Det är viktigt att kontrollera att man kan stödja sig på en av de sex lagliga grunderna i GDPR för att få behandla en personuppgift, skriver Victoria Ödlund, HR-expert på Tholin & Larsson.
Det är viktigt att kontrollera att man kan stödja sig på en av de sex lagliga grunderna i GDPR för att få behandla en personuppgift, skriver Victoria Ödlund, HR-expert på Tholin & Larsson.

Du som rekryterar – har du en laglig grund enligt GDPR?

För att en behandling av personuppgifter ska vara tillåten måste det finns en laglig grund. En första fråga du bör ställa dig – vid behandling av personuppgifter – är alltså om registreringen överhuvudtaget är laglig?

     

den 9 maj 2019 Victoria Ödlund

Enligt GDPR finns det sex olika lagliga grunder. Det är alltså viktigt att kontrollera att man kan stödja sig på en av dessa lagliga grunder för att få behandla en personuppgift. 

I en rekryteringsprocess behandlas oftast många olika typer av personuppgifter, såväl känsliga som mer harmlösa. Var och en av dessa kräver en laglig grund för att man t ex ska få registrera, sprida, spara eller radera dem.

Med personuppgifter avses ”varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras”. Det är alltså en vid definition som omfattar i stort sett alla uppgifter som kan förekomma i en rekryteringsprocess, exempelvis:

  • CV och personligt brev
  • Anteckningar från anställningsintervju
  • Testresultat
  • Anteckningar från referenstagning
  • Betyg och intyg
  • Hälsoutlåtande
  • Utdrag ur belastningsregister

Läs mer: Få koll på regelverket med Servicepaket Dataskydd i arbetslivet

Intresseavvägning vanlig laglig grund

Den mesta personuppgiftsbehandlingen vid en rekrytering faller under intresseavvägning. Arbetsgivare kan alltså behandla personuppgifter så länge som det är nödvändigt för att bedöma om sökande är lämplig för rollen. Här ska man i sin bedömning utgå från kraven enligt kravprofilen. CV, betyg/intyg, kunskapstester och certifikat av olika slag faller oftast under den grunden.

I vissa fall krävs däremot samtycke, t ex för att få behandla personlighetstester. Detta på grund av att personlighetstester generellt inte anses som strängt taget nödvändigt för att kunna bedöma den sökandes lämplighet. Det är också något som Datainspektionen anser vara integritetskänsliga uppgifter.

För att få behandla uppgifter om lagöverträdelser, t ex utdrag ur belastningsregister, krävs att man har en rättslig skyldighet att göra detta. Det finns vissa lagar som är aktuella här, t ex skollagen, där det är ett krav för att den anställde ska få arbeta med barn.

Tips på hur du kan göra en laglighetsbedömning

  1. Bestäm syftet med behandlingen, d v s varför ska dessa personuppgifter behandlas?
  2.  Finns det en laglig grund för behandlingen?
    Utred om behandlingen kan stödja sig på någon laglig grund, t.ex. att det är nödvändigt för att fullgöra en rättslig skyldighet eller enligt en intresseavvägning. 
  3.  Om det inte finns någon laglig grund kan ett samtycke behöva inhämtas. Fundera då särskilt på om samtycket verkligen kan inhämtas frivilligt och vad som händer om personen ifråga återkallar sitt samtycke.
  4. Dokumentera viken laglig grund som finns för alla era behandlingar.

 

  

Lagliga grunder enligt GDPR

  • Rättslig skyldighet
  • Fullgöra avtal
  • Intresseavvägning
  • Samtycke
  • Skydd för grundläggande intresse
  • Uppgift om allmänt intresse och myndighetsutövning