För dig som arbetstagare 

Vilka av dina uppgifter får arbetsgivaren ta del av? 

Trots att arbetsgivaren har möjligheter att göra bakgrundskontroller finns det lagar och förordningar som begränsar omfattningen och användningen av sådan information. Arbetsgivare behöver nämligen förhålla sig till Dataskyddsförordningen (GDPR) som tydligt föreskriver att dina uppgifter enbart får behandlas om det föreligger ett berättigat syfte. Detta innebär att uppgifterna är nödvändiga för att bedöma om en kandidat är lämplig för den aktuella tjänsten. Kan uppgifterna inte hänföras till ett berättigat syfte är behandlingen av sådana uppgifter otillåtna.  Liknande regler återfinns även i Personuppgiftslag (1998:204) (PuL).  

Kan arbetsgivaren göra en bakgrundskontroll utan mitt samtycke? 

Samtycke är en av de rättsliga grunderna som arbetsgivaren kan använda sig av. Ibland kan det dock vara svårt eller olämpligt att inhämta ett samtycke i rekryteringsprocesser. Man kan då stödja sig på alternativa rättsliga grunder såsom berättigat intresse.  

Har arbetsgivaren rätt ta del av känsliga personuppgifter? 

Artikel 9 i GDPR stadgar sådant som utgör känsliga personuppgifter som avslöjar ras eller r etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller om en fysisk persons sexualliv eller sexuella läggning. 

Huvudregeln är att det är förbjudet att behandla sådana uppgifter. Undantag till denna huvudregel är exempelvis att det är ett viktigt allmänt intresse. Detta behöver dock stöd i lag. Oavsett så måste du bli informerad om detta av din arbetsgivare. 
För det fall att arbetsgivaren efterfrågar sådana uppgifter av dig kan det vara av betydelse att känna till 2 kap Diskrimineringslag (2008:567) som reglerar diskriminering i arbetslivet. Känsliga personuppgifter får inte användas för att diskriminera en arbetssökande. 

För dig som arbetsgivare 

När har jag som arbetsgivaren rätt att göra en bakgrundskontroll? 

Arbetsgivare måste ha ett samtycke eller berättigat intresse av att utföra bakgrundskontroller för att säkerställa att den rekryterade personen är kvalificerad och lämplig för den specifika tjänsten. Vid rekrytering är de rättsliga grunderna för att behandla personuppgifter oftast baserade på intresseavvägning eller ett allmänt intresse för myndigheter. Detta innebär att arbetsgivaren måste visa att behandlingen av personuppgifter är nödvändig för att uppnå ett legitimt syfte. 

Här kan det vara av betydelse att dokumentera samtycket eftersom man som arbetsgivare behöver kunna visa att rätt information lämnats ut och att ett samtycke lämnats.  

Vad är berättigade syften? 

Vad som utgör ett berättigat intresse är inte helt självklart eftersom det inkluderar ett brett spektrum av intressen. I ett förhandsavgörande av EU-domstolen (C-708/18) anges det att ett berättigat intresse måste föreligga vid tidpunkten då behandlingen sker. Detta innebär att man inte kan grunda behandlingen på ett tidigare eller hypotetiskt intresse. Exempel på berättigade syften är sådant som berör logistik eller säkerhet. Det är dessutom viktigt att företaget kontrollerar att enskilda personers rättigheter och fri- och rättigheter inte påverkas allvarligt genom att arbetsgivaren genomdriver sina berättigade intressen.   

Ska jag informera arbetstagaren på förhand? 

Ja, anställda har rätt att få information om att kontroller ska göras, varför kontrollen görs och hur det ska användas. Informationsskyldigheten gäller i princip vid all personuppgiftsbehandling av anställda. 

Hur kan man spara personuppgifter? 

Personuppgifter får behandlas fram tills att det inte längre kan anses vara nödvändigt utifrån ändamålet med behandlingen. Därefter ska uppgifterna gallras eller raderas. 

Hur behandlar man registerutdrag? 

Till följd av att registerutdrag innehåller känsliga personuppgifter ska kopia på ett registerutdrag inte sparas. För att säkerställa att individens integritet upprätthålls kan man istället göra en anteckning på att ett registerutdrag uppvisats. Ytterligare information ska inte förekomma (se närmare artikel 32 GDPR) 
Vilka är konsekvenserna om personuppgifter behandlas på ett inkorrekt sätt? 
Företag som inte följer dataskyddslagstiftningen, såsom GDPR, kan drabbas av betydande böter och sanktioner. Beroende på överträdelsens allvar kan böter uppgå till upp till 4% av företagets globala årsomsättning eller 20 miljoner euro, beroende på vilket belopp som är högst. Dessutom kan individers vars personuppgifter har hanterats felaktigt vidta rättsliga åtgärder mot företaget. 

Vilka interna rutiner bör ett företag ha för att säkerställa korrekt hantering av personuppgifter? 

Är ni ett större företag kan det vara bra att utse någon som dataskyddsombud. Detta kan säkerställa efterlevnaden av GDPR på er arbetsplats. Säkerställ även att det finns en omfattande datasäkerhetspolicy som beskriver skyddsåtgärder mot dataintrång och obehörig åtkomst. Här kan det även vara av betydelse att implementera åtkomstkontroller för att säkerställa att endast auktoriserade personer har tillgång till personuppgifter. 

Kort om rättsutvecklingen 

Förra året riktade Justitieombudsmannen (JO) (dnr- 7143-2022) stark kritik mot Södertälje kommun till följd av att kommunen genomfört bakgrundskontroller på sina cirka 7 000 anställda utan lagstöd. Kontrollerna, som utförs av ett externt företag, syftar till att förhindra infiltration av organiserad brottslighet och omfattar flera brottstyper. JO anser att kontrollerna innebär ett otillåtet intrång i de anställdas personliga integritet och saknar nödvändigt lagstöd, eftersom de inte sker inom en säkerhetskänslig verksamhet. JO betonar att kommunens agerande är mycket anmärkningsvärt och att åtgärder som vidtas måste ha lagligt stöd. Beslutet har även skickats till Integritetsskyddsmyndigheten.  

Även kammarrätten har den 13.e mars 2024 meddelat dom i ett mål som berör utlämning av brottmålsärende till ett företag som arbetar med att kvalitetssäkra rekryteringar åt andra företag. Kammarrättens motivering till avslaget var grundad i artikel 10 GDPR som bl.a. reglerar personuppgiftsbehandling av brottmålsdomar. I det aktuella fallet ansågs den enskildes personliga integritet väga tyngre än företagets intresse av att ta del av dessa uppgifter. Kammarrätten betonar att ett strikt förhållningssätt till det svenska grundlagsskyddet, dvs att det alltid har företräde framför annan lag, inte kan anses vara förenligt med principen om unionsrättens företräde. 

Sammanfattningsvis

  • Arbetsgivaren får endast behandla uppgifter som är nödvändiga för att bedöma kandidatens lämplighet och endast om det finns ett berättigat syfte.
  • Personuppgifter ska endast sparas så länge det är nödvändigt för ändamålet med behandlingen.
  • Uppgifter som avslöjar ras, politiska åsikter, religiös övertygelse eller hälsa är skyddade enligt GDPR och får normalt inte behandlas, om inte ett undantag gäller och det finns stöd i lag.
  • Arbetsgivaren är skyldig att informera arbetstagaren om att en bakgrundskontroll ska utföras, varför den görs, och hur resultaten kommer att användas. 

Relaterade artiklar

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Alex AB (publ), orgnr. 559338-7698 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata