Du som rekryterar – har du en laglig grund enligt GDPR?

För att en behandling av personuppgifter ska vara tillåten måste det finns en laglig grund. En första fråga arbetsgivaren bör ställa sig – vid behandling av personuppgifter – är alltså om registreringen överhuvudtaget är laglig?

     

den 17 december 2018 Victoria Ödlund

Enligt GDPR finns det sex olika lagliga grunder. Det är alltså viktigt att kontrollera att man kan stödja sig på en av dessa lagliga grunder för att få behandla en personuppgift. 

I en rekryteringsprocess behandlas oftast många olika typer av personuppgifter, såväl känsliga som mer harmlösa. Var och en av dessa kräver en laglig grund för att man t ex ska få registrera, sprida, spara eller radera dem.

Med personuppgifter avses ”varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras”. Det är alltså en vid definition som omfattar i stort sett alla uppgifter som kan förekomma i en rekryteringsprocess, exempelvis:

  • CV och personligt brev
  • Anteckningar från anställningsintervju
  • Testresultat
  • Anteckningar från referenstagning
  • Betyg och intyg
  • Hälsoutlåtande
  • Utdrag ur belastningsregister

Läs mer: Få koll på regelverket och GDPR för företag med Servicepaket Dataskydd

Intresseavvägning vanlig laglig grund

Den mesta personuppgiftsbehandlingen vid en rekrytering faller under intresseavvägning. Arbetsgivare kan alltså behandla personuppgifter så länge som det är nödvändigt för att bedöma om sökande är lämplig för rollen. Här ska man i sin bedömning utgå från kraven enligt kravprofilen. CV, betyg/intyg, kunskapstester och certifikat av olika slag faller oftast under den grunden.

I vissa fall krävs däremot samtycke, t ex för att få behandla personlighetstester. Detta på grund av att personlighetstester generellt inte anses som strängt taget nödvändigt för att kunna bedöma den sökandes lämplighet. Det är också något som Datainspektionen anser vara integritetskänsliga uppgifter.

För att få behandla uppgifter om lagöverträdelser, t ex utdrag ur belastningsregister, krävs att man har en rättslig skyldighet att göra detta. Det finns vissa lagar som är aktuella här, t ex skollagen, där det är ett krav för att den anställde ska få arbeta med barn.

Tips på hur du kan göra en laglighetsbedömning

  1. Bestäm syftet med behandlingen, d v s varför ska dessa personuppgifter behandlas?
  2.  Finns det en laglig grund för behandlingen?
    Utred om behandlingen kan stödja sig på någon laglig grund, t.ex. att det är nödvändigt för att fullgöra en rättslig skyldighet eller enligt en intresseavvägning. 
  3.  Om det inte finns någon laglig grund kan ett samtycke behöva inhämtas. Fundera då särskilt på om samtycket verkligen kan inhämtas frivilligt och vad som händer om personen ifråga återkallar sitt samtycke.
  4. Dokumentera viken laglig grund som finns för alla era behandlingar.

 

  

Lagliga grunder enligt GDPR

  • Rättslig skyldighet
  • Fullgöra avtal
  • Intresseavvägning
  • Samtycke
  • Skydd för grundläggande intresse
  • Uppgift om allmänt intresse och myndighetsutövning
   

Missa inte vårt gratis webinar:

AGI - rapportera lön för utländsk personal


Från den 1 januari 2019 ska alla företag lämna sina arbetsgivardeklarationer på individnivå - AGI. I det här webinaret kommer Hanna Lagerkvist, skatteexpert hos Tholin & Larsson, gå igenom vad som är nytt vad gäller rapporteringen av skatt och sociala avgifter för utländsk personal.

Med konkreta exempel kommer vi att visa på hur rapporteringen på individnivå kan se ut för både hitsänd och utsänd personal. Du kan även passa på att ställa dina egna frågor till Hanna under frågestunden!

Tid: 21 mars kl 10:00  Till anmälan