Fallgropar i bakgrundskontroller vid anställningar
Det blir vanligare och vanligare att organisationer gör bakgrundskontroller när de rekryterar medarbetare. En del i detta är att be kandidater lämna in ett utdrag ur belastningsregistret. Ibland kan detta vara ett lagkrav, ibland inte. Utifrån GDPR har det stor betydelse om man inhämtar personuppgifter om lagöverträdelser med stöd av lag, eftersom det finns risk att bakgrundskontrollen annars kan komma att genomföras utan tydlig laglig grund (och alltså vara olaglig). Eftersom personuppgifter om lagöverträdelser som utgångspunkt inte får behandlas alls är det viktigt att gå igenom sin användning och kvalitetssäkra den.
BAKGRUND
I GDPR finns särregler för två kategorier av integritetskänsliga personuppgifter, nämligen känsliga personuppgifter (artikel 9 GDPR) och personuppgifter om lagöverträdelser (artikel 10 GDPR). Utgångspunkten för båda kategorierna personuppgifter är att de är förbjudna att behandla, vilket gör att man måste kunna åberopa ett tydligt undantag för att få hantera dem. Den förstnämnda kategorin (känsliga personuppgifter) regleras direkt i GDPR med möjlighet för nationella lagstiftare att förtydliga vad som ryms inom begreppet ”viktigt allmänt intresse”.
Den andra kategorin (personuppgifter om lagöverträdelser) ska förtydligas i nationell rätt. Detta har i svensk rätt gjorts i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (kompletteringslagen) samt i ett antal specialförfattningar (några sådana beskrivs i nästa avsnitt), som oftast ger myndigheter och ibland andra rättighet att behandla personuppgifterna för noga preciserade ändamål. Kompletteringslagens bestämmelser förtydligas även i förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning (kompletteringsförordningen) samt i vissa föreskrifter från Integritetsskyddsmyndigheten. Myndigheten kan även ge tillstånd att behandla personuppgifter om lagöverträdelser.
VITT BEGREPP
Vad som ingår i begreppet ”personuppgifter om lagöverträdelser” är inte tydligt angett i GDPR. I stället tydliggörs begreppet i rättspraxis, senast i en dom om den lettiska trafikmyndigheten. Till det har Integritetsskyddsmyndigheten i olika beslut tolkat begreppet. Lägger man ihop rättsfall och myndighetsbeslut blir slutsatsen att begreppet är mycket vitt. Inte enbart straffrättsliga beslut omfattas utan även mer ingripande administrativa beslut. Dessutom omfattas förutom domar och straffprocessuella åtgärder även att någon åtalats för brott och brottsmisstankar (se även HFD 2016 ref. 8). Av Integritetsskyddsmyndighetens beslut om radering av söksträngar framgår att myndigheten anser att påståenden om att någon misstänks för brott eller är polisanmäld räcker.
NÄR DET FINNS LAGKRAV
Inom offentlig verksamhet finns ibland krav på att kandidater ska genomgå säkerhetskontroll eller lämna in registerutdrag. När det finns sådana lagkrav finns det även en skyldighet att behandla personuppgifter (den lagliga grunden rättslig förpliktelse i artikel 6 GDPR är tillämplig). Personuppgiftsbehandlingen ska vara nödvändig, vilket innebär att det är viktigt att följa det som sägs i lagen och varken göra mer eller mindre.
Ett exempel på område där arbetsgivare har att kontrollera registerutdrag är verksamheter där den anställde kommer i nära kontakt med barn. Enligt 2 kap. 31 § första stycket skollagen ska den som erbjuds en anställning inom förskola, förskoleklass, fritidshem, grundskola, grundsärskola, specialskola, sameskola, gymnasieskola, gymnasiesärskola eller i sådan pedagogisk verksamhet som avses i 25 kap. skollagen visa upp ett utdrag ur belastningsregistret som är högst ett år gammalt. Detta är ett absolut krav för att en person ska kunna anställas. Ett registerutdrag ska enligt 2 kap. 31 § första stycket skollagen även lämnas om liknande omständigheter föreligger och det sker genom
- uppdrag
- anställning hos någon som ingått avtal med den som bedriver verksamheten eller
- anställning inom annan kommunal verksamhet.
Vidare ska registerutdrag enligt samma lagrum inhämtas i verksamheter som nämns i första stycket (se ovan) för den som
- under utbildning till en lärar- eller förskollärarexamen enligt högskolelagen eller yrkesutbildning inom kommunal vuxenutbildning tilldelas plats för verksamhetsförlagd del av utbildningen eller
- genom deltagande i ett arbetsmarknadspolitiskt program tilldelas plats för arbetspraktik eller annan programinsats.
