Verifiera är en abonnemangstjänst där man exempelvis kan göra bakgrundskontroller genom sökninger i en databas som bland annat innehåller domar från förvaltningsdomstolar. Användaren får tillgång till ett online-verktyg med parametrar som personnummer, organisationsnummer, namn, adress, juridisk instans och fritext för att söka i rättsdatabasen.

Bland domarna finns känsliga personuppgifter som tvångsvård på grund av psykisk ohälsa eller missbruk – totalt finns runt 210 000 domstolsavgöranden sedan 2008 som rör lagen om psykiatrisk tvångsvård och lagen om vård av missbrukare i databasen.

Och nu får Verifiera en reprimand av Integritetsskyddsmyndigheten, IMY, som slår fast att detta bryter mot GDPR.

– Det rör sig om mycket integritetskänslig information beträffande personer som är eller har varit i en mycket utsatt situation. För dessa personer kan ett offentliggörande av informationen vid en bakgrundskontroll leda till kännbara konsekvenser, till exempel i form av minskade möjligheter att bli aktuell för en anställning och utanförskap, säger Martin Wetzler som är jurist på IMY i en kommentar.

Verifiera har ett så kallat utgivningsbevis enligt yttrandefrihetsgrundlagen och det innebär stora undantag från dataskyddsförordningen. En grundlagsändring 2019 begränsade dock undantaget när det gäller vissa särskilt integritetskänsliga uppgifter där i stället GDPR ska tillämpas.

Verifiera får nu åtta veckor på sig att vidta åtgärder för att det inte längre ska gå att göra sökningar där man får fram uppgifter om att en person tvångsvårdats.

I vanliga fall skulle företaget också ha fått en kännbar sanktionsavgift eftersom överträdelsen är både allvarlig och omfattande enligt IMY. Men denna gång har man tagit hänsyn till att det varit fråga om tolkning av ett undantag från det grundlagsskydd som utgivningsbevisen ger och att det handlar om ett undantag som tidigare aldrig tillämpats enligt IMY:s generaldirektör Lena Lindgren Schelin.

– IMY har därför kommit fram till att det i det här fallet inte vore proportionerligt att påföra bolaget en sanktionsavgift för de konstaterade överträdelserna, säger hon.

Läs också: Nu granskas databas för domar – kan bryta mot GDPR trots utgivningsbevis