Grundaren av Flashback frias i tingsrätten från hets mot folkgrupp och IMY inleder tillsyn av Miljödata
Av Klara Thyrén, Associate, Advokatfirman Delphi, Alexander Persson, Thesis Trainee, Advokatfirman Delphi.
Flashbacks grundare frias från ansvar enligt BBS-lagen
Bakgrund
Den 1 oktober 2025 meddelande Stockholms tingsrätt sin dom i målet B 3823–24 där grundaren och VD:n för webbforumet Flashback åtalades för brott mot 7 § lagen (1998:112) om ansvar för elektroniska anslagstavlor och för att han, som tillhandahållare av tjänsten, av grov oaktsamhet underlåtit att ta bort meddelanden som uppenbart innehöll hets mot folkgrupp enligt 16 kap. 8 § BrB. I domen tydliggörs flera viktiga principer och tolkningar av lagen (1998:112) om ansvar för elektroniska anslagstavlor (den så kallade ”BBS-lagen”).
Illustrasjon: Colourbox.com
Utredningen
Tingsrätten prövade tolv inlägg på Flashback som åklagaren menade utgjorde hets mot folkgrupp. Domstolen betonade vikten av att värna om yttrandefriheten men konstaterade att den inte skyddar uttalanden som uttrycker missaktning mot grupper utifrån till exempel nationalitet eller hudfärg. Elva av inläggen ansågs ha passerat gränsen för saklig kritik och bedömdes som hets mot folkgrupp.
Domstolen prövade också Flashbacks uppsiktsplikt och konstaterade att tillhandahållaren inte behöver läsa varje inlägg, men måste bedriva regelbunden tillsyn. Elektroniska anslagstavlor får inte stå utan övervakning under längre perioder, och vad som anses rimligt beror på hur omfattande verksamheten är och hur många som använder den. Om det inte är möjligt att läsa alla meddelanden i tjänsten kan uppsiktsplikten uppfyllas genom att med hjälp av en ”klagomur” ge användare möjlighet att nå tillhandahållarna för att påtala förekomsten av straffbara meddelanden. Trots att forumet hade moderatorer och rapporteringsfunktioner bedömdes tillsynen vara otillräcklig eftersom de olagliga inläggen fanns kvar på forumet i över ett år. VD:n ansågs därför ha brustit i sin uppsiktsplikt, men eftersom bristen inte bedömdes nå upp till nivån för grov oaktsamhet friades VD:n från ansvar.
Hur långt sträcker sig uppsiktsplikten?
Fallet belyser flera viktiga frågor för den som driver elektroniska anslagstavlor, särskilt när det gäller hur långt uppsiktsplikten sträcker sig. Tingsrätten klargör att tillhandahållare har ett ansvar att faktiskt och regelbundet granska innehållet på sina elektroniska anslagstavlor. Det är inte tillräckligt att bara förlita sig på rapporteringsfunktioner eller att användarna själva rensar bort olämpliga inlägg. Det krävs en aktiv och tydligt organiserad struktur för tillsynen. Domstolen framhåller också att kraven på kontroll ökar i takt med forumets storlek och aktivitet. Ju fler inlägg som publiceras, desto större är behovet av tydliga rutiner.
Avvägningen mellan yttrandefrihet och straffansvar
Tingsrätten betonade att yttrandefriheten är grundlagsskyddad och därför måste begränsas med stor försiktighet. Reglerna om hets mot folkgrupp innebär en sådan begränsning och ska tolkas restriktivt, där straffansvar bara kan bli aktuellt när det tydligt framgår att ett yttrande har passerat gränsen för saklig och vederhäftig kritik. Även obekväma eller kontroversiella åsikter omfattas fortfarande av yttrandefrihetens skydd. Fallet tydliggör att bestämmelsen om hets mot folkgrupp ska tillämpas snävt för att inte inskränka yttrandefriheten mer än nödvändigt. Hänsyn tas bland annat till innehållets ton och attityd samt till om texten utgör en saklig diskussion eller enbart är ett uttryck för förakt.
Konsekvenser för plattformsoperatörer – ett proportionellt ansvar
Rättsfallet visar även att ansvaret för elektroniska anslagstavlor bedöms utifrån en proportionalitetsprincip. Det betyder att tillhandahållaren inte behöver granska varje inlägg i förväg, men ska organisera verksamheten så att olagligt material kan upptäckas och tas bort inom rimlig tid. Kontroll och tillsyn måste ske regelbundet och anpassas efter forumets storlek och aktivitet. Ju fler användare och inlägg som finns, desto större krav ställs på rutiner och fungerande rapporteringssystem. Domstolen framhåller däremot att ansvaret ska vara rimligt och balanserat. Tillhandahållaren kan inte undgå ansvar genom att hänvisa till att uppgiften är för omfattande, men kraven får inte heller vara så stränga att de försvårar möjligheten att driva ett större forum.
I praktiken innebär detta att modereringsresurser, tekniska verktyg och rutiner måste anpassas efter plattformens omfattning och aktivitet. Det är också viktigt att dokumentera de tillsynsåtgärder som vidtas för att kunna visa att olagligt innehåll hanteras i enlighet med tillsynskravet.
IMY inleder tillsyn av Miljödata efter dataintrång
Den 3 november 2025 meddelade Integritetsskyddsmyndigheten (”IMY”) att myndigheten inleder tillsyn med anledning av IT-attacken mot Miljödata i Karlskrona AB (”Miljödata”) som inträffade den 23 augusti 2025. Tillsynen syftar till att utreda om lämpliga tekniska och organisatoriska åtgärder har vidtagits för att säkerställa en lämplig säkerhetsnivå i förhållande till de risker som behandlingen medför, i enlighet med artikel 32 GDPR.
Miljödata är en systemleverantör inom området för arbetsmiljöhantering, HR och rehabilitering. Bland annat kommuner, regioner, universitet och större privata verksamheter har Miljödata som systemleverantör och har påverkats av angreppet. Incidenten medförde att hotaktören fick tillgång till Miljödatas IT-miljö, vilket resulterade i att mycket stora mängder personuppgifter röjdes och publicerades på darknet. Enligt Åklagarmyndighetens uppskattning, som IMY hänvisat till, handlar det om uppgifter tillhörande cirka 1,5 miljoner privatpersoner. Bland de röjda uppgifterna fanns känsliga personuppgifter, uppgifter om personer med skyddad identitet och personuppgifter som rör barn.
IMY har tagit emot över 500 anmälningar från aktörer som angett att Miljödata är deras personuppgiftsbiträde, samt omkring 70 klagomål från drabbade registrerade. Granskningen fokuserar på om Miljödata har vidtagit erforderliga tekniska och organisatoriska åtgärder enligt GDPR och huruvida någon part har brustit i dess skyldigheter enligt GDPR. Eftersom många aktörer har berörts av IT-angreppet har IMY valt att granska ett urval baserat på den verksamhet som bedrivs och de risker det finns indikationer på. Granskningen omfattar därför även en region och två kommuner, med syftet att undersöka hur dessa har behandlat personuppgifter i system som tillhandahålls av Miljödata.
IMY har tillskrivit Miljödata, en region och två kommuner tillsynsskrivelser med frågor som parterna ska besvara. Det återstår därefter att se hur IMY beslutar i ärendet och huruvida någon part har brustit i sina GDPR-skyldigheter. Incidenten understryker hur viktigt det är med att implementera säkerhetsåtgärder och konsekvent se över att de upprätthålls.