Skyddet av barn gäller inte bara inom skolområdet. Exempelvis finns bestämmelser om utdrag från belastningsregistret för andra organisationer i lagen om registerkontroll av personer som ska arbeta med barn som bygger på EU:s direktiv om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi. Enligt 1 § nämnda lag ska den som erbjuds en anställning inom ett företag som bedriver näringsverksamhet eller en organisation som inte är ett företag visa upp registerutdrag om arbetet innebär direkt och regelbunden kontakt med barn. I 3 § finns en bestämmelse som rör uppdragstagare, den som erbjuds anställning hos någon som bedriver verksamheten med stöd av avtal samt praktiktjänstgöring. Bestämmelsen gäller bland annat olika trossamfund, till exempel Svenska kyrkans verksamheter med tjejgrupper, söndagsskola, barntimmar, konfirmationsverksamhet och öppen förskola (prop. 2012/13:194 s. 24).
HANTERINGEN NÄR DET FINNS LAGKRAV OM REGISTERKONTROLL
Som framgår av lagarna jag beskrev ovan ska ett registerutdrag uppvisas vid anställning eller i andra särskilt angivna situationer. Den dokumentation som ska göras är en notering om att utdraget har visats upp (se till exempel 2 kap. 32 § skollagen). Någon annan dokumentation får inte göras. Det är alltså varken tillåtet att göra noteringar om registerutdragets innehåll, ta kopia av det eller spara det. Eftersom ett registerutdrag innehåller integritetskänsliga personuppgifter kan det inte mejlas (alla mejl med integritetskänsliga personuppgifter ska vara krypterade, se artikel 32 GDPR; att uppmana arbetssökande att använda osäkra sätt att hantera sina personuppgifter är inte förenligt med GDPR). Det skulle sannolikt också kunna strida mot 2 kap. 32 § skollagen eftersom ett mejl kommer att innebära att det finns dokumentation åtminstone fram till dess mejlet raderats (möjligen går det inte ens att radera då det kan anses vara en inkommen handling).
Inte heller att skicka per post är bra eftersom utdraget då kan komma att visas för annan än den som ska göra anteckningen, till exempel en registrator. I stället återstår att uppvisa intyget, vilket lämpligen sker i samband med att anställningsavtal skrivs under eller i direkt anslutning till att arbetet påbörjas. En anteckning om att ett registerutdrag uppvisats utgör inte i sig en personuppgift om lagöverträdelser enligt artikel 10 GDPR eftersom registerutdrag även lämnas till sådana som inte har några anteckningar i registret.
Ett registerutdrag kan visa på risker att anställa. Det kan innehålla anteckning om mord, dråp, grov misshandel, människorov och grovt rån samt sexualbrott och barnpornografibrott. I förarbetena till skollagen framhålls att det inte är en förutsättning för anställning att anteckningar i registret saknas. Arbetsgivaren avgör själv om en arbetssökande med anteckning i registerutdraget ändå kan anställas (prop. 2009/10:165 s. 280).
RÄTT TIDPUNKT
Det är viktigt att inte begära in registerutdrag innan det finns en konkret anledning att se det (till exempel sista steget inför en anställning eller i direkt anslutning till att en praktik inleds). Den som begär in registerutdrag måste kontrollera mot den aktuella lagstiftningen om vad som sägs om tidpunkt. Att tipsa de som söker jobb att de kan förbereda sig och inhämta ett utdrag i god tid känns tveksamt; det kan leda fram till en onödig behandling av kandidaternas personuppgifter, eftersom hanteringen hos polisen också är en personuppgiftsbehandling.
ANDRA SÄTT?
Jag har ibland fått frågan om man kan ersätta förfarandet som föreskrivs i lagar och använda en digital tjänst i stället för att infordra registerutdrag. Eftersom en sådan behandling kommer bli mycket mer omfattande än den som föreskrivs i lagarna (att få ett utdrag uppvisat och göra en notering att man har sett utdraget) innebär en sådan behandling att den personuppgiftsansvariga gör något som saknar klart lagstöd. Då behandlingen innefattar personuppgifter om lagöverträdelser är grundläget att personuppgiftsbehandlingen inte är tillåten. Jag har svårt att se att man skulle kunna hävda någon rimlig laglig grund för förfarandet och min bedömning är att behandlingen är olaglig.
