Behandling av arbetssökandes personuppgifter – vilka uppgifter får man samla in?

När ett behov av nyrekrytering uppstår behöver man som arbetsgivare vara medveten om vilka uppgifter man får samla in, behandla och lagra gällande en arbetssökande och vilka skyldigheter behandlingen av personuppgifter medför för arbetsgivaren. För att hitta en lämplig kandidat för en viss position är det nödvändigt att samla in tillräckliga och rätt personuppgifter för att kunna bedöma arbetssökandens lämplighet för uppgiften. Även om man som arbetsgivare kan känna sig frestad att samla in uppgifter i stor omfattning finns det reglering som ställer krav på vilka uppgifter och i hur stor utsträckning de får samlas in. Som arbetsgivare bör man beakta den allmänna dataskyddsförordningen (EU) 2016/679 och dess nationella tillämpning (dataskyddslagen 1050/2018) samt lagen om integritetsskydd i arbetslivet (759/2004). Utöver detta rekommenderas att man som arbetsgivare håller koll på de anvisningar och rekommendationer som till exempel Dataombudsmannens byrå presenterar.

Vad är en personuppgift?

Innan vi funderar på vilka personuppgifter arbetsgivare får samla in är det skäl att klargöra vad som utgör en personuppgift. I korthet är det fråga om en all slags information som kan kopplas ihop med en levande person. Utöver information som namn, adress och personnummer gäller det också t.ex. fotografier samt ljudinspelningar. Om det utgående från den erhållna informationen vore möjligt att identifiera en person är det fråga om en personuppgift. Då bör man iaktta tillämplig personuppgiftsreglering.

Grundläggande krav på personuppgiftsbehandling i samband med rekrytering

Enligt lagen om integritetsskydd i arbetslivet får arbetsgivaren endast behandla sådana personuppgifter som har direkt relevans för arbetstagarens arbetsavtalsförhållande och som har att göra antingen med hanteringen av rättigheter och skyldigheter för parterna i arbetsavtalsförhållandet, med de förmåner arbetsgivaren erbjuder arbetstagarna eller med arbetsuppgifternas särskilda natur. Från detta kan inte avvikas ens med arbetstagarens samtycke. Ett dylikt nödvändighets- och proportionalitetskrav för personuppgiftsbehandlingen finns även i dataskyddsförordningen.

Arbetsgivaren får efterfråga enbart sådana uppgifter som är nödvändiga för att en arbetssökandes kompetens och lämplighet för uppgiften samt hur väl arbetssökanden passar in i arbetsgemenskapen ska kunna bedömas. Vilka uppgifter som får samlas in måste bedömas från fall till fall, med beaktande av bl.a. uppgiftens natur och de krav som uppgiften ställer på arbetstagaren.

Utgångspunkten är att de uppgifter som ligger till grund för rekryteringsbeslutet ska samlas in från arbetssökanden. I de flesta fall fås tillräckliga uppgifter på detta sätt, men i vissa fall kan t.ex. lämplighetstest vara ändamålsenliga. Nedan följer en redogörelse för ett antal fallgropar som arbetsgivare lätt kan trilla i vid insamlingen av personuppgifter i samband med rekryteringsprocessen. Slutligen har även redogjorts för grundläggande krav avseende personuppgiftsbehandling som bör beaktas vid rekrytering.

Personlighets- och lämplighetstest

Då det gäller rekrytering till s.k. nyckelpositioner kan arbetsgivare ha intresse av att låta arbetssökanden genomgå olika lämplighetstest och andra utvärderingar för att få en objektiv analys av sökandens lämplighet för positionen. Dylika tester får utföras endast om arbetssökanden gett sitt samtycke till det och endast för att reda ut den arbetssökandes förutsättningar för att sköta arbetsuppgifterna eller behovet av utbildning eller annan utveckling. En arbetsplats kan inte tillämpa samma test på alla olika typer av arbetstagare eftersom de resultat som testet utvisar ska ha direkt relevans för anställningsförhållandet. Testernas innehåll och omfattning begränsas således av de olika krav som rimligen kan ställas inom olika yrken och uppgifter.

Om arbetsgivaren väljer att tillämpa personlighets- och lämplighettest är det viktigt att kritiskt granska testet och dess utformning samt att bedöma hur testet genomförs och på vilka grunder eventuella rekommendationer görs. Att endast använda sig av pålitliga aktörer vid utförandet av dylika test gynnar både arbetsgivaren och arbetssökanden. Om arbetsgivaren väljer att använda sig av tester ska arbetssökanden beredas möjliget att ta del av testernas resultat. Notera dock att ett rekryteringsbeslut inte bör eller ens får basera sig endast på resultatet av personlighets- och lämplighetstestet – rekryteringsbeslutet bör basera sig på en helhetsbedömning.

Sociala medier

I dag är sociala medier lättillgängliga och arbetsgivaren kan vara frestad att ta en titt på arbetssökandens profiler för att bedöma huruvida arbetssökanden platsar in i arbetskulturen. Även här finns dock fallgropar. Om arbetsgivaren avser samla in uppgifter från sociala medier för att använda dem som grund för rekryteringsbeslutet, bör arbetsgivaren ha arbetssökandens tillstånd till detta. Arbetsgivaren får således inte på eget bevåg gå in och ta del av uppgifter som inverkar på rekryteringsbeslutet.

Utöver kravet på tillstånd behöver arbetsgivaren även beakta tidigare nämnda nödvändighets- och proportionalitetskrav. Om uppgifterna inte är nödvändiga, får arbetsgivaren inte samla in dessa uppgifter även om arbetsgivaren skulle ha tillstånd från arbetssökanden.

