Det blir allt vanligare att arbetsgivare vill göra bakgrundskontroller av arbetssökande. En del av detta kan vara att be kandidaten om ett utdrag ur belastningsregistret, som kan visa på risker med att anställa personen. Ett registerutdrag kan innehålla anteckning om mord, dråp, rån, misshandel, sexualbrott eller barnpornografibrott, som i vissa sammanhang gör personen olämplig för tjänsten.
Bakgrundskontroll? Inte om GDPR får bestämma
Ledarskap Trodde du att det bara vara att begära ett registerutdrag för en bakgrundskontroll på en arbetssökande? Glöm det. GDPR-lagen slår sina lovar runt rekryteringsprocessen – och den blir allt tuffare.
Någonting är fel
Läs vidare – starta din prenumeration
- Strategiska artiklar med tips och analyser.
- 6 fullmatade magasin årligen.
- Tillgång till premiumnyheter på vdtidningen.se.
- 100 procents fokus på vd-rollen.
Det kan emellertid hända att allmänna dataskyddsförordningen, GDPR, har en del att säga mot detta förfarande.
Monika Wendleby är jurist, managementkonsult och partner på Passacon AB och har skrivit böcker, lagkommentarer och analyser kopplade till GDPR samt utbildar inom området. Hon ser att GDPR är en relativt oprövad lagstiftning i sammanhanget, men att mycket tyder på att det mer sällan finns stöd i lagen för att göra den här typen av bakgrundskontroll.
Fakta
Visste du att…
Sådana här exempel kan också bli ett fall för GDPR!
En arbetsgivare begär att en arbetssökande ska utföra olika lämplighetstester, utan att tydligt redogöra för vad man mäter och varför.
En löneadministratör jobbar hemifrån och hanterar medarbetares personuppgifter i sina privata system.
En HR-chef sparar uppgifter om en arbetssökande som inte fick den annonserade tjänsten, men som kan tänkas matcha framtida behov.
– När man gör bakgrundskontroller så tittar man ju ofta på integritetskänsliga personuppgifter. Det kan vara lagöverträdelser, och det kan vara känsliga personuppgifter som faller inom GDPR, förklarar hon.
Arbetsgivare måste söka lagstöd hos IMY
Med lagöverträdelse avses att någon har begått ett brott eller varit misstänkt för ett brott. Men enligt EU-domstolen kan en lagöverträdelse också innebära att man överträder ett administrativt förfarande som är ”straffrättliknande”, exempelvis en körkortsåterkallelse.
Känsliga uppgifter kan röra sig om till exempel politisk eller religiös uppfattning, hälsouppgifter, facklig tillhörighet eller sexuell läggning. Allt detta är uppgifter som GDPR har tagits fram för att skydda.
Integritetsskyddsmyndigheten, IMY, är ansvarig för frågor om persondataskydd i Sverige. Lagstiftningen medger att offentlig sektor får behandla personuppgifter om lagöverträdelser om det verkligen är nödvändigt, vilket det kan vara om lagen uppställer krav på kontroll. Arbetsgivare som inte tillhör offentlig sektor måste däremot söka lagstöd för en bakgrundskontroll av arbetssökande i IMY:s föreskrifter.
Lexbase är off limit
Men enligt Monika Wendleby har IMY inga föreskrifter om hur GDPR ska tolkas i fråga om bakgrundskontroller. Då återstår bara att söka tillstånd av IMY som kan ges i ett enskilt fall. Rättsläget är knepigt eftersom det ännu inte har kommit några GDPR-domar från EU-domstolen. Men det ska inte uppfattas som att det är fritt fram. Tvärtom.
– Det innebär ju att det inte finns ett slutligt facit än. Om en arbetsgivare ändå vill göra en personkontroll så måste den föregås av en noggrann rättsutredning, där man formulerar väldigt tydliga skäl till hur och varför man behöver göra kontrollen, förklarar Monika Wendleby.
– Behöver man söka tillstånd måste det också göras.
Tro inte att det skulle vara lagligt att kolla upp någon på Lexbase eller liknande databaser som tillgängliggör rättsliga handlingar, understryker hon; inte om syftet är bakgrundskontroll. Visserligen har nyfikna medborgare och arbetande journalister informationsfrihet, men här är syftet ett annat. En arbetsgivare har inte något tydligt GDPR-stöd för att begära ut domstolshandlingar i syfte att göra bakgrundskontroll av arbetssökande. Det kan tvärtom vara ett brott mot GDPR, eftersom syftet är att forska efter känsliga uppgifter som ska ligga till grund för en lämplighetsbedömning.
Starka skäl behövs
Hon känner till ett fall rörande Svenska kyrkan, som ansökte hos IMY om att få behandla personuppgifter om lagöverträdelser i sin domkapitelverksamhet, och hon vet därför att IMY är strikta i sin prövning. Det fallet gällde inte bakgrundskontroll, eftersom kyrkan har lagstöd att göra det när präster och diakoner tillsätts. Det handlade i stället om en senare uppföljning av vandel för präster och diakoner, det vill säga om de begår brott senare.
IMY var så restriktiva att det krävdes två domstolsprocesser innan förvaltningsdomstolen till slut gav tillstånd, berättar Monika Wendleby.
– Restriktiviteten i det fallet gör mig väldigt skeptisk till att IMY i andra fall skulle säga att det bara är att tuta och köra med bakgrundskontroller eller senare uppföljning av anställda.
Hon menar att alla arbetsgivare som inte har ett tydligt lagstöd för bakgrundskontroll bör kontakta IMY för tillstånd om de vill göra sådana. De måste kunna ange starka skäl, och man måste ha en klar bild av vilka uppgifter man vill titta på, hur kontrollen ska gå till, och hur uppgifterna sedan ska hanteras.
GDPR blir allt tuffare
Om arbetsgivaren har lagstöd brukar det normalt handla om att en person ska visa upp ett utdrag ur belastningsregistret.
– Enligt den speciallagstiftning som finns kan du inte gå längre än att be den arbetssökande ta med och visa ett registerutdrag, och sedan göra en notering om att du har sett det, utan att nämna vad det innehöll, säger Monika Wendleby. Det som sägs i sådan lagstiftning är sannolikt en vägvisare för andra. Man kommer inte runt reglerna genom att anteckna mer omfattande uppgifter i ett block, eftersom det fortfarande kan ses som en personuppgiftsbehandling.
Hon är övertygad om att EU-domstolen och nationella domstolar kommer att ta upp fler tolkningsfrågor rörande GDPR inom överskådlig framtid, och att domarna kommer att ge IMY på fötterna för att dra upp riktlinjer för bland annat bakgrundskontroller. Och hon tror inte att dessa riktlinjer kommer att bli särskilt tillåtande. EU-domstolen har hittills varit mycket restriktiv i sitt dömande.
– Många arbetsgivare trodde nog att GDPR var en millenniebugg. Men det är en lagstiftning – och den blir bara tuffare och tuffare, säger Monika Wendleby.