Till det kommer att Integritetsskyddsmyndigheten gjort intressanta iakttagelser i beslutet rörande tjänsten MrKoll (se beslut 2019-12-13, dnr DI-2018-22737). Det kan ofta finnas frågetecken kring sådana här tjänsters förenlighet med GDPR, vilket kan leda till andra problem (kanske anses man till exempel vara gemensamt personuppgiftsansvarig beroende på hur tjänsten är utformad).
BEDÖMA OM EN PERSON OMFATTAS AV LAGKRAV OM REGISTERKONTROLL
Det är även viktigt att inte be en person visa upp utdrag ur belastningsregistret om hen inte ingår i de personkategorier som räknas upp i den aktuella lagen. När det gäller skollagen omfattas inte övriga vuxna som vistas i de berörda verksamheterna, till exempel elevers personliga assistenter, färdtjänstchaufförer och busschaufförer i linjetrafik, föräldrar som vistas i verksamheter samt familjemedlemmar till dagbarnvårdare i familjedaghem av kraven (se prop. 2009/10:165 s. 281).
Vid tillämpningen av lagen om registerkontroll av personer som ska arbeta med barn behöver det fastställas om personen har ”direkt och regelbunden kontakt med barn” för att veta om hen omfattas av kraven. Begreppet baseras på uttalanden i EU:s direktiv om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi och preciseras i propositionen (prop. 2012/13:194 s. 27) så här:
"Detta bör vara arbeten där arbetsuppgifterna i väsentlig grad består i att, huvudsakligen utan vårdnadshavarens eller någon annan vuxens närvaro, fostra, undervisa, sköta eller annars ta hand om eller på annat sätt arbeta i personlig kontakt med barn. Kravet på regelbundenhet bör innebära viss återkommande direktkontakt med barn."
Det finns i samma proposition till lagen om registerkontroll av personer som ska arbeta med barn (s. 28) även intressanta skrivningar om vilken praktik som omfattas av lagkravet:
"Under alla förhållanden kan de verksamhetsförlagda utbildningsdelarna innebära att studenter är delaktiga i de berörda verksamheterna i en sådan utsträckning att de ges möjligheter att knyta kontakter med barnen på ett sätt som inte skiljer sig påtagligt från vad som är fallet med anställda. Detta har ansetts motivera att den kontroll som sker enligt t.ex. skollagen även ska träffa de som under utbildning till en lärar- eller förskollärarexamen tilldelas plats för att genomföra verksamhetsförlagd del av utbildningen (jfr prop. 2007/08:28 s. 11 f.)."
NÄR DET INTE FINNS LAGSTÖD ATT GENOMFÖRA REGISTERKONTROLL
Registerkontroll gäller ett fåtal anställningar där det finns tydligt lagstöd. Samtidigt är det många som kontrollerar vandel inför anställningsbeslut. Med en allt vidare tolkning av begreppet lagöverträdelser (se ovan i avsnittet Bakgrund) finns det många falluckor i hanteringen. Den första är att hitta en legal möjlighet i kompletterande lagstiftning till GDPR, vilket inte är det lättaste.
I 3 kap. 8 § kompletteringslagen anges att personuppgifter som avses i artikel 10 GDPR får behandlas av myndigheter. Även andra än myndigheter får behandla sådana uppgifter, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Eftersom anställningsbeslut inte handlar om arkiveringsarbete finns bara en möjlighet för myndigheter att göra behandlingar. Kan denna rätt även användas när myndigheter ska rekrytera?
Lagtexten i 3 kap. 8 § kompletteringslagen preciserar inte myndigheters behandling närmare och i förarbetena (prop. 2017/18:105) görs ingen djupdykning eller precisering. Om man bara tittar på ordalydelsen i paragrafen är slutsatsen att behandling av lagöverträdelser i myndigheters rekryteringsarbete är möjlig. Jag är dock tveksam till en så vid tolkning och tror att en sådan hantering står i strid med några principer i artikel 5 GDPR.
I artikel 5.1 b GDPR anges att personuppgifterna ska samlas in för ”berättigade ändamål”, vilket har en koppling till artikel 6 GDPR (det är inte berättigat om man inte kan hitta en laglig grund). I artikel 6 GDPR finns det olika möjliga lagliga grunder för myndigheter, men ingen av dem passar på den angivna situationen. Utan lagstöd finns ingen rättslig förpliktelse att inhämta denna typ av personuppgifter (vilket det gör när lagstiftningen medger registerkontroll, jämför orden ”fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige” i artikel 6.1 c GDPR). Det rör sig inte om myndighetsutövning och även allmänt intresse är svårt att härleda; lagstiftaren har ju valt vissa sektorer som kräver säkerhetskontroll eller registerkontroll och noga reglerat dessa, att då hävda ”allmänt intresse” i rekryteringsfall utan lagstöd verkar svårt. Även artikel 6.1 e GDPR faller därför bort som möjlighet. Inte heller artikel 6.1 b GDPR, behandling nödvändig för avtal, lär fungera: lagstiftaren har ju tydliggjort i vilka fall det är nödvändigt att göra registerkontroll, så det kan vara svårt att argumentera för ”nödvändigheten”. Detta leder till att kravet på ”berättigade ändamål” i artikel 5. 1 b GDPR är svårt att uppfylla, vilket sannolikt leder till problem både enligt artikel 5 och 6 GDPR.
