Hur påverkar GDPR rekryteringsprocessen?

Under en rekryteringsprocess samlas många personuppgifter in för att behandlas av arbetsgivaren. Det innebär att de som arbetar med rekrytering eller som är arbetsgivare behöver ta hänsyn till reglerna om dataskydd. Här kan du läsa om hur uppgifter om arbetssökanden kan hanteras.

Personuppgiftsbehandling kräver i regel att det finns laglig grund. I privat sektor är en lämplig laglig grund vid rekrytering avtal eller berättigat intresse enligt art. 6.1 dataskyddsförordningen. Myndigheter kan stödja sig på den rättsliga grunden allmänt intresse i samma artikel. Samtycke är inte en lämplig laglig grund eftersom samtycket sällan kan anses ha lämnats frivilligt från arbetssökanden.

Vid insamling av uppgifter under en rekryteringsprocess måste arbetsgivaren också följa principerna om ändamålsbegränsning i artikel 5.1 (c) samt uppgiftsminimering i artikel 5.1 (e) GDPR. De innebär att enbart relevanta uppgifter för ändamålet får samlas in och en större mängd uppgifter än nödvändigt får inte behandlas. 

Personlighetstest – Ett personlighetstest kan ge arbetsgivaren en överblick över arbetssökandens personlighet och lämplighet för den sökta tjänsten. Det bör inte vara några problem att samla in vanliga personuppgifter genom ett test. Om ett personlighetstest däremot skulle innehålla uppgifter som kan falla under begreppet känsliga personuppgifter i artikel 9.1 dataskyddsförordningen bör samtycke inhämtas från arbetssökanden innan testet genomförs.

Uppgifter från sociala medier – Personuppgifter som arbetsgivare hämtar från sociala medier, internet, bloggar m.m. omfattas av förordningen. Information som publicerats öppet på digitala plattformar (till exempel på ett LinkedIn-konto som är öppet för fler än användarens kontakter) bör kunna samlas in av arbetsgivaren med berättigat intresse som laglig grund. Det är dock viktigt att inte samla in fler uppgifter än vad som är nödvändigt. Insamling bör därför bara ske från konton som är kopplade till arbetssökandens yrkesroll.

Uppgifter från referenser – Om information från arbetssökandens referenser antecknas och lagras av arbetsgivaren innebär det ytterligare behandling av personuppgifter. Om det förekommer känsliga personuppgifter bör arbetsgivaren först ha arbetssökandens samtycke.

Utdrag ur belastningsregistret – Behandling av uppgifter om brott regleras särskilt i art. 10 GDPR. Myndigheter, och organisationer som har en rättslig förpliktelse att inhämta registerutdrag, får hantera utdrag från belastningsregistret. För andra arbetsgivare är möjligheten begränsad. Datainspektionen har dock tidigare uttalat att förordningen inte blir tillämplig om en arbetsgivare enbart sparar en anteckning om att ett utdrag visats upp och själva registerutdraget omedelbart förstörs.

 Efter avslutad rekryteringsprocess – Skulle arbetsgivaren vilja spara uppgifter om arbetssökanden efter att rekryteringsprocessen avslutats krävs att samtycke inhämtas från den registrerade. Även utan samtycke kan dock arbetsgivaren spara uppgifter som är nödvändiga för att arbetsgivaren ska kunna försvara sig i eventuella rättsprocesser i framtiden, exempelvis om en arbetssökande anser sig ha blivit diskriminerad.

Vill du ta del av jurist Didrik Värmons analys i sin helhet?

Läs mer om informationstjänsten JP Arbetsrättsnet.

Vill du lära dig mer om dataskydd för HR och chefer?

Missa inte kursen Dataskydd för HR och chefer med personalansvar inom offentlig sektor den 13 februari 2020  i Stockholm. Under en dag riktar vi in oss på praktiskt dataskyddsarbete i förvaltningen och för den egna personalen, med avstamp i GDPR, dataskyddslagen, förvaltningslagen och övrig relevant lagstiftning.

Publicerad 6 dec 2019