Vad domstolen faktiskt beslutade
Tvisten bakom domen var tillräckligt vanlig. Ett företag i Niedersachsen stämde en tidigare anställd som det anklagade för att sälja vidare företagets utrustning via ett privat eBay-konto, och det byggde sin sak på data som hämtats från det kontot utan tillstånd. Den åtkomsten var i sig ett brott mot GDPR. Den hänskjutande domstolen, LAG Niedersachsen, ställde EU-domstolen en skarpare fråga än parterna väntat sig: brister en domstol själv mot dataskyddslagstiftningen enbart genom att ta del av bevisning som inhämtats olagligt.
EU-domstolen svarade nej. I sin dom av den 18 juni 2026 (C-484/24) avvisade den ett generellt förbud mot att använda olagligt inhämtade personuppgifter och slog fast att en domstol får stödja sig på sådan data där den krävs och är väsentlig för avgörandet. Domarna lutade sig mot domstolens egen skyldighet att fastställa fakta och mot rätten till en rättvis rättegång enligt artikel 47 i stadgan, samtidigt som de krävde att uppgiftsminimering fortfarande ska respekteras och att anonymisering ska övervägas före utlämnande. Detta handlar om huruvida bevisning tas in i en civilrättslig akt, inte om straffrättslig skuld.
Varför detta välter ett bekvämt antagande
Många ägare och deras rådgivare har utgått från en outtalad tumregel: om motparten skaffade sitt material på otillbörligt sätt kan det hållas ute, så ett dataskyddsbrott är en pålitlig sköld. Domen försvagar den skölden. En domstol som väger fakta ska nu avväga intresset av en rättvis rättegång mot integritetsbrottet snarare än att i princip förkasta bevisningen, så det obekväma dokumentet, det återställda meddelandet eller kontoutdraget kan ligga framför domaren oavsett hur det inhämtades.
Det skär åt båda hållen, och den andra eggen är den att bevaka. Samma logik som låter en kärande använda bristfälligt inhämtat bevis låter en motpart använda ditt. En intern utredning som går för långt, en övervakningslogg som inhämtats utan korrekt grund eller en tidigare partners inkorg som nåtts för fritt blir inte oskyldig för att den samlades in dåligt. Den kan fortfarande hamna i akten mot dig, medan det underliggande brottet förblir separat exponerat mot tillsynsmyndigheter. Behandla detta som rapportering snarare än juridisk rådgivning, och bekräfta domen och dess räckvidd för dina egna omständigheter.
Vad du bör överväga före nästa tvist
Det praktiska svaret är inte att jaga kryphål utan att utgå från att det mesta av relevant data till slut blir tillåtlig, oavsett vem som innehar den och hur den inhämtats. Det ramar om bevishygien som en affärsrisk snarare än en efterlevnadsfotnot. Det är värt att se över hur dina interna utredningar bedrivs, hur data om anställda och motparter nås under en tvist, och var din egen insamlingspraxis skulle kunna vändas till bevis av motparten.
Det är lika mycket värt att kartlägga, innan en process ens är i sikte, vilken data om din verksamhet som finns, var den ligger och vem som skulle kunna komma åt den. Domens räckvidd sätter sig fortfarande och dess tillämpning kommer att variera mellan medlemsstater och efter typ av förfarande, så allt som är specifikt hör hemma hos ditt eget ombud utifrån dina egna omständigheter. Poängen för en beslutsfattare är enklare: den gamla vadslagningen att dålig data försvinner är inte längre säker att göra.
Läs vidare: Konkurrenter kan nu overvaka din GDPR · Böten på pappret är inte slutgiltig