Anmärkning till Rättstjänstverket för ogrundad granskning av arbetstagares kreditupplysningar
Dataombudsmannens byrå har gett Rättstjänstverket en anmärkning för behandling av arbetstagares kreditupplysningar utan en behandlingsgrund enligt dataskyddslagstiftningen. Under åren 2024–2025 hade Rättstjänstverket granskat kreditupplysningar för först 70 och senare ytterligare 600 tjänstemän. Ämbetsverket upptäckte sitt fel i egenkontrollen i november 2025.
Rättstjänstverket anmälde personuppgiftsincidenten till dataombudsmannens byrå i november 2025 när ämbetsverket upptäckte att den behandlat sina tjänstemäns kreditupplysningar utan en laglig behandlingsgrund. I lagen om integritetsskydd i arbetslivet fastställs noggrant när arbetsgivaren har rätt att kontrollera en arbetstagares kreditupplysningar.
Rättstjänstverket vidtog korrigerande åtgärder genast efter att ha upptäckt dataskyddsförseelsen. Enligt ämbetsverket har de felaktigt behandlade uppgifterna förstörts.
I sitt beslut anser dataombudsmannens byrå att Rättstjänstverkets interna förfaranden för att säkerställa att behandlingen av personuppgifter är lagenlig har varit bristfälliga. Incidentens allvarliga karaktär lindras av att åtkomsträttigheterna till uppgifterna begränsades och utomstående inte fick tillgång till uppgifterna.
Arbetsgivaren kan kontrollera kreditupplysningar endast i vissa situationer
Arbetsgivaren kan granska arbetssökandes eller arbetstagares kreditupplysningar i begränsade fall, till exempel för att bedöma den arbetssökandes tillförlitlighet i uppgifter där man behandlar en betydande mängd pengar eller värdepapper utan omedelbar tillsyn. Bestämmelser om arbetsgivarens behandling av kreditupplysningar finns i lagen om integritetsskydd i arbetslivet. Lagen tillämpas också på personer i tjänsteförhållande. Under anställningsförhållandet får arbetstagarens kreditupplysningar kontrolleras endast om arbetsuppgifterna ändras så att de lagstadgade villkoren för kontroll av kreditupplysningar uppfylls.
Dataombudsmannens byrå påminner om att behandling av personuppgifter alltid förutsätter en lagenlig behandlingsgrund. Behandlingsgrunden ska fastställas innan behandlingen inleds. Även syftet med behandlingen av personuppgifter ska planeras och definieras tydligt på förhand. Dataskyddsförseelser kan förebyggas genom att utarbeta tydliga interna anvisningar som stöd för den egna organisationens verksamhet.
Beslutet har ännu inte vunnit laga kraft och kan överklagas hos förvaltningsdomstolen.
Dataombudsmannens byrås beslut TSV/13090/2025 i tjänsten Finlex på finska
Mer information:
Biträdande dataombudsman Annina Hautala, tfn 029 566 6776, annina.hautala(at)om.fi
Rättstjänstverkets meddelande 17.11.2025: Personuppgiftsincident vid Rättstjänstverket
Mer information för organisationer: