Bakgrundskontroll vid rekryteringsprocesser – vad gäller?
Juristen förklarar
13 oktober 2023
Hösten är en tid som ofta präglas av rekryteringsprocesser. I många processer önskar företag och arbetsgivare att genomföra en så kallad bakgrundskontroll. Men vad innebär egentligen en bakgrundskontroll och vad behöver man tänka på, samt vilka är de specifika kraven och förfarandena som måste följas?
Rekrytering av nya medarbetare är en kritisk process för de flesta företag. Otillräcklig information om en arbetssökande kan leda till oönskade kostnader vid felrekryteringar och kan också utgöra en risk för arbetsgivarens varumärke.
En bakgrundskontroll i en rekryteringsprocess syftar normalt till att verifiera och utvärdera en sökandes tidigare arbets- och utbildningshistorik, referenser och andra relevanta faktorer. Syftet med en bakgrundskontroll är att säkerställa att den sökande har den erfarenhet, kompetens och pålitlighet som krävs för den aktuella tjänsten och att minimera risken för oärliga ansökningar eller olämpliga kandidater.
Många rekryteringsprocesser fokuserar ofta på att genomföra omfattande bakgrundskontroller av kandidaterna. Det är dock viktigt att inte överskrida gränserna och följa vad som framgår av lag.
Bakgrundskontroller kan inkludera följande komponenter:
- Arbetsreferenser: Arbetsgivare kan kontakta tidigare arbetsgivare för att verifiera den sökandes arbetsupplevelse och prestationer. Detta inkluderar ofta att fråga om arbetsperioder, arbetsuppgifter och hur den sökande fungerade i tidigare roller.
- Utbildningsverifikation: Arbetsgivare kan verifiera den sökandes utbildning genom att kontakta lärosäten eller skolor där den sökande påstår sig ha studerat. Detta syftar till att säkerställa att den sökande har de nödvändiga akademiska kvalifikationerna.
- Kriminell bakgrundskontroll: Vissa arbetsgivare kan genomföra kriminella bakgrundskontroller för att säkerställa att den sökande inte har en brottslig historia som kan vara relevant för tjänsten. Detta görs oftast när det finns lagliga krav eller säkerhetskrav som måste uppfyllas.
- Kreditkontroll: Vissa arbetsgivare kan utföra kreditkontroller på sökande, särskilt om tjänsten involverar hantering av ekonomiska resurser eller finansiella ansvar.
- Sociala medier och online-aktivitet: Vissa arbetsgivare kan granska den sökandes sociala medier och online-aktivitet för att få en uppfattning om deras personlighet och professionalism.
Det är i dessa sammanhang viktigt att notera att GDPR (eller Dataskyddsförordningen) sätter begränsningar på vilka personuppgifter ert företag kan behandla när det gäller en kandidat, eftersom inte all information är relevant eller laglig att samla in.
Som arbetsgivare är det vidare viktigt att noggrant överväga följande frågor innan beslutet om en bakgrundskontroll fattas.
- Laglig grund: Vilken rättslig grund finns för att samla in personuppgifterna?
Enligt GDPR finns det sex rättsliga grunder för behandling av personuppgifter. Privata företag, föreningar och organisationer i privat verksamhet kan främst använda sig av fyra olika rättsliga grunder: samtycke, avtal med den registrerade, rättslig förpliktelse och intresseavvägning.
Det är viktigt att alltid fastställa den lagliga grunden innan behandlingen av personuppgifter inleds. Detta är en avgörande del av processen eftersom det ger de berörda individerna rätten att få information om den exakta juridiska grunden för behandlingen av deras personuppgifter. Därför måste den personuppgiftsansvarige tydligt fastställa denna grund innan insamlingen av uppgifterna påbörjas. Vidare måste även den berörda individen informeras innan en bakgrundskontroll genomförs, och det är viktigt att kandidaten ges möjlighet att avbryta ansökningsprocessen om så önskas.
Reflektera över följande: utgör maktförhållandet mellan rekryteraren och den som rekryteras ett hinder för att erhålla ett giltigt samtycke?
- Syfte och proportionalitet: Finns det ett legitimt syfte, och är kontrollen proportionerlig i förhållande till detta syfte? Är den insamlade informationen relevant och adekvat?
Den information som kan samlas in under en rekryteringsprocess varierar beroende på den specifika tjänst som kandidaten ansöker om. Det är av högsta vikt att genomföra en riskbedömning för den aktuella tjänsten, eftersom detta kan påverka nivån av kontroll som bör tillämpas.
Reflektera över följande: Är omfattningen av bakgrundskontrollen lika för en specialisttjänst som för en roll med begränsat ansvar och hur bedömer man risken?
Andra frågor som arbetsgivaren ska överväga är vem inom företaget ska ha befogenhet att genomföra bakgrundskontroller? Vilka personuppgifter är det tillåtet att samla in (uppgifternas omfattning)? Vilka källor kommer användas för att hämta informationen? Tänk på befattningens natur och hur det kan påverka kontrollens omfattning. När ska personuppgifterna som har behandlas under rekryteringens gång raderas? Hur vill ni att kandidaten ska informeras om den kommande bakgrundskontrollen? Har ni rutiner eller en plan för genomförandet och hanteringen av bakgrundskontrollen?
