Arbetsliv - GDPR
Rekryteringssystem och kompetensdatabaser
Det är vanligt att arbetsgivare behandlar personuppgifter när de rekryterar personal. Detsamma gäller vid användning av kompetensdatabaser.
Användning av Rekryteringssystem och kompetensdatabaser
Det är viktigt att tänka på att inte behandla fler personuppgifter än nödvändigt för syftet. Dessutom är det viktigt att radera eller anonymisera personuppgifterna, när de inte längre är nödvändiga att behandla för syftet de blev insamlade för. I vissa fall kan det också vara lämpligt att genomföra en konsekvensbedömning om dataskydd, innan den tilltänkta behandlingen blir utförd.
Undvik samtycke
- Samtycke (Artikel 6(1)(a) GDPR) är inte alltid en lämplig eller tillåten rättslig grund att stödja en behandling på. Detta gäller bland annat när maktförhållandet mellan den registrerade och personuppgiftsansvarige inte är jämlikt. Till exempel mellan en arbetsgivare och arbetstagare, eller mellan en myndighet och medborgare. Däremot kan det vara tillåtet och lämpligt i vissa fall, såsom om den anställde vill göra ett personlighetstest.
Rättslig grund vid behandling av personuppgifter i samband med rekrytering
Den rättsliga grunden som arbetsgivaren kan använda för behandling av personuppgifter i samband med rekrytering skiljer sig åt, beroende på om arbetsgivaren är ett privat företag eller en myndighet.
Berättigat intresse
Det är vanligt att använda den rättsliga grunden berättigat intresse (Artikel 6(1)(f) GDPR) när en arbetsgivare rekryterar personal, om det är ett privat företag. Berättigat intresse innebär att företaget har gjort en intresseavvägning och kommit fram till att deras intresse till att genomföra behandlingen väger tyngre än den registrerades intressen och rättigheter.
Allmänt intresse
Om arbetsgivaren är en myndighet, brukar de använda den rättsliga grunden myndighetsutövning och uppgift av allmänt intresse (Artikel 6(1)(e) GDPR). Myndigheter får nämligen inte använda berättigat intresse som rättslig grund i sin myndighetsutövning.
Informera de registrerade om behandlingen av deras personuppgifter
An employer shall inform data subjects about the processing of their personal data. In this case, the employees of the employer are to be regarded as a category of data subjects under the GDPR.
For example, employees have the right to know why the employer processes their personal data and on what legal basis the employer supports the processing. In addition, they must be informed about their rights under the GDPR.
When shall the employer provide the information about the processing to the employees?
En arbetsgivare ska informera de registrerade gällande behandlingen av deras personuppgifter. I detta fall är de anställda i egenskap av arbetsgivarens personal att betrakta som en kategori av registrerade enligt GDPR.
Till exempel har de anställda rätt att veta varför arbetsgivaren behandlar personuppgifterna och vilken rättslig grund arbetsgivaren stödjer behandlingen på. Dessutom ska de få information gällande deras rättigheter enligt GDPR.
I vissa fall kan arbetsgivaren få tillgång till personuppgifterna från den anställde direkt. Då gäller artikel 13 i GDPR. Vid sådana fall ska arbetsgivaren informera de anställda senast i samband med att personuppgifterna blir insamlade.
Denna tidpunkt skiljer sig år från när arbetsgivaren istället samlar in personuppgifterna från en annan källa. Vid sådana fall gäller artikel 14 i GDPR. Då ska de anställda få information om behandlingen inom en rimlig tid, men inte senare än en månad efter behandlingen. Men om personuppgifterna ska användas för kommunikation med den registrerade, ska informationen tillhandahållas senast vid tidpunkten för den första kommunikationen med den registrerade. Ifall arbetsgivaren avser att göra ett utlämnande till en annan mottagare, ska informationen om behandlingen ges senast när personuppgifterna lämnas ut för första gången.
Användning av rekryteringssystem vid rekrytering av ny personal till verksamheten
Det är vanligt att arbetsgivare använder ett rekryteringssystem vid rekrytering av ny personal till verksamheten. Det gäller både intern och extern rekrytering. Observera att det inte är tillåtet att behandla fler personuppgifter än nödvändigt för syftet med behandlingen. Med andra ord är det inte tillåtet att behandla fler personuppgifter än nödvändigt för att kunna göra bedömningen om huruvida en person är lämplig för tjänsten eller inte.
