Här får du juristens 9 punkter att fundera över inför en bakgrundskontroll, samt vad som får kontrolleras och varför vissa kontroller är tveksamma.
Det finns olika regelsystem som arbetsgivare behöver förhålla sig till, där GDPR, eller Dataskyddsförordningen är central.
För att få göra en bakgrundskontroll ska det finnas ett tydligt och berättigat syfte. Kontrollen ska stå i proportion till syftet, det kan exempelvis vara fråga om en kontroll som ger en laglig förutsättning att få verka inom en bransch.
Innan en bakgrundskontroll utförs måste kandidaten informeras om hur aktuella personuppgifter behandlas under rekryteringsförfarandet. Informationen ska vara specifik och precisera vilka uppgifter som samlas in. Kandidaten måste få möjlighet att avbryta ansökningsförfarandet.
Det är viktigt att kontrollera hur informationen får hanteras, vad och till vem ska den kommuniceras. Kretsen ska inte vara större än nödvändigt. Information som man inte bett om, men som framkommit ändå, ska inte användas eller sparas.
En arbetsgivare får inte ha något eget brottsregister över de anställda. Det finns många privata databastjänster med utgivningsbevis som samlar in och säljer information om integritetskänsliga uppgifter. Det går inte att kringgå GDPR genom att lägga ut hanteringen på en extern aktör. Detta utgör en personuppgiftsbehandling oavsett hur man får materialet presenterat för sig. Det räcker att man läser uppgifterna från en skärm eller hanterar informationen på något annat sätt.
Personuppgifter i en ansökan, intervjuanteckningar, bakgrundskontroller och uppgifter från referenser får registreras och sparas så länge de är nödvändiga för ansökningsförfarandet. När kandidaten antingen anställts eller inte längre är aktuell för tjänsten, ska de personuppgifter som samlades in i samband med bakgrundskontrollen raderas snarast möjligt. I annat fall krävs samtycke.
När det gäller redan anställda hämtas informationen ofta från företag som sammanställer brottmålsdomar från domstolarna samt uppgifter om ekonomin exempelvis från Kronofogdemyndigheten. Syftet är att upptäcka om individerna under pågående anställning blivit dömda för vissa brott eller har ekonomiska svårigheter. Motivet är att förhindra korruption, bidragsfusk och undvika organiserad brottslighet i offentliga verksamheter.
Kontrollerna görs som regel av en extern firma. Dataskyddsförordningen GDPR, innebär bland annat att känsliga personuppgifter i offentlig verksamhet bara får behandlas om det finns laglig grund. En arbetsgivare får inte ha något eget brottsregister över de anställda.
Catharina Klåvus, förbundsjurist
9 punkter att fundera över inför en bakgrundskontroll
Som arbetsgivare är det relevant att ställa följande frågor innan en bakgrundskontroll beslutas:
- Vilken lagligt rättslig grund finns för att inhämta personuppgifterna?
- Finns ett berättigat syfte, står kontrollen i proportion till syftet och är informationen relevant och adekvat?
- Vem inom företaget ska ha befogenhet att utföra bakgrundskontroller?
- Vilka personuppgifter får inhämtas?
- Vilka är källorna?
- Vilken position har befattningen ska tillsättas?
- När ska personuppgifterna raderas?
- När och hur kommer kandidaten att informeras innan en bakgrundskontroll vidtas?
- Hur ska bakgrundskontrollen och omfånget av denna genomföras och hanteras?
Då är det vanligt att arbetsgivaren gör en bakgrundskontroll:
- Om en sökande behöver kontrolleras för att få lagliga förutsättningar att verka i sin bransch, till exempel för att uppfylla krav inom finanssektorn, försäkringsbranschen, vissa befattningar inom domstolsväsendet samt inom barn-, vård och omsorg. Kontroller görs också av personal som kommer att ha säkerhetsklassade tjänster och tjänster som är känsliga för rikets säkerhet. Som exempel kan nämnas anställda vid Försvarsmakten samt vissa it-tjänster.
- Utdrag ur belastningsregister samt säkerhetsprövningar av myndigheten och/eller Säpo är i dessa fall lagreglerade.
- En rutin för hanteringen bör upprättas för att säkerställa att hanteringen ska ske i enlighet med gällande regler. Kontakta alltid tillsynsmyndigheten (IMY), för råd och bedömning i varje enskilt fall. I övrigt finns inget lagstöd för arbetsgivare att begära utdrag ut belastningsregistret.
Bakgrundskontrollerskontroller som kan vara tveksamma och hanteras fel:
- Sociala medier. En sökning på en kandidats Facebook-konto är ofta av ren privat karaktär och har inte direkt relevans för en yrkesroll. Däremot kan det vara befogat och relevant att kontrollera en kandidats Linkedinkonto, på grund av kopplingen till arbetslivet.
- Kreditupplysning. Enligt kreditupplysningslagen är det bara tillåtet att ta en kreditupplysning om det finns ett legitimt behov av informationen, exempelvis för att göra en ekonomisk riskbedömning. Det är endast relevant för kandidater som söker en tjänst med ett finansiellt ansvar eller liknande.
- Utdrag från belastningsregister. Det blir allt vanligare att kandidater – utan lagstöd - blir ombedda att visa upp ett utdrag från belastningsregister. Det är som regel är förbjudet att behandla uppgifter om lagöverträdelser. Uppgifterna i belastningsregisterutdraget får inte sparas, kopieras eller nedtecknas.
- Bakgrundskontroller på befintligt anställda. Motivet för att göra en bakgrundskontroll på redan anställda medarbetare är att för förhindra korruption, bidragsfusk och undvika organiserad brottslighet i offentliga verksamheter. När det gäller redan anställda medarbetare hämtas informationen ofta från externa företag som sammanställer brottmålsdomar från domstolarna samt uppgifter om privatekonomi exempelvis från Kronofogdemyndigheten. Syftet är att upptäcka om individerna under pågående anställning blivit dömda för vissa brott eller har ekonomiska svårigheter. De brott som oftast aktualiseras är sexualbrott, narkotikabrott, våldsbrott och ekonomisk brottslighet.
Läs också: Varning för oskäliga anställningsavtal
Läs också: Kolla jobbavtalet – innan du tackar ja
Läs också: Så rekryterar avatarer kandidater
Publicerad