meny

Rekryteringssystem och kompetensdatabaser

Här kan du läsa om vad man behöver tänka på vid behandling av personuppgifter för extern och intern rekrytering.

En arbetsgivare har ett berättigat intresse av att rekrytera anställda för att se till att verksamheten bedrivs på ett ändamålsenligt sätt. Rättsliga grunder för att behandla personuppgifter vid rekrytering är normalt intresseavvägning eller ett allmänt intresse (myndigheter).  

Samla bara in nödvändiga uppgifter och radera när de inte länge behövs

Intern och extern rekrytering av arbetstagare kan utföras med hjälp av rekryteringssystem. En arbetsgivare får i samband med rekrytering bara behandla sådana uppgifter som är nödvändiga för ändamålet, det vill säga uppgifter som behövs för att bedöma om någon är lämplig för en viss tjänst.

Personuppgifter i en ansökan, anteckningar från intervju och från referenser får behandlas så länge som de är nödvändiga för ansökningsförfarandet. Därefter ska de gallras. Arbetsgivaren får spara uppgifterna så länge den sökande som inte har anställts kan vidta rättsliga åtgärder, till exempel om den som inte fått jobbet kan överklaga. Om arbetsgivaren vill spara uppgifterna för framtida rekrytering krävs att den sökande samtycker till det.

Tänk på att bara behandla sådana uppgifter som är nödvändiga för syftet. Behandlingen får aldrig vara för ingående eller omfattande i förhållande till vad som krävs för att tillsätta en specifik tjänst. Utrymmet för att behandla fler uppgifter och viss integritetskänslig information kan vara större vid tillsättningen av tjänster med stort ansvar, till exempel ekonomiskt ansvar, personalansvar eller säkerhetsansvar. 

Det är normalt inte tillåtet för en arbetsgivare att i samband med rekrytering behandla känsliga personuppgifter eller uppgifter om lagöverträdelser.

Svårt att använda samtycke

Även i rekryteringssammanhang kan det vara svårt för en arbetsgivare att använda samtycke som rättslig grund. En annan sak är att det i vissa situationer kan vara lämpligt att fråga den arbetssökande eller anställda först, till exempel om ett personlighetstest ska göras. Den enskildas egen inställning vägs in vid bedömningen av om behandlingen är tillåten. Arbetsgivaren bör dock som regel ha stöd i en annan rättslig grund än samtycke, exempelvis en intresseavvägning eller ett allmänt intresse.

Uppgifterna måste vara sakliga och korrekta

I kompetensdatabaser för intern rekrytering kan det vara berättigat att behandla faktauppgifter om till exempel utbildningar och arbetslivserfarenhet, men också värderande uppgifter om den anställda som är sakligt motiverade.

I en kompetensdatabas kan arbetsgivare i vissa fall också ha behov av att behandla resultat från personlighetstester eller liknande. Sådana personuppgifter är integritetskänsliga och medför generellt sett större risker för den enskilda. En arbetsgivare som vill behandla sådana uppgifter behöver därför noggrant överväga behovet av det. I de fall som behandlingen kan anses nödvändig för ändamålet ska arbetsgivaren säkerställa att behandlingen medför ett så begränsat intrång som möjligt för den enskilda. 

En offentlig arbetsgivare behöver också väga in om personuppgifterna kan behöva lämnas ut enligt offentlighetsprincipen.  Arbetsgivare måste alltid se till att uppgifter om både anställda och arbetssökande är sakliga och formuleras på ett korrekt sätt. Uppgifterna får inte vara kränkande.

Fritextfält ökar risken för otillåten behandling. Det är därför bra att använda fördefinierade uppgifter i exempelvis kryssfält eller rullistor. Det är viktigt att det finns rutiner och instruktioner som tillämpas i verksamheten och att anställda som arbetar med rekryteringssystem och kompetensdatabaser får relevant utbildning.      

Information till anställda och frågor att ta ställning till

Generellt gäller att uppgifter om anställda och arbetssökande i princip inte får behandlas utan att den enskilda känner till det.

Personuppgiftsansvaret behöver utredas när kompetensdatabaser används i koncerner och andra större organisationer, eller när man anlitar ett rekryteringsföretag. Det är den personuppgiftsansvariga som ska se till att dataskyddsförordningen följs. Vem som är personuppgiftsansvarig beror på vem eller vilka som bestämmer ändamålen och medlen med behandlingen, till exempel vilka uppgifter som ska behandlas, vad de ska användas till och när de ska raderas.

Arbetsgivaren behöver överväga om det krävs en konsekvensbedömning innan behandlingen påbörjas. Ett exempel på en behandling som kräver konsekvensbedömning är när rekryteringsföretag inrättar kandidat- eller kompetensdatabaser, eller verksamheter som utför bakgrundskontroller inför rekryteringar.

Skyldigheten att utföra en konsekvensbedömning