För att en behandling av personuppgifter ska vara tillåten måste det finns en laglig grund. En första fråga arbetsgivaren bör ställa sig – vid behandling av personuppgifter – är alltså om registreringen överhuvudtaget är laglig?
Enligt GDPR finns det sex olika lagliga grunder. Det är alltså viktigt att kontrollera att man kan stödja sig på en av dessa lagliga grunder för att få behandla en personuppgift.
I en rekryteringsprocess behandlas oftast många olika typer av personuppgifter, såväl känsliga som mer harmlösa. Var och en av dessa kräver en laglig grund för att man t ex ska få registrera, sprida, spara eller radera dem.
Med personuppgifter avses ”varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras”. Det är alltså en vid definition som omfattar i stort sett alla uppgifter som kan förekomma i en rekryteringsprocess, exempelvis:
Läs mer: Få koll på regelverket och GDPR för företag med Servicepaket Dataskydd
Den mesta personuppgiftsbehandlingen vid en rekrytering faller under intresseavvägning. Arbetsgivare kan alltså behandla personuppgifter så länge som det är nödvändigt för att bedöma om sökande är lämplig för rollen. Här ska man i sin bedömning utgå från kraven enligt kravprofilen. CV, betyg/intyg, kunskapstester och certifikat av olika slag faller oftast under den grunden.
I vissa fall krävs däremot samtycke, t ex för att få behandla personlighetstester. Detta på grund av att personlighetstester generellt inte anses som strängt taget nödvändigt för att kunna bedöma den sökandes lämplighet. Det är också något som Datainspektionen anser vara integritetskänsliga uppgifter.
För att få behandla uppgifter om lagöverträdelser, t ex utdrag ur belastningsregister, krävs att man har en rättslig skyldighet att göra detta. Det finns vissa lagar som är aktuella här, t ex skollagen, där det är ett krav för att den anställde ska få arbeta med barn.
Lagliga grunder enligt GDPR
|
