Skip to content

"GDPR vid rekrytering och anställning - så får arbetsgivaren hantera personuppgifterna"

KOMMENTAR - av Mary Ohrling och Gustaf Ramel, biträdande jurister vid Magnusson advokatbyrå

 

Det kan inte ha undgått någon att dataskyddsförordningen (GDPR)[1] trädde i kraft den 25 maj 2018. Vid införlivandet av GDPR fokuserade organisationerna ofta på behandlingen av kunders och anställdas personuppgifter.

Men vad gäller för behandlingen av personuppgifter om registrerade som är arbetssökande?

I denna artikel kommer vi att kortfattat ta upp några viktiga överväganden för behandling av personuppgifter vid rekrytering och ge exempel på åtgärder som kan vidtas för att efterleva GDPR.

1.  Rättslig grund och gallring
Som rättslig grund för behandling av personuppgifter i rekryteringssammanhang kan den personuppgiftsansvariga åberopa till exempel artikel 6.1.b.

I artikel 6.1.b framgår att personuppgiftsbehandling är tillåten om behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Avtalet i förevarande fall är anställningsavtalet och under rekryteringstiden sker behandling typiskt sett på begäran av den registrerade innan ett anställningsavtal ingås.

En av de grundläggande principerna för behandling av personuppgifter är att personuppgifter inte ska lagras längre än vad som är nödvändigt för att uppfylla ändamålet. Inom ramen för en rekrytering innebär det i realiteten att personuppgifter som hänför sig till kandidater bör gallras så snart som den aktuella positionen har blivit tillsatt.

I många fall sparas kandidaters uppgifter för potentiella framtida rekryteringsbehov, vilket ofta är ett annat ändamål än det för vilket personuppgifterna först samlades in. För att legitimera behandlingen behöver ett sådant ändamål framgå vid insamlingen av personuppgifterna och det måste även finnas en rättslig grund för denna behandling.

Innan GDPR trädde i kraft hade Datainspektionen uttalat i sin vägledning om personuppgifter i arbetslivet att behandling av personuppgifter för framtida rekryteringsbehov kräver samtycke från den registrerade. Det är dock inte säkert att uttalandet fortsatt gäller då Datainspektionens tidigare vägledningar är upphävda sedan den 25 maj 2018.

Det är viktigt att här komma ihåg att samtycken alltid kan återkallas och att de måste vara frivilliga, specifika, informerade och otvetydiga för att vara giltiga.

När ett anställningsförhållande inletts är samtycke som grund sällan möjligt att åberopa, eftersom anställningsförhållandet präglas av ett beroendeförhållande mellan arbetstagare och arbetsgivare som medför att det i de flesta fall är omöjligt för en anställd att lämna ett frivilligt samtycke.

Vid avslutad anställning ska de personuppgifter som finns om den före detta anställda raderas i den mån de inte längre behövs.

Profilbilder på hemsida, kontaktinformation till nära anhöriga och matpreferenser är exempel på sådan information som bör gallras senast vid avslutad anställning.

2. Uppgiftsminimering
En av de grundläggande principerna för behandling av personuppgifter är att behandlingen ska begränsas till att gälla sådana uppgifter som är nödvändiga för att uppnå det specifika ändamålet för vilket uppgifterna samlades in.

Vid rekrytering bör man därför endast hämta in uppgifter som är nödvändiga för bedömningen om personen i fråga är kvalificerad och lämplig för tjänsten som utlysts.

Det finns ett generellt förbud mot behandling av känsliga personuppgifter (såsom sexuell läggning m.m.). För att sådan behandling ska vara tillåten måste något av undantagen i GDPR:s artikel 9 vara uppfyllda.

3. Utdrag ur belastningsregistret och egna efterforskningar
Ibland förekommer det att rekryteraren ber kandidaten att visa utdrag ur belastningsregistret. Inom svensk rätt så är möjligheten att behandla uppgifter om brott kraftigt begränsad. Notera att det dock kan finnas vissa möjligheter att kontrollera utdrag ur belastningsregistret utan att det faller in under GDPR:s tillämpningsområde.

Om rekryteraren gör efterforskningar om kandidaten i öppna källor kan det vara oförenligt med GDPR att inkludera uppgifter av privat natur.

Om rekryteraren har för avsikt att ta del av kandidatens sociala media bör det begränsas till exempelvis LinkedIn och inte omfatta uppgifter på Facebook, eftersom Facebook sällan är av professionell relevans.

4. Tekniska och organisatoriska åtgärder
Enligt artikel 32 i GDPR ska tekniska och organisatoriska åtgärder vidtas i samband med att personuppgifter behandlas. Det är den personuppgiftsansvariges skyldighet att, utifrån en bedömning av omständigheterna i det aktuella fallet, säkerställa en adekvat säkerhetsnivå för behandlingen.

En säkerhetsåtgärd att vidta vid rekryteringsförfaranden kan vara att begränsa tillgången till uppgifterna inom organisationen, till exempel genom behörighetsstyrning via inloggningsuppgifter.

5. Information till den registrerade
Den registrerade ska informeras om hur dennes personuppgifter kommer behandlas, oavsett om personuppgifterna inhämtas direkt från den registrerade eller från andra källor.

Vid rekrytering ska därför kandidater bli informerade om hur deras personuppgifter behandlas under rekryteringsförfarandet, samt om rekryteraren kommer inhämta ytterligare information som inte tillhandahålls av kandidaten själv.

Om rekryteraren har för avsikt att till exempel söka upp information om kandidaten genom öppna källor så ska kandidaten informeras om att detta kommer ske samt om vilka källor som kommer att användas.

 

 


[1] Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmänt refererat till som sin engelska förkortning ”GDPR” från the General Data Protection Regulation)

 

 

 

 

 

Gratis nyhetsbrev om rättsfall och juridik från Dagens Juridik - klicka här 

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt