Ett stort ansvar läggs just nu på den enskilde arbetsgivaren när det gäller bakgrundskontroller, menar arbetsrättsjuristen Andrea Cartriers Lagnefors.
1. Göra bakgrundskontroller på alla jobbsökande – utan koppling till tjänsten
För att bakgrundskontroller ska följa GDPR får de bara göras när de är relevanta för den aktuella rollen och intresset av att göra en kontroll är starkare än arbetssökandes intresse av personlig integritet. Att göra generella eller rutinmässiga kontroller av alla anställda oavsett roll är därför inte förenligt med GDPR.
2. Kolla en jobbsökares sociala medier (särskilda regler gäller för Linkedin)
Att granska en kandidats privata inlägg på exempelvis Facebook kan anses utgöra en del av en bakgrundskontroll och riskerar att bryta mot GDPR – om det inte är relevant för den aktuella rollen.
– Linkedin däremot, är mer av ett professionellt nätverk, och det ställer sällan till med problem. Många länkar också till sin Linkedin-profil när de söker jobb, säger Andrea Cartriers Lagnefors.
– Samtidigt är att kolla någons sociala medier ett exempel på en typ av ”slentrianmässig” kontroll där det är extremt svårt att övervaka efterlevnaden.
3. Spara uppgifter i onödan
När en rekrytering är avslutad ska material som inte längre är nödvändigt raderas som utgångspunkt. Uppgifter som behövs för att till exempel hantera eventuella diskrimineringsärenden får sparas under en begränsad tid.
– Spara heller aldrig uppgifter om till exempel brottshistorik, inte ens genom en egen notering om vad som framgått av en kontroll av belastningsregister.
4. Förlita dig på samtycke som rättslig grund
– Samtycke är en rättslig grund i GDPR, men ska undvikas i detta sammanhang, då det ofta inte anses kunna finnas äkta samtycke mellan en arbetssökande/arbetstagare och arbetsgivare på grund av maktförhållandet. Ett samtycke kan också alltid tas tillbaka av den som kontrolleras. Utgå i stället från intresseavvägning.
5. Göra kontroller utan att informera kandidaten
Den som kontrolleras ska dock alltid innan en bakgrundskontroll påbörjas informeras om vad som granskas, varför och av vem. Personen har också rätt att ta del av resultatet och be om att informationen raderas.
Känner du att reglerna kring bakgrundskontroller är svåra att förstå? Du är inte ensam. Området är så pass komplext att regeringen nyligen har tillsatt en särskild utredning med uppdraget att ta fram ett nytt regelverk.
Bakgrunden till utredningen är rapporter om att kriminella nätverk försöker ta sig in i offentliga och privata verksamheter – genom att söka jobb, påverka beslut eller läcka information. Bakgrundskontroller vid rekrytering har blivit ett centralt instrument i frågan.
– Bakgrundskontroller är ett viktigt verktyg för att stärka samhällets motståndskraft mot den organiserade brottsligheten, sa justitieminister Gunnar Strömmer i ett pressmeddelande när utredningen presenterades.
Utöver detta pågår även en rättsprocess i EU-domstolen om databaser som Lexbase och Mrkoll. Utgången kan påverka hur brottmålsdomar kommer att användas i bakgrundskontroller framöver.
Läs mer: HD-dom försvårar bakgrundskontroller
Osäkert rättsläge för arbetsgivare
För chefer och HR-avdelningar råder under tiden en gråzon kring vad som faktiskt är lagligt.
– Det är ett oklart och svårt rättsläge, säger Andrea Cartriers Lagnefors, arbetsrättsjurist på konsultbyrån Helj. Det finns inte heller en enhetlig definition av begreppet bakgrundskontroll, vilket inte förenklar situationen.
– Det gör att ett stort ansvar just nu läggs på den enskilda arbetsgivaren.
Bakgrundskontroller med eller utan lagstöd
Bakgrundskontroller kan delas upp i två spår: de som har lagstöd eller lagkrav, och de som inte har det. Det är i det senare spåret som de flesta frågor – och misstag – uppstår.
1. Där det finns lagstöd eller lagkrav
Inom exempelvis verksamheter som rör barn, äldre eller säkerhetsklassade uppdrag är reglerna klara: bakgrundskontrollen är lagstadgad och krävs innan anställning. Vid arbete med barn och unga krävs till exempel en kontroll av arbetssökandes belastningsregister.
2. Där det saknas lagstöd – den oklara zonen
För andra verksamheter finns varken något uttryckligt förbud mot, eller lagstöd för, att utföra bakgrundskontroller. Eftersom en sådan kontroll utgör behandling av personuppgifter blir det dock viktigt att följa GDPR.
– För att behandla personuppgifter krävs alltid en rättslig grund, vilket för arbetsgivare i privat sektor brukar vara intresseavvägning. Det innebär att arbetsgivarens behov av att genomföra kontrollen vägs mot kandidatens rätt till personlig integritet, förklarar Andrea Cartriers Lagnefors.
– Det är här de flesta arbetsgivare borde stanna upp. Man måste nämligen kunna visa att kontrollen är nödvändig för den aktuella tjänsten, och att inga mindre ingripande åtgärder kan vidtas i stället.
Privat och offentlig sektor – olika förutsättningar
Utgångspunkterna när det gäller bakgrundskontroller skiljer sig även mellan offentlig och privat sektor.
– Offentliganställda har ett starkare skydd mot övervakning i arbetslivet, samt för sin personliga integritet som bara får begränsas genom lag. Vid rekrytering finns dessutom lagkrav på att beslut om anställning endast ska bygga på sakliga grunder.
I privat sektor finns större handlingsutrymme överlag vid rekrytering, med färre regler och en starkare fri anställningsrätt. Den rätten innebär att arbetsgivaren har rätt att välja vem som ska anställas, så länge beslutet inte strider mot till exempel diskrimineringslagen.
– En bakgrundskontroll är dock fortfarande bara tillåten om den bygger på ett berättigat intresse, är nödvändig och i övrigt följer GDPR:s principer för att inte kränka den personliga integriteten.
Läs mer: Betalningsanmärkningar och Facebook – allt fler kollar upp sina jobbsökande
Så kan du förhålla dig som arbetsgivare
Hur ska man då göra som arbetsgivare i det här oklara läget – där risken att göra fel är stor?
– Börja med att skapa en intern rutin eller policy, säger Andrea Cartriers Lagnefors. Red ut frågor som: När kan det vara aktuellt för oss att göra bakgrundskontroll? För vilka befattningar har vi ett berättigat intresse? Vilka uppgifter ska vi samla in och hur? Vilka på företaget ska vara delaktiga i en sådan process? Hur hanterar vi resultaten? Ska vi göra bakgrundskontrollerna själva eller anlita en leverantör?
– Att hitta uppgifterna om en person är faktiskt sällan den svåra delen – mycket är offentligt. Det svåra är att göra det på ett sätt som är förenligt med GDPR. Därför väljer många arbetsgivare att ta hjälp av bakgrundskontrollsföretag. På IMY:s hemsida finns en lista över bakgrundskontrollsleverantörer som har tillstånd att behandla personuppgifter om lagöverträdelser i samband med bakgrundskontroller. De prövas regelbundet.
Läs mer: Oklara riktlinjer om bakgrundskontroller: ”Ta inga beslut ni inte kan motivera”
