OBS! Den här artikeln är publicerad för mer än ett år sedan.Det kan innebära att reglerna kan vara ändrade. För att säkerställa att du alltid har rätt information så rekommenderar vi att du abonnerar på något av våra Servicepaket.
Det är viktigt att kontrollera att man kan stödja sig på en av de sex lagliga grunderna i GDPR för att få behandla en personuppgift, skriver Victoria Ödlund, HR-expert på Tholin & Larsson.
Du som rekryterar – har du en laglig grund enligt GDPR?
För att en behandling av personuppgifter ska vara tillåten måste det finns en laglig grund. En första fråga du bör ställa dig – vid behandling av personuppgifter – är alltså om registreringen överhuvudtaget är laglig?
den 9 maj 2019
Victoria Ödlund
Enligt GDPR finns det sex olika lagliga grunder. Det är alltså viktigt att kontrollera att man kan stödja sig på en av dessa lagliga grunder för att få behandla en personuppgift.
I en rekryteringsprocess behandlas oftast många olika typer av personuppgifter, såväl känsliga som mer harmlösa. Var och en av dessa kräver en laglig grund för att man t ex ska få registrera, sprida, spara eller radera dem.
Med personuppgifter avses ”varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras”. Det är alltså en vid definition som omfattar i stort sett alla uppgifter som kan förekomma i en rekryteringsprocess, exempelvis:
- CV och personligt brev
- Anteckningar från anställningsintervju
- Testresultat
- Anteckningar från referenstagning
- Betyg och intyg
- Hälsoutlåtande
- Utdrag ur belastningsregister
Läs mer: Få koll på regelverket med Servicepaket Dataskydd i arbetslivet
Intresseavvägning vanlig laglig grund
Den mesta personuppgiftsbehandlingen vid en rekrytering faller under intresseavvägning. Arbetsgivare kan alltså behandla personuppgifter så länge som det är nödvändigt för att bedöma om sökande är lämplig för rollen. Här ska man i sin bedömning utgå från kraven enligt kravprofilen. CV, betyg/intyg, kunskapstester och certifikat av olika slag faller oftast under den grunden.
I vissa fall krävs däremot samtycke, t ex för att få behandla personlighetstester. Detta på grund av att personlighetstester generellt inte anses som strängt taget nödvändigt för att kunna bedöma den sökandes lämplighet. Det är också något som Datainspektionen anser vara integritetskänsliga uppgifter.
För att få behandla uppgifter om lagöverträdelser, t ex utdrag ur belastningsregister, krävs att man har en rättslig skyldighet att göra detta. Det finns vissa lagar som är aktuella här, t ex skollagen, där det är ett krav för att den anställde ska få arbeta med barn.
Tips på hur du kan göra en laglighetsbedömning
- Bestäm syftet med behandlingen, d v s varför ska dessa personuppgifter behandlas?
- Finns det en laglig grund för behandlingen?
Utred om behandlingen kan stödja sig på någon laglig grund, t.ex. att det är nödvändigt för att fullgöra en rättslig skyldighet eller enligt en intresseavvägning. - Om det inte finns någon laglig grund kan ett samtycke behöva inhämtas. Fundera då särskilt på om samtycket verkligen kan inhämtas frivilligt och vad som händer om personen ifråga återkallar sitt samtycke.
- Dokumentera viken laglig grund som finns för alla era behandlingar.
Lagliga grunder enligt GDPR
|
Få snabba svar på dina GDPR-frågor
Vet du vilka uppgifter du får lagra om din personal och hur du får hantera dem? Vill du undvika böter för felaktig behandling av personuppgifter?
Välkommen till en enklare arbetsvardag! I Servicepaket Dataskydd i arbetslivet hjälper vi dig få koll på rätt hantering och behandling av personuppgifter.
Välkommen till en enklare arbetsvardag! I Servicepaket Dataskydd i arbetslivet hjälper vi dig få koll på rätt hantering och behandling av personuppgifter.
Prova paketet gratis i 3 dagar
