Den här artikeln är publicerad för mer än ett år sedan
Var uppmärksam på att lagar och regler ändras med jämna mellanrum. För att vara säker på att du alltid har korrekt och uppdaterad information tillgänglig rekommenderar vi att du abonnerar på något av våra Expertstöd. Jag vill ta steget mot en enklare arbetsvardag!
Enligt GDPR finns det sex olika lagliga grunder. Det är alltså viktigt att kontrollera att man kan stödja sig på en av dessa lagliga grunder för att få behandla en personuppgift.
I en rekryteringsprocess behandlas oftast många olika typer av personuppgifter, såväl känsliga som mer harmlösa. Var och en av dessa kräver en laglig grund för att man t ex ska få registrera, sprida, spara eller radera dem.
Med personuppgifter avses ”varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras”. Det är alltså en vid definition som omfattar i stort sett alla uppgifter som kan förekomma i en rekryteringsprocess, exempelvis:
- CV och personligt brev
- Anteckningar från anställningsintervju
- Testresultat
- Anteckningar från referenstagning
- Betyg och intyg
- Hälsoutlåtande
- Utdrag ur belastningsregister
Läs mer: Få koll på regelverket med Servicepaket Dataskydd i arbetslivet
Intresseavvägning vanlig laglig grund
Den mesta personuppgiftsbehandlingen vid en rekrytering faller under intresseavvägning. Arbetsgivare kan alltså behandla personuppgifter så länge som det är nödvändigt för att bedöma om sökande är lämplig för rollen. Här ska man i sin bedömning utgå från kraven enligt kravprofilen. CV, betyg/intyg, kunskapstester och certifikat av olika slag faller oftast under den grunden.
I vissa fall krävs däremot samtycke, t ex för att få behandla personlighetstester. Detta på grund av att personlighetstester generellt inte anses som strängt taget nödvändigt för att kunna bedöma den sökandes lämplighet. Det är också något som Datainspektionen anser vara integritetskänsliga uppgifter.
För att få behandla uppgifter om lagöverträdelser, t ex utdrag ur belastningsregister, krävs att man har en rättslig skyldighet att göra detta. Det finns vissa lagar som är aktuella här, t ex skollagen, där det är ett krav för att den anställde ska få arbeta med barn.
Tips på hur du kan göra en laglighetsbedömning
- Bestäm syftet med behandlingen, d v s varför ska dessa personuppgifter behandlas?
- Finns det en laglig grund för behandlingen?
Utred om behandlingen kan stödja sig på någon laglig grund, t.ex. att det är nödvändigt för att fullgöra en rättslig skyldighet eller enligt en intresseavvägning. - Om det inte finns någon laglig grund kan ett samtycke behöva inhämtas. Fundera då särskilt på om samtycket verkligen kan inhämtas frivilligt och vad som händer om personen ifråga återkallar sitt samtycke.
- Dokumentera viken laglig grund som finns för alla era behandlingar.
Lagliga grunder enligt GDPR
|
Gratis webinar: Kompetensutveckling – nyckeln till ett bra ledarskap
Ett av de viktigaste uppdragen en ledare har är att påverka andra genom utveckling, kulturbyggande och engagemang. Om du som ledare inte finns där för att påverka dina medarbetare, så finns det inget ledarskap. Men hur gör du då för att påverka andra? Och hur hänger det ihop med att bygga en lärande organisation?
