befintligt skick och sedan säga att det är mottagarens ansvar. Myndigheten måste själv bedöma risken för otillåten efterföljande behandling enligt GDPR innan utlämnandet.

Om risken bedöms som hög måste den antingen neka utlämnande av de känsliga personuppgifterna eller lämna ut materialet med ett villkor som förbjuder att namn, personnummer och adress görs sökbart eller sprids vidare till allmänheten.

Detta skapar ett tydligt behov av kontrollerad avidentifiering, teknisk pseudonymisering och spårbar åtkomst även innan själva utlämnandet sker.

Operativ konsekvens: massregister av brottsuppgifter blir svårare

Det som i praktiken stoppas är affärsmodellen där någon hämtar ut hela domstolens löpande produktion av domar, indexerar allt, kopplar det till namn, personnummer och adresser och sedan säljer åtkomst till databasen som om den vore ett sökbart personregister över kriminalitet.

Efter HDs beslut kan sådana råa register inte delas vidare fritt, och de får inte göras sökbara för betalande kunder om det innebär att enskilda personer kan identifieras på namn, personnummer eller adress.

Hur vår tjänst löser de praktiska kraven

Vår tjänst är byggd specifikt för den här situationen. Vi hjälper både myndigheter och mottagare att följa HDs linje utan att tappa informationsvärdet.

Detta gör vi:

  • Automatisk avidentifiering av domar, beslut, dagboksblad, protokoll och stämningsansökningar innan utlämning.

  • Maskning och pseudonymisering av namn, personnummer, adresser, kontaktuppgifter och andra direkta identifierare.

  • Kontrollerad aliasgenerering så att texten fortfarande går att läsa och analysera. Du kan följa ett ärende genom hela dokumentet utan att se den verkliga identiteten.

  • Rollbaserad åtkomst där endast en utsedd funktion kan återskapa kopplingen mellan pseudonym och verklig identitet, till exempel vid rättslig skyldighet eller incidentutredning.

  • Full loggning av varje försök till återidentifiering. Varje uppslag registreras med vem, när, varför och vilket ärende det gällde.

  • Stöd för publicerbar version. Du kan producera redaktionellt material, intern analys och statistik utan att exponera personnamn, personnummer eller privata adresser.

  • Stöd för sökbarhet utan identitet. Vi gör det möjligt att söka på händelsetyp, brottskategori, tid, geografisk plats eller utfall utan att kunna söka direkt på en privatpersons namn eller personnummer. Det följer Högsta domstolens kravprofil.

Vad detta innebär för dig i praktiken

Om du är en myndighet betyder detta att du kan lämna ut handlingar med betydligt lägre risk. Du kan visa att du faktiskt har vidtagit tekniska och organisatoriska skyddsåtgärder för att inte lämna ut personuppgifter om lagöverträdelser i en form som bryter mot GDPR.

Om du är en nyhetsredaktion eller en dataaktör betyder detta att du kan fortsätta analysera och använda rättsinformation, men nu på ett sätt som är bättre för den enskildes integritet och som inte gör dig beroende av att manuellt stryka namn och personnummer inför varje utlämning eller publicering.

Sammanfattning

Högsta domstolens beslut innebär att Sverige tar ett steg mot en mer kontrollerad hantering av brottsuppgifter. Offentlighetsprincipen finns kvar, men rätten att paketera och sälja sökbar brottsinformation med namn, personnummer och adress begränsas kraftigt.

För att följa domen behöver du två saker. För det första, teknisk förmåga att avidentifiera, maska och pseudonymisera direkt i handlingar innan de lämnas ut eller delas vidare. För det andra, styrning av åtkomst till nyckeln som kan koppla tillbaka en pseudonym till en verklig individ.

Det är exakt detta vår plattform levererar. Vi tar bort eller pseudonymiserar namn, personnummer, adresser och andra direkt identifierande uppgifter. Vi ger dig en version som kan delas, analyseras, användas i redaktionellt arbete och tillgängliggöras internt. Och vi hjälper dig samtidigt hålla dig inom ramen för både GDPR artikel 10 och den linje som Högsta domstolen nu har dragit.

Avidentifiera Avidentifiera
Automatisera borttagning av känsliga uppgifter. © 2025 Avidentifiera |
Avidentifiera Avidentifiera Cookies
Vi använder cookies för att säkerställa webbplatsens funktionalitet. Du kan när som helst justera inställningar för analys och marknadsföring (avstängt som standard). Läs vår Cookiepolicy.