Tillbaka till frågor och svar

Får vi genomföra bakgrundskontroller av rekryteringskandidater?

15 november 2021

Fråga: Vi funderar på att göra bakgrundskontroller via en extern partner. Behöver vi en samtyckesblankett trots att vi informerar om detta vid annonsering och intervju?

Utgångspunkten för all behandling av personuppgifter är att det krävs en laglig grund. GDPR anger en uttömmande lista om sex olika lagliga grunder (artikel 6). Att inhämta bakgrundskontroller är en enskild personuppgiftsbehandling som har sitt unika syfte, laglig grund samt tidsintervall, skilt från den övriga rekryteringsprocessen. Alltid innan en personuppgiftsbehandling får påbörjas behöver ni bedöma vilken laglig grund ni ska stödja er på. Samtycke är kanske möjligt, men eftersom det förekommer en maktobalans mellan rekryten och er som arbetsgivare är det inte säkert att ett giltigt samtycke kan inhämtas. Kraven på ett giltigt samtycke hittar ni i artikel 4.11 och artikel 7 GDPR. Ett ”underförstått” samtycke, är inte ett giltigt samtycke. Ska ni stödja er behandling på samtycke så måste det vara frivilligt, informerat, specifikt och återkalleligt. Att ett samtycke måste kunna vara återkalleligt utgör skäl för att det inte är en lämplig laglig grund i denna situation. Istället behöver ni utvärdera andra möjliga lagliga grunder, exempelvis berättigat intresse (artikel 6.1.f). Om ni landar i att det är den lagliga grund som ni ska använda behöver ni dokumentera er s.k. intresseavvägning. Samt glöm inte att uppdatera er registerförteckning (artikel 30-register) med er nya personuppgiftsbehandling.

Som svar på frågan om samtyckesblankett. Om ni bedömer att det är möjligt att stödja er behandling på samtycke så måste ni kunna bevisa att ni inhämtat ett samtycke som är frivilligt, informerat, specifikt och återkalleligt och då är en blankett (som uppfyller de kraven) en lämplig metod. Utöver att ni har en laglig grund, behöver ni även dokumentera:

  • syftet med behandlingen,
  • hur länge den kommer pågå,
  • vilka personuppgifter ni kommer behandla,
  • var kommer uppgifter inhämtas ifrån, samt
  • om ni anlitar ni någon leverantör (personuppgiftsbiträde).

Glöm inte heller att informera rekryterna!

Svaret på frågan är allmänt beskrivet och ska inte betraktas som rådgivning.

Andra besvarade frågor

Identifiering genom BankID

Fråga: En anställd hos vår kund kommer att fylla i ett beställningsformulär på vår webbplats. Beställningen ska då signeras med BankID. Kan man i samma ”köpeavtal” lägga med text om hantering av personuppgifter så att när beställaren signerar med BankID så ger de även...

läs mer

Personuppgiftshantering i bokföringen

Fråga: Hur gör man med digital bokföring som finns i SPCS Administration som är äldre än 7 år? Skall de också raderas eller är de bara papperskopior? Om ni stödjer er behandling av personuppgifter som förekommer i bokföringen på den rättsliga förpliktelsen som finns i...

läs mer

Vad säger GDPR om fotografier på kontoret?

Fråga: Vi vill ta bilder på våra medarbetare för att sätta upp på kontoret. Där ska framgå namn och funktion, och var och en blir upplyst om syftet vid fotograferingen. Vad säger lagen om printade fotografier i kontorsytan? GDPR reglerar inte bilder/foton på något...

läs mer

Skicka in din fråga till oss

Ställ fråga - fråga och svar-funktionen på hemsidan
Var vänlig och ange inte personuppgifter i din fråga utan ställ den så anonymiserad som det bara går. Tack!
Information om personuppgiftsbehandling *