Vid en rekrytering kan arbetsgivare ibland vilja göra en bakrundskontroll på arbetstagaren. Detta kan vara i syfte att bilda en bättre uppfattning kring kandidaten och motverka felrekrytering. I vissa branscher finns det lagstadgade krav på detta. I denna artikel beskriver vi närmare arbetsgivarens möjligheter och begränsningar vid en bakgrundkontroll. Dessutom beskriver vi vad detta innebär för dig som arbetstagare.
Trots att arbetsgivaren har möjligheter att göra bakgrundskontroller finns det lagar och förordningar som begränsar omfattningen och användningen av sådan information. Arbetsgivare behöver nämligen förhålla sig till Dataskyddsförordningen (GDPR) som tydligt föreskriver att dina uppgifter enbart får behandlas om det föreligger ett berättigat syfte. Detta innebär att uppgifterna är nödvändiga för att bedöma om en kandidat är lämplig för den aktuella tjänsten. Kan uppgifterna inte hänföras till ett berättigat syfte är behandlingen av sådana uppgifter otillåtna. Liknande regler återfinns även i Personuppgiftslag (1998:204) (PuL).
Samtycke är en av de rättsliga grunderna som arbetsgivaren kan använda sig av. Ibland kan det dock vara svårt eller olämpligt att inhämta ett samtycke i rekryteringsprocesser. Man kan då stödja sig på alternativa rättsliga grunder såsom berättigat intresse.
Artikel 9 i GDPR stadgar sådant som utgör känsliga personuppgifter som avslöjar ras eller r etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller om en fysisk persons sexualliv eller sexuella läggning.
Huvudregeln är att det är förbjudet att behandla sådana uppgifter. Undantag till denna huvudregel är exempelvis att det är ett viktigt allmänt intresse. Detta behöver dock stöd i lag. Oavsett så måste du bli informerad om detta av din arbetsgivare.
För det fall att arbetsgivaren efterfrågar sådana uppgifter av dig kan det vara av betydelse att känna till 2 kap Diskrimineringslag (2008:567) som reglerar diskriminering i arbetslivet. Känsliga personuppgifter får inte användas för att diskriminera en arbetssökande.
Arbetsgivare måste ha ett samtycke eller berättigat intresse av att utföra bakgrundskontroller för att säkerställa att den rekryterade personen är kvalificerad och lämplig för den specifika tjänsten. Vid rekrytering är de rättsliga grunderna för att behandla personuppgifter oftast baserade på intresseavvägning eller ett allmänt intresse för myndigheter. Detta innebär att arbetsgivaren måste visa att behandlingen av personuppgifter är nödvändig för att uppnå ett legitimt syfte.
Här kan det vara av betydelse att dokumentera samtycket eftersom man som arbetsgivare behöver kunna visa att rätt information lämnats ut och att ett samtycke lämnats.
Vad som utgör ett berättigat intresse är inte helt självklart eftersom det inkluderar ett brett spektrum av intressen. I ett förhandsavgörande av EU-domstolen (C-708/18) anges det att ett berättigat intresse måste föreligga vid tidpunkten då behandlingen sker. Detta innebär att man inte kan grunda behandlingen på ett tidigare eller hypotetiskt intresse. Exempel på berättigade syften är sådant som berör logistik eller säkerhet. Det är dessutom viktigt att företaget kontrollerar att enskilda personers rättigheter och fri- och rättigheter inte påverkas allvarligt genom att arbetsgivaren genomdriver sina berättigade intressen.
Ja, anställda har rätt att få information om att kontroller ska göras, varför kontrollen görs och hur det ska användas. Informationsskyldigheten gäller i princip vid all personuppgiftsbehandling av anställda.
Personuppgifter får behandlas fram tills att det inte längre kan anses vara nödvändigt utifrån ändamålet med behandlingen. Därefter ska uppgifterna gallras eller raderas.
Till följd av att registerutdrag innehåller känsliga personuppgifter ska kopia på ett registerutdrag inte sparas. För att säkerställa att individens integritet upprätthålls kan man istället göra en anteckning på att ett registerutdrag uppvisats. Ytterligare information ska inte förekomma (se närmare artikel 32 GDPR)
Vilka är konsekvenserna om personuppgifter behandlas på ett inkorrekt sätt?
Företag som inte följer dataskyddslagstiftningen, såsom GDPR, kan drabbas av betydande böter och sanktioner. Beroende på överträdelsens allvar kan böter uppgå till upp till 4% av företagets globala årsomsättning eller 20 miljoner euro, beroende på vilket belopp som är högst. Dessutom kan individers vars personuppgifter har hanterats felaktigt vidta rättsliga åtgärder mot företaget.
Är ni ett större företag kan det vara bra att utse någon som dataskyddsombud. Detta kan säkerställa efterlevnaden av GDPR på er arbetsplats. Säkerställ även att det finns en omfattande datasäkerhetspolicy som beskriver skyddsåtgärder mot dataintrång och obehörig åtkomst. Här kan det även vara av betydelse att implementera åtkomstkontroller för att säkerställa att endast auktoriserade personer har tillgång till personuppgifter.
Förra året riktade Justitieombudsmannen (JO) (dnr- 7143-2022) stark kritik mot Södertälje kommun till följd av att kommunen genomfört bakgrundskontroller på sina cirka 7 000 anställda utan lagstöd. Kontrollerna, som utförs av ett externt företag, syftar till att förhindra infiltration av organiserad brottslighet och omfattar flera brottstyper. JO anser att kontrollerna innebär ett otillåtet intrång i de anställdas personliga integritet och saknar nödvändigt lagstöd, eftersom de inte sker inom en säkerhetskänslig verksamhet. JO betonar att kommunens agerande är mycket anmärkningsvärt och att åtgärder som vidtas måste ha lagligt stöd. Beslutet har även skickats till Integritetsskyddsmyndigheten.
Även kammarrätten har den 13.e mars 2024 meddelat dom i ett mål som berör utlämning av brottmålsärende till ett företag som arbetar med att kvalitetssäkra rekryteringar åt andra företag. Kammarrättens motivering till avslaget var grundad i artikel 10 GDPR som bl.a. reglerar personuppgiftsbehandling av brottmålsdomar. I det aktuella fallet ansågs den enskildes personliga integritet väga tyngre än företagets intresse av att ta del av dessa uppgifter. Kammarrätten betonar att ett strikt förhållningssätt till det svenska grundlagsskyddet, dvs att det alltid har företräde framför annan lag, inte kan anses vara förenligt med principen om unionsrättens företräde.