Justitieombudsmannen slog nyligen fast att bakgrundskontrollerna av anställda i Södertälje kommun varit olagliga. Men det var kommunens unika upplägg som saknade lagstöd, erfar Gunnar Axén, styrelseordförande vid bakgrundskontrollföretaget Verifiera.
– Kommunen har lämnat ut personnummer i strid med GDPR till ett externt säkerhetsföretag som man anlitat och där har man schablat till det, säger han.
Sedan hösten 2022 har Södertälje kommun genomfört omfattande bakgrundskontroller med hjälp av ett externt säkerhetsföretag i syfte att skapa en trygg och säker miljö för Södertäljeborna.
Säkerhetsföretaget har på kommunens uppdrag löpande kontrollerat om kommunanställda lagförts för viss brottslighet. Kontrollerna har genomförts genom att de anställda på säkerhetsföretaget gjort sökningar i en databas som innehåller offentliga handlingar från domstolar och myndigheter.
Södertälje är den första kommunen i landet som haft så omfattande bakgrundskontroller av anställda eftersom kommunen länge haft problem med den organiserade brottsligheten.
Olagligt
Men nyligen slog Justitieombudsmannen, JO, fast att bakgrundskontrollerna i Södertälje kommun varit olagliga.
Kommunens beslut om att anlita säkerhetsföretaget Nordic Aigis AB för hanteringen av 8 471 personuppgifter på anställda har stått i strid med lagen. Säkerhetsföretaget ska ha fått personuppgifterna överlämnade till sig på en USB-sticka.
– Vårdslöst, menar Monika Wendleby, ledande expert inom dataskyddslagstiftning och fortsätter:
– Den här behandlingen är extremt olämplig och olaglig skulle jag bedöma utifrån min erfarenhet, säger hon till SVT.
Södertälje kommun saknade även ett personuppgiftsbiträdesavtal med säkerhetsföretaget innan bakgrundskontrollerna drog igång vilket även det strider mot lagen. Det tog kommunen ett år att få ett avtal på plats.
Får bakläxa
JO konstaterade i sin dom från den 19 oktober att kontrollerna stått i strid med regeringsformens skydd för den personliga integriteten och Europakonventionens skydd för privatlivet.
I domen står det även att JO ser allvarligt på att det inte gjordes några rättsliga överväganden innan kontrollerna genomfördes.
JO riktar även kritik mot att kommunen inte dokumenterat vad som framkommit vid kontrollerna.
”Det ger intryck av att kommunen vill begränsa insynen i förfarandet och undvika att allmänna handlingar upprättas med den aktuella informationen”, skriver JO i sitt beslut.
I oktober avslöjade SVT att dataskyddsombuden i Södertälje kommun inte varit involverade i beslutet om att införa bakgrundskontroller. Kommunen struntade även i att göra en konsekvensbedömning innan bakgrundskontrollerna startade den 18 maj 2022.
Intresset växer
Intresset för bakgrundskontroller växer och flera kommuner vill kunna bakgrundskontrollera sina anställda i takt med samhällsutvecklingen. Och många blickar riktas nu mot Södertälje kommun för att lära av misstaget.
Birgitta Edlund är ordförande för branschorganisationen Bakgrundskontrollföretagen som grundades 2010.
– Vår bransch växer och därmed också behovet av att kvalitetssäkra hur man hanterar personuppgifter, vad som är okej att hantera och vad som är förbjudet, säger Birgitta Edlund, ordförande för Bakgrundskontrollföretagen.
Gunnar Axén är styrelseordförande vid bakgrundskontrollföretaget Verifiera och tidigare riksdagsledamot för Moderaterna.
– Andra kommuner till skillnad från Södertälje går in i databaser och kollar upp personer manuellt är min erfarenhet. Dessa kommuner har inte råkat ut för kritik på samma sätt.
Så det här JO-beslutet kommer inte att sätta käppar i hjulet för andra kommuner som vill införa bakgrundskontroller?
– Nej, det här JO-beslutet har säkert fått upp ögonen för fler att vilja införa bakgrundskontroller. Så det här kan vara bra, säger Gunnar Axén till Bulletin.
Läs även: Svag uppslutning bland elever på ”Walkout i solidaritet med Gaza”