Publicering av brottmålsdomar online – ska GDPR eller yttrandefriheten styra?

6 minuter läsning • Felix Morling • DATASKYDDSFöRORDNINGEN • 11 juli 2025
  1. Hur får domar publiceras enligt GDPR?
  2. Två motpoler – öppenhet vs integritet
  3. När kan journalistisk behandling vara tillåten?
  4. Så bör företag som publicerar känsliga personuppgifter agera

Högsta domstolens avgöranden mot Panoptes och Trobar har omformat spelplanen för hur offentliga handlingar med uppgifter om brott får publiceras online. I fokus för frågan om publiceringen av brottmålsdomar står gränsdragningen mellan dataskydd enligt GDPR och den svenska yttrandefriheten. Vi har tidigare tagit upp att Integritetsskyddsmyndigheten inlett tillsyn mot Lexbase och Krimfup samt att tillsyn nyligen inleddes mot Upplysning.se och Mrkoll vilka i en söktjänst publicerar uppgifter om ekonomi och familjeförhållanden.

Konflikten rör i grunden två rättigheter: den grundlagsskyddade rätten att sprida information och rätten till skydd för personuppgifter enligt GDPR. HD slog fast att söktjänster inte får tillgängliggöra domar med identifierande uppgifter till allmänheten, även om utgivningsbevis finns. Avgörandet påverkar både medieaktörer och andra aktörer som behandlar domar i sökbara databaser.

Särskilt intressant är hur domstolen väger grundlagsskyddet mot EU-rättens krav. GDPR ges företräde om skyddsåtgärder saknas, särskilt för uppgifter om lagöverträdelser. Detta påverkar de företag som behandlar sådana uppgifter i bredare än strikt journalistiska syften.

Hur får domar publiceras enligt GDPR?

HD:s dom innebär att behandling av personuppgifter i domar om brottmål måste ske med högt skydd för den personliga integriteten. Enligt artikel 10 GDPR krävs särskilda skyddsåtgärder som fastställts av EU-rätten eller svensk nationell rätt för behandling av uppgifter om lagöverträdelser. Saknas det – exempelvis när vem som helst kan söka upp handlingar via ett namn eller personnummer – strider det mot EU-rätten.

  • Rättslig grund: Det måste finnas stöd i artikel 6 GDPR och särskilt undantag i artikel 10.
  • Begränsad åtkomst: Databasen får inte vara fritt sökbar för allmänheten om känsliga uppgifter förekommer.
  • Syftesbegränsning: Behandlingen måste ha ett legitimt och avgränsat syfte, det skulle exempelvis kunna vara journalistik.
  • Skyddsåtgärder: System och rutiner måste säkerställa att integritetsskyddet är tillräckligt starkt.

Avgörandena innebär att även om man har utgivningsbevis, måste den personuppgiftsansvarige visa att behandlingen inte innebär att uppgifterna sprids till allmänheten, annars tillämpas GDPR fullt ut. Detta är särskilt kännbart för tjänster som Lexbase och Krimfup, vilka gör brottmålsdomar tillgängliga för allmänheten och mot vilka IMY nu har tillsynsärenden.

Två motpoler – öppenhet vs integritet

I debatten har två tydliga läger formerats. Det ena förespråkar fortsatt offentlighet kring brottmålsdomar som en del av rättsstatens öppenhet. Det andra betonar individens rätt till skydd från digitala digitala spår som inte alltid kan suddas ut.

För förespråkarna för informationsfrihet är domstolshandlingar en viktig del av journalistisk granskning. Fritt tillgängliga domar kan exempelvis avslöja systemfel eller maktmissbruk. Men detta måste vägas mot GDPR:s krav – särskilt att uppgifter om brott får spridas endast när det finns ett uttryckligt, lagstadgat undantag.

Ett argument mot öppen publicering är att personer som dömts, friats eller på andra sätt figurerat i brottmål kan drabbas oproportionerligt hårt. Spridningen kan bli permanent och potentiellt skadlig – långt efter att rättsprocessen avslutats.

De juridiska avgörandena från HD ger nu intresset för integritetsskydd ett tydligt företräde i dessa fall. Journalistisk användning kan vara möjlig – men det krävs en konkret koppling till faktisk journalistisk verksamhet och en strikt begränsad användarkrets. Det är idag oklart om det är den utveckling som påverkade företag kommer att ta och om det i så fall kommer att prövas i domstol om sådan behandling är laglig.

När kan journalistisk behandling vara tillåten?

Det finns en öppning för att journalistiskt arbete kan undantas från GDPR:s huvudregler. Men detta kräver att behandlingen är nödvändig för att utföra journalistik – inte för affärsverksamhet. En avgörande fråga kommer vara vem som har tillgång till materialet och i vilket syfte.

Nyhetsbyrån Sirén, som fallet mot Panoptes handlade om, har historiskt begränsat sin söktjänst till journalister. Detta skulle kunna uppfylla kraven för undantag, men eftersom kundkretsen utvidgats till säkerhetsbolag och andra aktörer, försvagades detta argument.

Detta då om en tjänst är öppen för vem som helst mot betalning, ses den inte längre som en del av journalistisk verksamhet. De skyddsåtgärder och etiska ramar som kan motivera undantag från artikel 10 GDPR saknas i det fallet. I vart fall till den del verksamheten omfattar andra mottagare än sådana med ett journalistiskt syfte.

Så bör företag som publicerar känsliga personuppgifter agera

Företag som hanterar domar eller andra känsliga uppgifter måste omvärdera sin verksamhet i ljuset av HD:s dom. Det gäller särskilt om materialet görs tillgängligt via söktjänster till allmänheten, vilket är fallet om vem som helst mot betalning kan ladda ner brottmålsdomar. Inte heller att ha ett utgivningsbevis ger ett frikort från att följa GDPR.

En viktig åtgärd är att analysera vilken typ av uppgifter som behandlas – särskilt brottsuppgifter. Därefter måste syftet med behandlingen klargöras, och säkerställas att det finns en rättslig grund som uppfyller både artikel 6 och 10 i GDPR. Om laglig grund kan etableras behöver nya rutiner för utlämnande implementeras, liksom rutiner för radering och klagomål. Det kräver ofta både juridisk analys och teknisk anpassning – särskilt för aktörer som bygger sina affärsmodeller på offentliga handlingar.

Morling Consultings GDPR-jurister hjälper till att identifiera rättslig grund, utforma riktlinjer och anpassa behandling av offentliga handlingar så att den följer dataskyddsförordningen.

Senaste inlägg

Två personer skakar hand över ett avtal.

12 december 2025

Så vet du när du behöver stöd av en affärsjurist
Läs mer
tre personer står över ett bord och diskuterar något som finns på en datorskärm.

12 december 2025

När det känns som att GDPR tar all fokus – hyr in en konsult
Läs mer
Bilden visar tre personer i kostym sitter och diskuterar ett dokument.

9 december 2025

Så påverkar penningtvättslagen finansiell reglerad verksamhet
Läs mer