Belastningsregisterutdrag och GDPR: Vad betyder AD 2026 nr 27 för arbetsgivare?

Därför är domen viktig för arbetsgivare

Frågan om belastningsregisterutdrag och GDPR har länge varit omdiskuterad. Integritetsskyddsmyndighetens (IMY) vägledning har bara delvis berört gränsdragningen och många arbetsgivare har saknat tydliga hållpunkter för vad som faktiskt gäller i praktiken.

I AD 2026 nr 27 prövade Arbetsdomstolen om en arbetsgivare som tar emot, läser och sedan direkt förstör ett belastningsregisterutdrag, utan att spara, kopiera eller anteckna något, behandlar personuppgifter i GDPR:s mening. Domstolens svar blev nej. Det är inte en ny ståndpunkt i sig, men ger en tydligare rättslig utgångspunkt för arbetsgivare som arbetar med registerkontroller.

Vad handlade målet om?

Wallhamn AB, som bedriver hamnrörelse och stuveri, bad en nyanställd bilmekaniker att visa upp ett belastningsregisterutdrag under pågående anställning. Chefen tog emot ett förslutet kuvert, läste igenom innehållet och förstörde det direkt i en dokumentförstörare.

Viktigt i målet var att:

• Inga anteckningar gjordes

• Inget kopierades

• Inget scannades

• Inget sparades i personalakt eller system,

Industrifacket Metall stämde bolaget och krävde 60 000 kronor i skadestånd med argumentet att bolaget brutit mot GDPR:s regler om hantering av uppgifter om brottmålsdomar. Arbetsdomstolen ogillade förbundets talan i sin helhet och förpliktade förbundet att ersätta bolagets rättegångskostnader med 200 000 kronor.

Varför ansåg Arbetsdomstolen att GDPR inte var tillämplig?

GDPR gäller för behandling av personuppgifter som sker automatiserat samt för manuell hantering av personuppgifter som ingår i eller är avsedd att ingå i ett register. Det är de två spåren och bolaget hamnade i ingendera.

I det här fallet bedömde domstolen att bolaget inte träffades av någon av dessa situationer. Hanteringen var helt manuell och uppgifterna fördes aldrig in i ett system, personalakt eller sökbart mappsystem. Domstolen konstaterade dessutom att det inte ens gjorts gällande att bolaget haft för avsikt att låta uppgifterna ingå i ett register.

Domstolen poängterade dessutom en viktig sak: läsningen kan vara behandling enligt GDPR:s definition, men för att GDPR ska gälla krävs att behandlingen också sker inom förordningens tillämpningsområde (t ex inom ett register eller automatiserat). Det avgörande var alltså inte att chefen läste utdraget, utan vad som inte skedde efteråt: inga uppgifter sparades, inget dokumenterades och informationen användes inte vidare.

Vad innebär domen i praktiken – och vad innebär den inte?

Domen kan ses som en bekräftelse på ett synsätt som IMY och delar av den diskussionen som tidigare getts uttryck för: att rent tillfällig och manuell hantering kan falla utanför GDPR om uppgifterna inte ingår i eller är avsedda att ingå i ett strukturerat register.

Det som gör AD 2026 nr 27 särskilt intressant är att Arbetsdomstolen nu tillämpar detta resonemang i en arbetsrättslig kontext och dessutom avseende uppgifter ur belastningsregistret, där integritetsintresset typiskt sett är mycket starkt.

Avgörandet knyter också an till en bredare diskussion som länge förts kring exempelvis användning av rättsdatabaser och offentliga domar, där frågan ofta är om sökning och läsning av personuppgifter utan att information sparas eller registreras vidare egentligen innebär att användaren behandlar personuppgifter enligt GDPR. Domen ger visst stöd för att det krävs någon form av dokumentation, systematisering eller fortsatt hantering för att GDPR fullt ut ska aktualiseras.

Samtidigt bör domen läsas med försiktighet och är inget ”frikort”. Den bygger på mycket specifika omständigheter och en extrem begränsad hantering. Om en arbetsgivare exempelvis:

• antecknar uppgifter ur utdraget

• sparar det i personalakten

• scannar eller fotograferar

• delar internt

• lägger in information i HR-system

ökar sannolikheten att GDPR blir fullt ut tillämplig och att särskilda regler för uppgifter om lagöverträdelser aktualiseras.

En osäkerhet kvarstår: registerkontroller under pågående anställning

En av Arbetsdomstolens sju ledamöter var öppet kritisk och ansåg att bolagets förfarande – att under pågående anställning begära att arbetstagaren inhämtar och uppvisar ett belastningsregisterutdrag för att sedan förstöra det – är ägnat att kringgå GDPR:s tillämpningsområde.

IMY har ännu inte lämnat någon mer utförlig vägledning kring registerkontroller specifikt under pågående anställning. Samtidigt pågår fortsatt utrednings- och lagstiftningsarbete kring hur bakgrundskontroller i arbetslivet bör regleras.

Att begära belastningsregisterutdrag inför en anställning är ett relativt utrett område. Att göra det under en pågående anställning befinner sig fortfarande i ett juridiskt gränsland och mot den bakgrunden kommer rättspraxis, såsom AD 2026 nr 27, sannolikt att få fortsatt stor betydelse för hur gränsdragningen mellan arbetsgivares kontrollintresse och den personliga integriteten utvecklas framöver.

Checklista – detta bör arbetsgivare se över nu

Här är konkreta punkter att ta med sig från domen:

1. Bestäm syftet tydligt. Varför behöver ni registerkontroll och är det verkligen motiverat för den aktuella rollen?

2. Begränsa åtkomsten. Vem får ta emot och läsa utdraget? Färre personer med åtkomst minskar risker.

3. Spara ingenting. Undvik kopiering, scanning, foto, anteckningar och registrering i system.

4. Dokumentera rutiner utan att dokumentera innehåll. Det går att ha styrning och process utan att spara uppgifter ur utdraget.

5. Gör en integritetsbedömning. Balansen mellan arbetsgivarens kontrollintresse och arbetstagarens integritet är central, särskilt vid kontroll under pågående anställning.

Behöver du se över era rutiner för registerkontroller?

Har du frågor om dataskydd, bakgrundskontroller eller arbetsrätt? Kontakta Fondia för ett konkret och förutsättningslöst samtal. Vi hjälper dig att bedöma vad som är motiverat, minska riskerna och bygga rutiner som håller.