"Bakgrundskontroll inför nyanställning – vad är det som gäller?"

Rekryteringsprocesser idag handlar ofta om att göra långtgående bakgrundskontroller av kandidaterna. Men det gäller att inte gå för långt. Här går juristerna Kerstin Wardman och Victor Åkerfeldt igenom vad ni måste ha koll på för att undvika snedsteg.

Rekrytering av nya medarbetare är en nyckelprocess för de flesta företag, och bristfällig information om en arbetssökande kan medföra både oönskade kostnader vid en felrekrytering och risker för arbetsgivarens varumärke. Många gånger finns det ett intresse av att göra en bakgrundskontroll som sträcker sig utöver de omständigheter som enbart framgår av ett CV eller att ta referenser. Det kan exempelvis handla om att granska kandidatens aktivitet på internet, framför allt i sociala medier, eller att begära att kandidaten uppvisar ett utdrag ur polisens belastningsregister. GDPR sätter dock vissa begränsningar i vilka personuppgifter som ert företag får behandla om en kandidat, då all information är varken relevant eller laglig att inhämta. 

Här följer några punkter som ni bör tänka på när ni inhämtar information vid rekrytering av nya medarbetare.

Informera kandidaten

Innan ni utför en bakgrundskontroll måste ni informera kandidaten om hur personuppgifter behandlas under rekryteringsförfarandet. Om ert företag kommer att samla in ytterligare information som inte tillhandahålls av den arbetssökande själv måste ni även informera om vilka källor som kommer att användas. Tänk på att informationen ska vara specifik och precisera vilka uppgifter som samlas in.

Samla bara in information som är relevant för tjänsten

Enligt GDPR får man bara behandla information som är relevant och adekvat för ändamålet. Vilken information som får inhämtas vid en rekrytering beror därför på vilken typ av tjänst som kandidaten är aktuell för. Tjänstens position avgör så att säga bakgrundskontrollens räckvidd. Vid rekrytering till specialisttjänster där det är fråga om en ansvarsfull roll, eller vid rekrytering av ledande befattningshavare, kan det vara berättigat med en mer omfattande bakgrundskontroll än om ni ska tillsätta en tjänst med ett mer begränsat ansvarsområde. Nedan har vi sammanställt en lista på scenarion där ni bör fundera en extra gång innan gör en kontroll.

Sociala medier

Det kan vara lockande att göra sökning på en kandidats Facebook- eller Instagram-konto. Oftast är sådan information av ren privat karaktär och har inte direkt relevans för en yrkesroll. Du riskerar därför att behandla information som är irrelevant för ändamålet, vilket inte är tillåtet enligt GDPR. Information som du hittar på Facebook eller Instagram riskerar dessutom att medvetet eller omedvetet färga din bild av kandidaten och påverka ditt beslut, vilket innebär att det också finns en diskrimineringsproblematik. Däremot kan det vara befogat att kontrollera en kandidats Linkedin-konto, eftersom den typen av social media har en nära koppling till arbetslivet, och att sådan information som framkommer där därför kan vara relevant för tjänsten och något som kandidaten kan förvänta sig att en framtida arbetsgivare kollar upp.

Kreditupplysning

Enligt kreditupplysningslagen är det bara tillåtet att ta en kreditupplysning om det finns ett legitimt behov av informationen, till exempel för att göra en ekonomisk riskbedömning av en person. Datainspektionen anger att det endast är relevant att inhämta kreditupplysningsinformation om kandidater som söker en tjänst med ett finansiellt ansvar hos en arbetsgivare.

Belastningsregister

Det blir allt vanligare att kandidater blir ombedda av rekryterande företag att visa upp utdrag från belastningsregister under en rekryteringsprocess. Tänk dock på att det som regel är förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser, och att ni aldrig får behålla, kopiera eller skriva ned vad belastningsregisterutdraget innehåller. Spara därför inte någon information i era system om kandidaten förekommer i belastningsregistret eller inte. 

Radera uppgifterna när de inte längre behövs

Syftet med en bakgrundskontroll bör vara att bedöma kandidatens lämplighet för den tilltänkta tjänsten. Personuppgifter i en ansökan, intervjuanteckningar, bakgrundskontroller och uppgifter från referenser får registreras och sparas så länge de är nödvändiga för ansökningsförfarandet. Efter det att kandidaten antingen anställts eller inte längre är aktuell för tjänsten, har ni som regel inte längre någon laglig grund att spara uppgifterna. Ni måste därför radera de personuppgifter som samlades in i samband med bakgrundskontrollen så snart det är möjligt. Om uppgifterna ska sparas under en längre tid för framtida rekrytering krävs den sökandes samtycke.

Ha rutiner på plats

För att säkerställa att ert företag följer de krav som framgår av GDPR bör ni ta fram en tydlig rutin till era anställda kring hur bakgrundskontroller ska utföras. Specificera vilken laglig grund ni förlitar er på för att inhämta personuppgifterna, vem inom företaget som ska ha befogenhet att utföra bakgrundskontroller, vilka personuppgifter som får inhämtas beroende på typen av position som ska tillsättas, när personuppgifterna ska raderas och hur kandidaten kommer att informeras.  

Tänk också på att ni enligt Datainspektionen kan vara skyldiga att göra en så kallad konsekvensbedömning om ni utför bakgrundskontroller inför rekryteringar, eftersom sådan behandling under vissa omständigheter kan innebära en risk för den enskildes integritet. Konsekvensbedömningen innebär att ni måste dokumentera risker med personuppgiftsbehandlingen och vilka säkerhetsåtgärder ni har vidtagit för att förhindra att sådana risker uppstår. 

Behöver ni hjälp med att ta fram en rutin för bakgrundskontroller eller en konsekvensbedömning? Hör av er till oss på Cederquist.

Kontakt