Sociala medier och Google-sökningar
Det finns många aspekter att beakta under en rekryteringsprocess. Ett växande intresse ligger på kandidaternas digitala närvaro, och det är alltmer vanligt att det utförs Google-sökningar som en del av rekryteringsprocessen. Det kan potentiellt ge en bättre helhetsbild av personen att granska deras beteende online. Frestelsen att granska kandidater via sociala nätverk är stark, men risken är att den insamlade informationen kan vara irrelevant för ändamålet och därmed ofta betraktas som av rent privat karaktär. Ett potentiellt problem med att granska kandidater genom deras sociala nätverksprofiler är att gränsen mellan vad som är personligt och privat kan bli suddig och svårdefinierad. Dessutom finns det en risk att du medvetet eller omedvetet förvrider din uppfattning av kandidaten, vilket kan leda till diskrimineringsproblem. Naturligtvis kan en granskning av kandidatens LinkedIn-profil vara både berättigad och relevant, med tanke på den starka kopplingen till arbetslivet och kan därmed anses som relevant – om det görs rätt.
Reflektera över det följande: kommer informationen du hittar online påverka ert beslut?
Belastningsregister
Under rekryteringsprocessen har en ökande andel kandidater blivit ombedda att presentera ett utdrag från belastningsregistret. Är ni medvetna om att det normalt sett är otillåtet att behandla information om brott och att uppgifter från belastningsregistret inte får lagras, kopieras eller nedtecknas enligt regelverket?
Kontrollera risken och skapa en trygghet i ditt företag
Bakgrundskontroller utgör en förebyggande åtgärd som kan bidra till att säkerställa att era anställda är pålitliga och lojala gentemot företaget. Felrekryteringar kan vara kostsamma, och likaså kan felaktiga bakgrundskontroller vara det. Det är därför av stor betydelse att genomföra dessa kontroller korrekt och professionellt för att minimera riskerna och säkerställa en säker och effektiv arbetsstyrka.
Överlåtande av hanteringen av en bakgrundskontroll till en extern part innebär inte att ni kan undvika att följa GDPR (Dataskyddsförordningen). Källan till informationen som används för bakgrundskontrollen är oavsett ursprung fortfarande en hantering av personuppgifter. Det räcker med att informationen läses från en skärm för att det ska klassificeras som en personuppgiftsbehandling och därför måste överensstämma med GDPR.
Genom att etablera klara rutiner för hur bakgrundskontroller ska genomföras för era anställda, försäkrar ni att ert företag följer de krav som fastställs i GDPR. Tydliggör vilken laglig grund ni använder för att samla in personuppgifter och definiera vem inom företaget har tilldelats befogenheter att genomföra bakgrundskontroller. Klargör vilka personuppgifter som kan inhämtas beroende på den aktuella tjänsten som ska tillsättas och fastställ en tidslinje för är personuppgifterna ska raderas och förklara hur ni planerar att kommunicera med och informera kandidaten om hela processen. Arbetsgivare bör även vara försiktiga med att använda information från bakgrundskontroller på ett diskriminerande sätt och bör allt se till att de behandlar alla sökande rättvist och lika.
Slutligen är det viktigt att inte förbise konsekvensbedömningen som är en integrerad del av bakgrundskontroller under rekryteringsprocessen. Konsekvensbedömningen bör genomföras före den planerade personuppgiftsbehandlingen och utgör en process för att identifiera eventuella risker relaterade till hanteringen av personuppgifter. Det skapar ett underlag så att ni kan fatta ett beslut och vidta åtgärder för att minimera sannolika integritetsrisker och dess konsekvenser. Det är därför viktigt att påbörja konsekvensbedömningen så tidigt som möjligt och integrera den som en del av utvecklingsprocessen.
När man utför en konsekvensbedömning inför den planerade personuppgiftsbehandlingen så finns det fyra frågor att ta hänsyn till.
- Vad är ändamålet med den planerade personuppgiftbehandlingen?
Det är viktigt här att man även beskriver om det enbart är en planerade personuppgiftsbehandlingen eller om det finns flera som har samband med varandra.
- Är behandlingen nödvändig och proportionerlig i förhållanden till ändamålet?
Det innebär att det bör göras en avvägning mellan två faktorer: å ena sidan den enskilda individens personliga integritet och å andra sidan behovet av att behandla de aktuella uppgifterna. För att behandlingen ska vara proportionerlig bör fördelarna med behandlingen vara större än de risker den kan medför.
- Vad är riskerna för kandidaternas fri och rättigheter?
Ni måste noga överväga och sätta i samband de upptäckta integritetsriskerna med hur de kan påverka den enskilda individen, särskilt när behandlingen potentiellt kan ge upphov till problem såsom diskriminering, identitetsstöld, bedrägeri, ekonomiska förluster, skadat rykte, eller förlust av konfidentialitet gällande känsliga och förtroliga uppgifter som omfattas av sekretessavtal och liknande åtaganden.
- Vilka planerade åtgärder avser ni att implementera för att hantera riskerna och säkerställa efterlevnad av dataskyddsförordningen?
Här är det viktigt att ni ger en övergripande motivering och beskrivning av de administrativa och tekniska skyddsåtgärder som är planerade att införas.
Är ni osäkra på hur ni gå till väga? Ta gärna hjälp och råd av oss på Freja Partner i dessa processer.
Artikel författad av
Solmaz Begdjani Blomquist