Ett vanligt uppdrag för någon som sysslar med incidenthantering åt företag är att avgöra huruvida chefen eller säljaren som har sagt upp sig och startat ett konkurrerande företag har tagit med sig kundlistor eller motsvarande.

Det är ofta ett utmanande uppdrag, det är inte ovanligt att den misstänktes dator redan har ärvts av någon annan och använts under en period när uppdragsgivaren fattar misstankar. Har de dessutom varit det minsta försiktiga under stölden finns det inte mycket att gå på.

Hoppet behöver dock inte vara ute bara för att det inte finns it-forensiska bevis. Företagshemligheten är inte kundlistan i sig utan innehållet i den. Man behöver inte nödvändigtvis kunna visa att personen handgripligen har kopierat informationen och tagit den med sig.

Det här är första delen av två om företagshemligheter. Denna del handlar om vad företagshemligheter är, nästa del handlar om vilket skydd lagen erbjuder och vilka beviskrav som vanligen finns i domstolarna.

Beakta att jag inte är advokat så jag kan tyvärr inte ta ansvar för innehållet. Betrakta det här som en lekmans tolkning av lagen som du förmodligen hade kunna gjort bättre själv men nu slapp göra.


Företagshemligheter regleras av lagen (1990:409) om skydd av företagshemligheter (FHL). 1 och 2 §§ lägger grunden för skyddet:

1 § Med företagshemlighet avses i denna lag sådan information om affärs- eller driftförhållanden i en näringsidkares rörelse som näringsidkaren håller hemlig och vars röjande är ägnat att medföra skada för honom i konkurrenshänseende. […]

2 § Lagen gäller endast obehöriga angrepp på företagshemligheter. […]

Två frågor uppstår genast. Vad är en företagshemlighet och vad är ett obehörigt angrepp på en sådan?

Vad är en företagshemlighet?

Det finns tre kriterier i 1 § som ska uppfyllas för att det ska röra sig om en företagshemlighet:

  1. Det ska vara information om affärs- eller driftförhållanden i rörelsen,
  2. den ska hållas hemlig av näringsidkaren och
  3. röjandet ska typiskt sett medföra skada i konkurrenshänseende.

Hur dessa kriterier ska tolkas behandlades i propositionen (1987/88:155, s. 34 och framåt) i samband med framtagandet av lagen.

Begreppet information har t ex en vidsträckt innebörd, det spelar ingen roll om det är nedtecknat eller rena minneskunskaper som finns i företaget. I övrigt behöver det inte röra sig om enskilda affärshändelser i ett företag utan det kan tolkas mer allmänt. Exempel som ges i propositionen är:

  • prissättningskalkyler,
  • marknadsundersökningar,
  • marknadsplanering,
  • planer rörande reklamkampanjer,
  • information om konstruktions- eller utvecklingsarbete och
  • forskning.

Propositionen är noggrann med att skilja på information som företaget har och enskilda individers personliga erfarenhet, kunskap eller skicklighet. De senare kan inte anses vara information om företagets affärs- eller driftförhållanden.

Kriteriet att informationen ska hållas hemlig ska enligt propositionen ses som relativ snarare än absolut. Det förstås att flera personer inom företaget kommer att ha kännedom om hemligheten. (Det här har för övrigt ingenting med ”hemlig” inom ramen för säkerhetsskyddsförordningen att göra, det är något annat.) Alla anställda kan känna till informationen, den kan anses vara hemlighållen ändå. Informationen kan även spridas utanför företaget utan att tappa sitt hemlighållande, exempelvis i samband med samarbeten med andra företag. Spridningen får dock inte vara okontrollerad.

Det tredje kriteriet stipulerar att informationens röjande skulle kunna väntas medföra skada i konkurrenshänseende. Skada behöver inte ha uppkommit, det räcker med att det typiskt sett skulle ske vid röjande. Notera lagstiftarens (o)vana att använda uttrycket ”ägnat att” som ska utläsas som ”typiskt sett”.

Högsta domstolen fann en affärsplan som aldrig satts i verket vara en företagshemlighet i NJA 1998:98. Arbetsdomstolen fann att kundregister, kundavtal och offerter utgjorde företagshemligheter i AD 2010:27 (pdf). Arbetsdomstolen har också ansett att avtal med samarbetspartners, datorprogram och hårdvara har varit företagshemligheter i AD 2009:63 (pdf). Däremot har Arbetsdomstolen i AD 2013:24 (pdf) ansett att två blanketter med ”enkla uppgifter” som skickats ut till presumtiva kunder inte har utgjort företagshemligheter. Dock bekräftade de vid samma tillfälle att ”kundregister och annan kundinformation” var företagshemligheter.

Vad är ett obehörigt angrepp?

Huruvida ett angrepp är obehörigt eller inte framgår ganska tydligt av resten av 2 §. Två fall som inte anses obehöriga beskrivs:

Som ett obehörigt angrepp anses inte att någon anskaffar, utnyttjar eller röjer en företagshemlighet hos en näringsidkare för att offentliggöra eller inför en myndighet eller annat behörigt organ avslöja något som skäligen kan misstänkas utgöra brott, på vilket fängelse kan följa, eller som kan anses utgöra annat allvarligt missförhållande i näringsidkarens rörelse.

Som ett obehörigt angrepp anses inte heller att någon utnyttjar eller röjer en företagshemlighet som han eller någon före honom har fått del av i god tro.

Ovanstående är alltså kriterier för om lagen ska vara tillämplig överhuvudtaget. Det är alltså lagligt att röja information om oegentligheter på ett företag, även om den informationen kan anses vara en företagshemlighet. Samma sak gäller om någon röjer en företagshemlighet till en tredje person som i samband med detta inte får reda på att det är en hemlighet och inte heller har anledning att tro det. Den tredje personen kan inte hållas ansvarig för vare sig utnyttjande eller vidare röjande.

Frågan man ställer sig som arbetsgivare är dock hur tydlig man måste vara med vad som är obehörigt.

Det tar vi hand om i nästa del.