Hälsouppgifter

Särskilt känsliga uppgifter, så som t.ex. uppgifter om hälsotillstånd, får enbart samlas in om särskilda skäl föreligger. Så kan vara fallet om arbetsuppgifterna ställer specifika krav på exempelvis säkerhet, så som om det till arbetstagarens arbetsuppgifter hör att hantera farliga ämnen eller om andras säkerhet kan äventyras om hälsan brister. Att reda ut hälsotillståndet kan vara viktigt exempelvis vid rekrytering av chaufförer av olika slag. Observera att även om nödvändighets- och proportionalitetskravet uppfylls behöver arbetsgivaren arbetssökandens skriftliga samtycke för att samla in hälsouppgifter.

Drogtest

Arbetsgivaren kan i särskilda fall även kräva att arbetssökanden uppvisar drogtest om vissa arbetsplatsspecifika förutsättningar uppfylls och om den tilltänkta arbetstagaren ska arbeta inom sådana uppgifter som kräver särskild noggrannhet och pålitlighet, god reaktionsförmåga eller om arbetstagaren kommer att arbeta med minderåriga.

Möjlighet att hänvisa arbetssökanden till drogtest förutsätter att sökanden ger sitt samtycke till förfarandet och att sökanden underrättas om orsakerna till testet. Arbetsgivaren har aldrig rätt att själv utföra testerna eller att få resultatet skickat till sig, utan arbetssökanden kan välja att tillställa arbetsgivaren resultatet av testet.

Notera att det finns en uppsjö bestämmelser avseende drogtester och hur dessa ska gå till som arbetsgivaren bör känna till om denne önskar använda dylika tester. Utöver lagen lagen om företagshälsovård (2001/1383) och statsrådets förordning om utförande av narkotikatester (2005/218).

Övriga intyg

Utöver ovanstående intyg och tester kan arbetsgivaren även ha behov av att begära en säkerhetsutredning samt att kontrollera eventuell brottslig bakgrund och införskaffa personkreditupplysningar. Förutsättningarna för införskaffandet av dessa intyg regleras i lagen om integritetsskydd i arbetslivet, straffregisterlag (1993/770) , straffregisterförordningen (1993/772) och lag om kontroll av brottslig bakgrund hos personer som arbetar med barn (2002/504).

Förfarandet och lagring av personuppgifter under GDPR-eran

GDPR-eran har medfört ökade krav på arbetsgivare avseende behandlingen av personuppgifter under rekryteringsprocessen och även senare under arbetsförhållandet och efter dess upphörande.

Det grundläggande kravet för personuppgiftsbehandling är en behandlingsgrund. Vid rekryteringsfrågor är behandlingsgrunden samtycke – även om arbetsgivaren enligt gällande lag har rätt att begära att få intyg och utföra olika tester, bygger samtliga på arbetssökandens samtycke. Samtycke innebär även att den registrerade har rätt att ta tillbaka sitt samtycke, vilket innebär att arbetsgivaren behöver ha processer för att hantera detta. Arbetsgivaren behöver även utöver fungerande processer se till att den registrerade vet hur dennes personuppgifter behandlas.

Den registrerade ska förses med information om var personuppgifterna insamlas, hur och i vilken omfattning dessa uppgifter behandlas, var de lagras och vilka rättigheter den registrerade har avseende personuppgiftsbehandlingen. Dylika rättigheter kan vara exempelvis rätten att korrigera uppgifter, rätten att radera uppgifter, rätten att bli bortglömd och rätten att överföra uppgifter. Arbetssökanden ska även förses med uppgifter om var personuppgifterna förvaras och hur länge dessa uppgifter förvaras.

Arbetsgivaren bör även se till att den personal som behandlar uppgifterna är utbildad samt se till att tillräckliga tekniska och organisatoriska åtgärder vidtas på arbetsplatsen för att skydda personuppgifterna. Det är även viktigt att arbetsgivaren ser till att endast behörig personal tar del av rekryteringsuppgifter och särskilt vad gäller känsliga personuppgifter.

Personuppgiftsregister ska som utgångspunkt förstöras när uppgifterna som ingår i det inte längre är nödvändiga. Som arbetsgivare kan det dock vara befogat att förvara uppgifter om arbetssökande en tid efter att rekryteringsbeslutet har fattats. Detta för att ha underlag för beslutet ifall en icke-vald person skulle vara missnöjd med beslutet och väcka talan för t.ex. diskriminering. Ibland kan det också vara i arbetssökandens intresse att spara uppgifterna hos arbetsgivaren – på så sätt kan arbetsgivaren senare kontakta sökanden om någon ny position blir ledig. Vid lagring av sökandens uppgifter är det viktiga att kommunicera på vilket sätt arbetsgivaren går till väga och även kommunicera vilka rättigheter arbetssökanden har avseende sparandet av personuppgifterna.

Avslutningsvis

Avslutningsvis kan konstateras att arbetsgivaren bör ha tungan rätt i mun då rekryteringsprocesser planeras och genomförs. Tiderna då arbetsgivaren utan större eftertanke kunde begära in intressant information om sökanden och låta bli att förstöra informationen är förbi.

I dag förutsätts arbetsgivaren noga planera rekryteringen och vilka uppgifter som används som grund för beslutet. Arbetsgivaren behöver också utöver sökandens samtycke säkerställa att de insamlade personuppgifterna är nödvändiga och proportionella i förhållandet till positionen samt att arbetsgivaren med stöd av lag har rätt att begära in uppgifterna och basera sitt beslut på dessa. Utöver det som nämnts ovan behöver arbetsgivaren även se till att de interna processerna är anpassade till dagens krav samt att den sökande får den information som hen är berättigad till.

Sofia Saarikko-Byholm

Senior Associate
+358 20 527 4015