Bakgrundskontroll inför nyanställning – vad är det som gäller?

Bakgrundskontroll inför nyanställning – vad är det som gäller?

Rekrytering av nya medarbetare är en nyckelprocess för de flesta företag, och bristfällig information om en arbetssökande kan medföra både oönskade kostnader vid en felrekrytering och risker för arbetsgivarens varumärke. Många gånger finns det ett intresse av att göra en bakgrundskontroll som sträcker sig utöver de omständigheter som enbart framgår av ett CV eller att ta referenser. Det kan exempelvis handla om att granska kandidatens aktivitet på internet, framför allt i sociala medier, eller att begära att kandidaten uppvisar ett utdrag ur polisens belastningsregister. GDPR sätter dock vissa begränsningar i vilka personuppgifter som ert företag får behandla om en kandidat, då all information är varken relevant eller laglig att inhämta.

Informera kandidaten

Innan ni utför en bakgrundskontroll måste ni informera kandidaten om hur personuppgifter behandlas under rekryteringsförfarandet. Om ert företag kommer att samla in ytterligare information som inte tillhandahålls av den arbetssökande själv måste ni även informera om vilka källor som kommer att användas. Tänk på att informationen ska vara specifik och precisera vilka uppgifter som samlas in.

Samla bara in information som är relevant för tjänsten

Enligt GDPR får man bara behandla information som är relevant och adekvat för ändamålet. Vilken information som får inhämtas vid en rekrytering beror därför på vilken typ av tjänst som kandidaten är aktuell för. Tjänstens position avgör så att säga bakgrundskontrollens räckvidd. Vid rekrytering till specialisttjänster där det är fråga om en ansvarsfull roll, eller vid rekrytering av ledande befattningshavare, kan det vara berättigat med en mer omfattande bakgrundskontroll än om ni ska tillsätta en tjänst med ett mer begränsat ansvarsområde. Nedan har vi sammanställt en lista på scenarion där ni bör fundera en extra gång innan gör en kontroll.

Sociala medier
Det kan vara lockande att göra sökning på en kandidats Facebook- eller Instagram-konto. Oftast är sådan information av ren privat karaktär och har inte direkt relevans för en yrkesroll. Du riskerar därför att behandla information som är irrelevant för ändamålet, vilket inte är tillåtet enligt GDPR. Information som du hittar på Facebook eller Instagram riskerar dessutom att medvetet eller omedvetet färga din bild av kandidaten och påverka ditt beslut, vilket innebär att det också finns en diskrimineringsproblematik. Däremot kan det vara befogat att kontrollera en kandidats Linkedin-konto, eftersom den typen av social media har en nära koppling till arbetslivet, och att sådan information som framkommer där därför kan vara relevant för tjänsten och något som kandidaten kan förvänta sig att en framtida arbetsgivare kollar upp.

Kreditupplysning
Enligt kreditupplysningslagen är det bara tillåtet att ta en kreditupplysning om det finns ett legitimt behov av informationen, till exempel för att göra en ekonomisk riskbedömning av en person. Datainspektionen anger att det endast är relevant att inhämta kreditupplysningsinformation om kandidater som söker en tjänst med ett finansiellt ansvar hos en arbetsgivare.

Belastningsregister
Det blir allt vanligare att kandidater blir ombedda av rekryterande företag att visa upp utdrag från belastningsregister under en rekryteringsprocess. Tänk dock på att det som regel är förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser, och att ni aldrig får behålla, kopiera eller skriva ned vad belastningsregisterutdraget innehåller. Spara därför inte någon information i era system om kandidaten förekommer i belastningsregistret eller inte.

Radera uppgifterna när de inte längre behövs

Syftet med en bakgrundskontroll bör vara att bedöma kandidatens lämplighet för den tilltänkta tjänsten. Personuppgifter i en ansökan, intervjuanteckningar, bakgrundskontroller och uppgifter från referenser får registreras och sparas så länge de är nödvändiga för ansökningsförfarandet. Efter det att kandidaten antingen anställts eller inte längre är aktuell för tjänsten, har ni som regel inte längre någon laglig grund att spara uppgifterna. Ni måste därför radera de personuppgifter som samlades in i samband med bakgrundskontrollen så snart det är möjligt. Om uppgifterna ska sparas under en längre tid för framtida rekrytering krävs den sökandes samtycke.

Ha rutiner på plats

För att säkerställa att ert företag följer de krav som framgår av GDPR bör ni ta fram en tydlig rutin till era anställda kring hur bakgrundskontroller ska utföras. Specificera vilken laglig grund ni förlitar er på för att inhämta personuppgifterna, vem inom företaget som ska ha befogenhet att utföra bakgrundskontroller, vilka personuppgifter som får inhämtas beroende på typen av position som ska tillsättas, när personuppgifterna ska raderas och hur kandidaten kommer att informeras.

