Integritetsskyddsmyndigheten, IMY, inleder en granskning av söktjänsterna Mrkoll.se och Upplysning.se efter att ha mottagit ett stort antal klagomål. Myndigheten ska utreda om företagen bryter mot dataskyddsförordningen, GDPR, när de nekar personer att få sina uppgifter raderade.
De två webbplatserna, Mrkoll.se (som drivs av bolaget Nusvar AB) och Upplysning.se (Upplysning Checknode AB), tillhandahåller sökbara personuppgifter för en stor del av Sveriges befolkning. Användare kan kartlägga privatpersoner baserat på bland annat familjeförhållanden, boende och ekonomisk ställning.
Granskningen är en direkt följd av en stor mängd anmälningar från enskilda som har begärt att få sina uppgifter borttagna, men utan framgång. IMY kommer nu att pröva om företagens hantering av dessa begäranden är förenlig med rätten till radering i GDPR.
På Mrkoll.se finns cirka 8,4 miljoner personer sökbara via namn, adress eller personnummer. Tjänsten gör det även möjligt att se vem som är mest eftersökt eller vem som nyligen flyttat till en viss kommun. Upplysning.se, som uppger sig ha omkring 100 000 besökare varje vecka , erbjuder sökningar på namn, personnummer och telefonnummer, med möjlighet att filtrera på ålder och kön. Inloggade användare kan även köpa kreditupplysningar.
Båda företagen har så kallade utgivningsbevis, vilket tidigare har ansetts ge ett starkt skydd mot ingripanden med hänvisning till yttrandefrihetsgrundlagen (YGL). Denna praxis har dock utmanats av sentida domstolsavgöranden, inte minst i februari då Högsta Domstolen konstaterade att dataskyddsförordningen kan begränsa hur personuppgifter hanteras, även av verksamheter med utgivningsbevis.
Domarna har lett till att IMY omprövat sin tidigare hållning. Myndigheten bedömer numera att den har behörighet att utöva tillsyn mot söktjänster med utgivningsbevis, särskilt efter den utveckling som skett i både svensk och europeisk rättspraxis.
I sin tillsyn begär IMY nu att företagen redogör för hur de hanterar en begäran om radering. De ska bland annat svara på om de gör en prövning enligt GDPR och på vilka grunder de eventuellt nekar att ta bort uppgifter. Bolagen måste även klargöra om de anser att deras verksamhet är journalistisk och hur de i så fall väger detta intresse mot den enskildes rätt till integritet.
IMY har tidigare i år inlett liknande granskningar av söktjänsterna Lexbase och Krimfup, som publicerar uppgifter om brottmålsdomar.
Dagens beslut innebär att myndigheten nu utvidgar sin tillsyn till att även omfatta mer generella persoanupplysningstjänster. Om IMY konstaterar brister i företagens hantering kan det leda till åtgärder som reprimander, förelägganden eller sanktionsavgifter.
Läs vidare: Pressmeddelande från IMY.