Företag bör därför tänka på att inte ha en för långtgående behandling för den specifika tjänsten. Exempelvis bör arbetsgivaren undvika att behandla integritetskänslig information. Exempel på integritetskänslig information är uppgifter om lagöverträdelser. Dessutom bör företaget inte behandla känsliga personuppgifter enligt GDPR vid rekrytering, men det finns undantag. Till exempel kan det vara relevant för en produktionsfabrik inom livsmedel att känna till om de anställda har några relevanta allergier. Information om allergier är en känslig personuppgift enligt artikel 9 i GDPR, eftersom det utgör information om en individs hälsa.
Om en tjänst innebär ett stort ansvar, såsom inom ekonomi eller säkerhetsmässigt, kan det vara mer lämpligt att begära mer omfattande information om de potentiella arbetstagarna, än om personen arbetar inom kundtjänst med enklare administrativa uppgifter.
Tidsfrist för behandlingen av personuppgifter i samband med rekrytering
Enligt huvudregeln i GDPR ska företag radera personuppgifter, när de inte längre är nödvändiga för ändamålet som de blev inhämtade för. Däremot kan företaget behöva spara vissa uppgifter längre, om det krävs för att följa en annan tillämplig lagstiftning. Till exempel brukar företag behöva spara fakturor och kvitton i ett visst antal år enligt sin nationella bokföringslagstiftning.
När en arbetsgivare ska rekrytera en person, brukar de behandla personuppgifter såsom namn, anteckningar från intervjun, eventuella referenser m.m. Personuppgifterna ska bli raderade när de inte längre är nödvändiga för ansökningsförfarandet. Däremot får företaget spara personuppgifter under den tid som den anställda kan vidta rättsliga åtgärder mot företaget. Exempelvis om personen kan överklaga ett avslag på en tjänst.
Observera att företag kan välja att avidentifiera personuppgifterna, istället för att radera dem.
Fortsätta lagra personuppgifter i en kandidatpool för framtida rekrytering
En arbetsgivare kan tycka att det vore bra att spara arbetssökandes personuppgifter i en kandidatpool för framtida rekrytering. Däremot är det inte tillåtet att göra med stöd i den rättsliga grunden berättigat intresse. Vid sådana fall behöver arbetsgivaren istället få ett giltigt samtycke från arbetssökanden.
Behandla personuppgifter i kompetensdatabaser som arbetsgivare
Ett företag kan ha ett berättigat intresse av att behandla personuppgifter i kompetensdatabaser för intern rekrytering. Till exempel vilka utbildningar som den anställde har genomfört eller vilken erfarenhet de har från tidigare arbetsliv. Dessutom kan företaget ha ett behov av att behandla resultatet från olika personlighetstester eller liknande som den anställde har tagit. Observera att sådana personuppgifter är integritetskänsliga och därför omfattas av striktare regler enligt GDPR.
Konsekvensbedömning vid rekrytering
Företag som är personuppgiftsansvariga kan behöva utföra en konsekvensbedömning innan de påbörjar en personuppgiftsbehandling. Här är två exempel på när en arbetsgivare behöver utföra en konsekvensbedömning:
Bakgrundskontroller
Om en arbetsgivare avser att utföra bakgrundskontroller av anställda eller potentiella anställda inför rekrytering.
Kompetensdatabaser
Om ett rekryteringsföretag skapar en kompetens- eller kandidatdatabaser.
Mer info om GDPR i arbetslivet
Arbetsgivares användning av biometriska uppgifter
Biometriska uppgifter är känsliga personuppgifter. Därmed är det förbjudet att behandla sådana uppgifter enligt huvudregeln i artikel 9 i GDPR, men det finns undantag. Exempel på biometriska uppgifter är ansiktsigenkänning samt när man läser av ett fingeravtryck. En arbetsgivare kan till exempel ha ett starkt skäl att använda ansiktsigenkänning av säkerhetsskäl, och det kan vara tillåtet vid sådana fall. Observera att en arbetsgivare inte bör använda samtycke som den rättsliga grunden för behandlingen av biometriska uppgifter, eftersom det råder ett ojämlikt maktförhållande mellan arbetsgivaren och arbetstagaren.