Tänk också på att ni enligt Datainspektionen kan vara skyldiga att göra en så kallad konsekvensbedömning om ni utför bakgrundskontroller inför rekryteringar, eftersom sådan behandling under vissa omständigheter kan innebära en risk för den enskildes integritet. Konsekvensbedömningen innebär att ni måste dokumentera risker med personuppgiftsbehandlingen och vilka säkerhetsåtgärder ni har vidtagit för att förhindra att sådana risker uppstår.

 

Gör din bakgrundskontroll hos oss på checko! 

Policy för bakgrundskontroller ger tydlighet och struktur

Policy för bakgrundskontroller ger tydlighet och struktur

Förutom att ge tydlighet i en organisation säkerställer en lämplig policy för bakgrundskontroller även att viktiga lagar och förordningar följs. För att kunna kontrollera eller behandla känsliga personuppgifter måste det finnas en rättslig grund, i detta fall ett legitimt intresse. För en arbetsgivare innebär detta intresse att ”kunna lita på kompetenta och ärliga medarbetare” och minimera vissa risker. En väl genomtänkt policy för bakgrundskontroller förklarar varför och hur en kontroll genomförs. Det är grunden för alla kontrollprocesser.

Subsidiaritets- och proportionalitetsprinciperna

Den allmänna dataskyddsförordningen (GDPR) anger att behandling av personuppgifter endast är tillåten på rättslig grund. Vid bakgrundskontroll av (potentiella) anställda utgör detta ett legitimt intresse. Viktiga krav till följd av detta, som också bör ingå i policyn för bakgrundskontroller, är subsidiaritets- och proportionalitetsprinciperna.

Subsidiaritet innebär att målet – att minska riskerna genom att anställa kompetenta och ärliga medarbetare – inte kan uppnås på ett mindre integritetskränkande sätt än genom att kontrollera (potentiella) anställda. Proportionalitet innebär att de medel som används för att uppnå målet står i proportion till målet. Med andra ord är bakgrundskontrollen vid anställning av (potentiella) medarbetare till tjänsten som kontorschef mindre grundlig än kontrollen för tjänsten som finansdirektör. Ansvaret och riskerna i samband med en tjänstetillsättning avgör vilka kontrolldelar som ska användas.

En transparent policy för bakgrundskontroller ger tydlig kommunikation

En annan viktig funktion i en policy för bakgrundskontroller är att skapa tydlighet. Det ska vara möjligt att kunna lita på en sammanhängande historia vid kommunikation med (potentiella) medarbetare samt internt som till exempel med företagsråden. En policy för bakgrundskontroller förklarar varför kontroller är nödvändiga och hur de ska tillämpas i förhållande till varje enskild situation.

Potentiella medarbetare har också rätt till insyn. Meddela därför i ett tidigt skede att bakgrundskontrollen är en del av ansökningsprocessen. Du kan sedan diskutera kontrollen under de första intervjuerna. Ytterligare en fördel med att ta upp bakgrundskontrollen på ett tidigt stadium är den förhandsgallring det leder till. Främst ärliga sökande med relevant kunskap och erfarenhet kommer att ansöka. Sökande med diskutabel arbetslivserfarenhet kommer att tänka efter en gång till innan vederbörande ställs inför en bakgrundskontroll. Att omedelbart informera om en bakgrundskontroll minskar riskerna och är ett viktigt steg för att garantera integritet och kvalitet i organisationen.

 

 

Vad menas med ett oöppnat kuvert?

Vad menas med ett oöppnat kuvert?

Det som menas med ett oöppnat kuvert är att företag/organisationer gör bakgrundskontroller, via polisens belastningsregister.
Det finns en del utmaningar kring att göra bakgrundskontroller via polisens belastningsregister som vi går igenom tydligare i detta inlägg.

Kortfattat är att när du skall göra utdrag ur polisens belastningsregister så behöver det göras av personen som det berör. Dvs du kan endast göra det på dig själv. Vill ett företag exempelvis ha tillgång till ditt eventuella polisregister så måste du begära ut det själv. Utdraget kommer sedan att skickas till din folkbokföringsadress, och där kommer det öppna kuvertet in i bilden igen. Det finns de som begär att du skall lämna kuvertet oöppnat, för att minska risken för förfalskning. Dvs att du ändrar eller tar bort information i ditt belastningsregister.

Syftet är då alltså att när du får hem kuvertet från polisen med ditt belastningsregister så skall du lämna det oöppnat till företaget/organisationen som ursprungligen efterfrågat det.

 

För att undvika frågan kring oöppnat kuvert

Frågan kring ett oöppnat kuvert är ett av många problem med att använda polisens belastningsregister vid bakgrundskontroller. Därför anser vi att checko.se är betydligt mer anpassat för er att göra bakgrundskontroller på personer.