Rekryteringssystem och kompetensdatabaser
En arbetsgivare har ett berättigat intresse av att rekrytera anställda för att se till att verksamheten bedrivs på ett ändamålsenligt sätt.
Intern och extern rekrytering kan utgå från kompetensdatabaser och utföras med hjälp av rekryteringssystem. Behandling av personuppgifter i sådana databaser och system måste stödjas på en rättslig grund. Rättsliga grunder för att behandla personuppgifter vid rekrytering är normalt intresseavvägning eller ett allmänt intresse (om arbetsgivaren är en myndighet).
Samla bara in nödvändiga uppgifter och radera dem när de inte länge behövs
Intern och extern rekrytering av arbetstagare kan utföras med hjälp av rekryteringssystem. En arbetsgivare får i samband med rekrytering bara behandla sådana uppgifter som är nödvändiga för ändamålet, det vill säga uppgifter som behövs för att bedöma om någon är lämplig för en viss tjänst.
Personuppgifter i en ansökan, anteckningar från intervjuer och referenser får behandlas så länge som uppgifterna är nödvändiga för rekryteringsförfarandet. Därefter ska de som utgångspunkt raderas eller avidentifieras. Arbetsgivaren får spara uppgifterna så länge den sökande kan vidta rättsliga åtgärder, till exempel om den som inte fått jobbet kan överklaga anställningen. Om arbetsgivaren vill spara uppgifterna för att använda vid framtida rekrytering krävs att den sökande samtycker till det. Arbetsgivare som är myndigheter behöver följa kraven på att bevara allmänna handlingar om det inte finns stöd för gallring, till exempel i gallringsföreskrifter.
Tänk på att bara behandla sådana uppgifter som är nödvändiga för syftet. Behandlingen får aldrig vara mer ingående eller omfattande än vad som krävs för att tillsätta en specifik tjänst. Utrymmet för att behandla fler uppgifter eller viss integritetskänslig information kan vara större vid tillsättningen av tjänster med stort ansvar, till exempel ekonomiskt ansvar, personalansvar eller säkerhetsansvar.
Det är normalt inte tillåtet för en arbetsgivare att i samband med rekrytering behandla känsliga personuppgifter eller uppgifter om lagöverträdelser.
Personuppgifter som rör lagöverträdelser
Samtycke är sällan lämplig som rättslig grund
Europeiska dataskyddsstyrelsen, EDPB, har i sina riktlinjer om samtycke uttalat att det är problematiskt att arbetsgivare behandlar befintliga eller framtida anställdas personuppgifter baserat på samtycke, eftersom det är osannolikt att samtycket ges frivilligt.
I rekryteringssammanhang kan det därför vara olämpligt för en arbetsgivare att använda samtycke som rättslig grund för en personuppgiftsbehandling. Den enskildes egna inställning kan dock vägas in vid bedömningen av om behandlingen är tillåten. I vissa situationer kan det vara lämpligt att tillfråga den arbetssökande eller anställda innan behandlingen påbörjas, till exempel innan ett personlighetstest.
Arbetsgivaren bör dock som regel ha stöd i en annan rättslig grund än samtycke, exempelvis en intresseavvägning eller ett allmänt intresse.
Uppgifter i en kompetensdatabas måste vara sakliga och korrekta
I kompetensdatabaser för intern rekrytering kan det vara berättigat att behandla faktauppgifter om till exempel utbildningar och arbetslivserfarenhet, men också värderande uppgifter om den anställda som är sakligt motiverade.
I en kompetensdatabas kan arbetsgivare i vissa fall också ha behov av att behandla resultat från personlighetstester eller liknande. Sådana personuppgifter är integritetskänsliga och medför generellt sett större risker för den enskilda. En arbetsgivare som vill behandla sådana uppgifter behöver därför noggrant överväga behovet av det.
I de fall som behandlingen kan anses nödvändig för ändamålet ska arbetsgivaren säkerställa att behandlingen medför ett så begränsat integritetsintrång som möjligt för den enskilda. Det är viktigt att det finns rutiner och instruktioner som tillämpas i verksamheten och att anställda som arbetar med rekryteringssystem och kompetensdatabaser får relevant utbildning.
En offentlig arbetsgivare behöver också väga in om personuppgifterna kan behöva lämnas ut enligt offentlighetsprincipen. Arbetsgivare måste alltid se till att uppgifter om både anställda och arbetssökande är sakliga och formuleras på ett korrekt sätt. Uppgifterna får inte vara kränkande.
Att använda fritextfält ökar risken för otillåten behandling. Det är därför bra att använda fördefinierade uppgifter i exempelvis kryssfält eller rullistor.
Automatiserade beslut är generellt förbjudet
Både befintliga och framtida anställda har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inklusive profilering, om beslutet kan ha rättsliga följder eller på liknande sätt i betydande grad påverkar honom eller henne. Automatiserat beslutsfattande kan till exempel vara ett nekande besked från e-rekrytering via internet utan personlig kontakt.
Profilering innebär varje form av automatisk behandling av personuppgifter då uppgifterna används för att bedöma vissa personliga egenskaper, exempelvis för att analysera eller förutsäga personens arbetsprestationer.
Information till anställda och andra frågor att ta ställning till
Generellt gäller att uppgifter om anställda och arbetssökande i princip inte får behandlas utan att den enskilde känner till det. En generell princip enligt dataskyddsförordningen är att de registrerade ska få information om att den personuppgiftsansvariga samlar in personuppgifter, få veta varför de samlas in och hur de sedan används.
Personuppgiftsansvaret behöver utredas när kompetensdatabaser används i koncerner och andra större organisationer, eller när man anlitar ett rekryteringsföretag. Det är den personuppgiftsansvariga som ska se till att dataskyddsförordningen följs. Vem som är personuppgiftsansvarig beror på vem eller vilka som bestämmer ändamålen och medlen med behandlingen, till exempel vilka uppgifter som ska behandlas, vad de ska användas till och när de ska raderas.
Arbetsgivarens personuppgiftsansvar
Arbetsgivaren behöver överväga om det krävs en konsekvensbedömning innan behandlingen påbörjas. Ett exempel på en behandling som kräver konsekvensbedömning är när rekryteringsföretag inrättar kandidat- eller kompetensdatabaser, eller verksamheter som utför bakgrundskontroller inför rekryteringar.
Vilka måste göra en konsekvensbedömning?