Gdpr är lagen som sätter ramarna


2019-05-13 - TEMA. Det som kommer fram i en bakgrundskontroll får inte lagras, och senast inom en månad måste du informera den arbetssökande om allt som kommer fram. Gdpr-experten Karl- Fredrik Björklund, advokat och partner på Advokatfirman Carler, reder ut vad som g­äller.

Karl-Fredrik Björklund, advokat och gdpr-expert.Foto. Henrik Montgomery/TT

De uppgifter som kommer fram i en bakgrundskontroll som inte rör brottsuppgifter och hälsouppgifter går ­normalt bra att behandla och lagra så länge det behövs. Om det till exempel rör en person som ska rekryteras får man spara informationen tills rekryteringen är avslutad.

– Arbetsgivaren måste dock informera arbetssökanden om alla uppgifter man får in och det måste ske inom en månad. Anlitar man ett bakgrundskontrollföretag är det vanligtvis de som är skyldiga att lämna denna information, säger Karl- Fredrik Björklund.

Det är förbjudet att lagra brottsuppgifter om det inte finns särskilda lagregler som stödjer det. Hälsouppgifter får inte heller lagras utan att den som kontrolleras samtycker till det, vilket normalt är praktiskt omöjligt. Den typen av samtycke betraktas inte som frivilligt, eftersom den a­rbetssökande kan känna sig tvingad till det.

En arbetsgivare eller ett bakgrundskontrollföretag kan också ansöka om tillstånd hos Datainspektionen att få b­ehandla och lagra personuppgifter som rör brott.

– Datainspektionen gör då en prövning av om syftet, ä­ndamålet och annat i bakgrundskontrollen är acceptabelt, om det är rimligt och nödvändigt, samt om uppgifterna behandlas säkert.

Om det inte finns undantag får man i en rapport om en arbetssökande alltså inte skriva något om hen har varit dömd för något brott eller hur personens sjukdomshistorik sett ut.

– Det man får ha är en ruta där det står, ”har hittat n­ågot”, alternativt ”har inte hittat något”, och så får man ta den information man hittat muntligt.

Om ett externt företag gör bakgrundskontrollerna behöver man kontrollera om företaget har rätt att behandla uppgifterna och vilka typer av uppgifter de ska granska.

– Är det brottsuppgifter och hälsouppgifter, då kan det bli problem. Man behöver också kontrollera att bakgrundskontrollföretaget har bra it-säkerhet så att uppgifterna inte läcker till obehöriga.

– Enligt gdpr är det normalt bakgrundskontrollföretaget som är personuppgiftsansvarig, vilket innebär att de har huvudansvaret för att följa gdpr och inte kunden, säger Karl- Fredrik Björklund.

ELSA FRIZELL

Läs också:

Litar du på kandidaten?

Registerkoll kan bli förbjuden

Facken stoppade kontroller på storföretaget

Så gör du bakgrundskontroll


JUST NU PÅ FÖRSTA SIDAN