Jag kan även se att man kan få problem med principen om uppgiftsminimering i artikel 5.1 c GDPR: att inhämta personuppgifter om lagöverträdelser kan sannolikt ses som en för omfattande behandling i förhållande till ändamålet. Detta särskilt eftersom lagstiftaren satt ner foten för när myndigheter (och vissa andra aktörer) behöver se registerutdrag.
Eftersom jag inte tror att kompletteringslagen medger någon möjlighet – oavsett om man är myndighet eller annan personuppgiftsansvarig – kvarstår kompletteringsförordningen. I 5 § kompletteringsförordningen, som reglerar andra än myndigheters behandling av personuppgifter om lagöverträdelser, finns ingen sådan möjlighet: även här krävs stöd i lagstiftning för att behandlingen ska få ske och sådant saknas ju i dessa fall. Det föreligger heller inte en rättslig tvist vilket är ett annat undantag i förordningen.
Integritetsskyddsmyndigheten kan meddela föreskrifter, vilket skett genom DIFS 2018:2. Inte heller dessa täcker dock rekryteringssituationen. Däremot kan viss behandling ske när en person har en nyckelposition eller ledande ställning viss sorts verksamhet (se 2 § 4 p. DIFS 2018:2), alltså när en person redan är anställd.
Integritetsskyddsmyndigheten kan slutligen ge tillstånd att behandla personuppgifter om lagöverträdelser. Detta är dock en mödosam väg att vandra. Jag har tidigare i en analys berättat om Svenska kyrkans ansökan att få behandla personuppgifter om lagöverträdelser i sin domkapitelverksamhet (handlar förenklat uttryckt om att kunna återkalla rätten att agera som präst eller diakon vid misskötsamhet), en rättsprocess som fortfarande pågår.
DOKUMENTERA BEDÖMNINGAR
Jag tror således att det inte finns särskilt mycket utrymme att behandla personuppgifter om lagöverträdelser i rekryteringsärenden. Detta är sannolikt något som många ändå gör, så det lär komma fler rättsfall i frågan så småningom. Rimligen kommer även registrerade att ifrågasätta hanteringen och nuförtiden agerar ju Integritetsskyddsmyndigheten på klagomål. Detta innebär att frågan behöver styras upp av organisationer som inte vill drabbas i en tillsyn. Vill man ändå göra det är det viktigt att dokumentera hur man tänkt, se artikel 5.2 GDPR. Här är det förstås viktigt att inte glömma hanteringen av artiklarna 5 och 6 GDPR.
Tänk också på att personuppgifter om lagöverträdelser kan kräva annan hantering. Vid rekrytering lär två kriterier för konsekvensbedömning vara uppfyllda (utsatta registrerade och integritetskänsliga personuppgifter). Har man ett samarbete med en rekryteringsfirma kan man behöva ta fram biträdesavtal eller inbördes arrangemang (rekryteringsfirmor har ofta egna ändamål så ofta är det sistnämnda alternativet som är aktuellt). I den typen av relationer är det förstås också viktigt att dokumentera vad man får göra och vem som ansvarar för vad. Tänk på att det inte är avtalsfrihet utan det faktiska agerandet som styr rollerna.
Vid rekryteringar behandlas ofta även känsliga personuppgifter, vilket även det är komplext. Om man gör bakgrundskontroller och hittar personuppgifter om lagöverträdelser är det sannolikt att sökanden berättar om att hen var ur balans eller hade hälsoproblem som ursäkt för sitt beteende. Denna kombination av integritetskänsliga personuppgifter ser Integritetsskyddsmyndigheten som särskilt besvärlig, vilket bland annat är en anledning till den utdragna processen rörande Svenska kyrkans personuppgiftsbehandling. Detta är ytterligare en aspekt att ha med sig och dokumentera sitt tänk kring.
Av Monika Wendleby – Jurist, managementkonsult, föreläsare och författare till GDPR-böcker
Publicerad 26 okt 2021