Dataskydd

GDPR i HR och rekrytering: anställdas personuppgifter

GDPR i HR och rekrytering: rätt rättslig grund för anställningsdata, varför samtycke sällan gäller, bakgrundskontroller och gallring av avvisade ansökningar.

Also available in:Français·Deutsch·Español

GDPR i HR och rekrytering handlar framför allt om två saker som ofta görs fel: att välja rätt rättslig grund och att gallra ansökningar i tid. Samtycke är sällan en giltig grund i arbetslivet, eftersom den anställde eller kandidaten står i beroendeställning och inte kan lämna ett fritt samtycke. IMY har varit tydlig på den punkten. I stället vilar HR-behandlingar på avtal, rättslig förpliktelse och berättigat intresse. Den här guiden går igenom grunderna, bakgrundskontroller, gallring av avvisade ansökningar och övervakning av anställda.

Viktigaste punkterna

  • Samtycke är sällan giltigt i arbetslivet – beroendeställningen gör att samtycket inte är fritt. IMY:s vägledning om arbetsliv slår fast detta.
  • Kandidat- och anställningsdata vilar normalt på avtal (art. 6.1 b), rättslig förpliktelse (art. 6.1 c) och berättigat intresse (art. 6.1 f).
  • Uppgifter om lagöverträdelser (belastningsregister) får bara behandlas under de begränsade förutsättningar som Dataskyddslagen anger.
  • Avvisade ansökningar bör gallras när rekryteringen är klar, men kan behöva sparas ~2 år med hänsyn till diskrimineringslagens preskription.
  • Övervakning av anställda kräver en dokumenterad intresseavvägning och ofta en konsekvensbedömning.

Rätt rättslig grund i HR

Varje HR-behandling behöver en egen rättslig grund. De vanligaste:

Behandling Rättslig grund
Anställningsavtal, lön, förmåner Avtal (art. 6.1 b)
Skatt, arbetsgivardeklaration, arbetsmiljö Rättslig förpliktelse (art. 6.1 c)
Rekrytering och urval Berättigat intresse / åtgärder inför avtal
Kompetensutveckling, intern administration Berättigat intresse (art. 6.1 f)
Foton i intranät, sociala medier Samtycke (här är det ofta frivilligt)
Kamerabevakning på arbetsplatsen Berättigat intresse + intresseavvägning

Samtycke förekommer alltså – men bara för verkligt frivilliga behandlingar där ett nej inte får konsekvenser, som en profilbild på intranätet. För allt som hör till själva anställningen är samtycke fel verktyg. Vill du fördjupa dig i varför, se guiden om samtycke enligt GDPR.

Ett praktiskt problem med felaktig samtyckesanvändning är att samtycket kan återkallas när som helst. Om en arbetsgivare bygger lönehanteringen på den anställdes samtycke och den anställde återkallar det, skulle behandlingen i teorin behöva upphöra – vilket är orimligt eftersom lönen ändå måste betalas och redovisas. Det visar varför avtal och rättslig förpliktelse är de rätta grunderna: de är stabila och beroende av behandlingens syfte, inte av en frivillig viljeyttring som kan tas tillbaka. Att välja rätt grund från början är alltså inte en formalitet, utan avgörande för att behandlingen ska vara hållbar över tid.

Bakgrundskontroller och känsliga uppgifter

Bakgrundskontroller är rättsligt känsliga. Uppgifter om lagöverträdelser (utdrag ur belastningsregistret) får enligt Dataskyddslagen (2018:218) i regel bara behandlas av myndigheter eller om det är särskilt tillåtet. En arbetsgivare får normalt inte begära in och lagra ett belastningsregisterutdrag utan författningsstöd – i vissa branscher (skola, vård, omsorg) finns särskild lagstiftning som kräver kontroll. Att rutinmässigt spara sådana utdrag i personalakten är en vanlig och allvarlig överträdelse.

Uppgifter om hälsa (till exempel sjukfrånvaro och arbetsförmåga) är känsliga personuppgifter enligt artikel 9 och får bara behandlas med stöd av undantagen för arbetsrätt och socialförsäkring i förening med Dataskyddslagen 3 kap. Samla bara in det som behövs, och begränsa åtkomsten strikt.

Gallring av ansökningar

Den vanligaste HR-frågan om gallring gäller avvisade kandidater. När en rekrytering är avslutad är ändamålet uppfyllt, och huvudregeln är att ansökningshandlingar då ska gallras. Men diskrimineringslagen ger en avvisad kandidat en tidsfrist för att väcka anspråk, och för att kunna försvara sig mot en sådan talan har arbetsgivaren ett berättigat intresse av att bevara ansökningar i cirka två år. Efter det ska de gallras. Vill du bygga upp en talangpool och spara CV längre krävs ett separat, frivilligt samtycke från kandidaten. Sätt fristerna i din gallringsplan och koppla dem till registret.

Övervakning av anställda

Kontroll av anställda – loggning, e-postgranskning, GPS i tjänstebilar, kamerabevakning – är ett område där arbetsgivarens intresse ska vägas mot den anställdes integritet. Grunden är oftast berättigat intresse, men det kräver en dokumenterad intresseavvägning, och vid mer ingripande övervakning en konsekvensbedömning enligt artikel 35. Den anställde ska informeras i förväg. Kamerabevakning på arbetsplatsen har egna regler; se guiden om kamerabevakning och GDPR.

Information och rättigheter för anställda

En anställd har samma rättigheter som vilken registrerad som helst: rätt till information, tillgång, rättelse och i vissa fall radering. Det innebär att arbetsgivaren måste kunna svara på ett registerutdrag från en anställd inom en månad och redovisa vilka personuppgifter som behandlas och varför. I praktiken är HR-data ofta utspridd över lönesystem, HR-plattform, e-post och personalakt, vilket gör det svårt att sammanställa ett komplett svar – ett skäl att hålla behandlingarna strukturerade i registret från början.

Informationskravet enligt artikel 13 gäller redan vid rekryteringen: kandidaten ska få veta hur ansökan behandlas, hur länge den sparas och vilka som tar del av den. Många arbetsgivare glömmer att informera avvisade kandidater om gallringstiden, vilket i sig är en brist. En tydlig integritetsinformation till både kandidater och anställda löser detta – och signalerar samtidigt professionalitet i rekryteringsprocessen.

Ett särskilt känsligt område är visselblåsning. Sedan lagen om skydd för personer som rapporterar om missförhållanden trädde i kraft måste många arbetsgivare ha interna rapporteringskanaler, och dessa behandlar ofta känsliga uppgifter om utpekade personer. Sådana kanaler kräver strikt åtkomstbegränsning, korta gallringsfrister och ofta en konsekvensbedömning, eftersom uppgifterna rör identifierbara individer i ett utsatt läge.

Vad HR-funktionen behöver ha på plats

  1. Registerförteckning över HR-behandlingar: rekrytering, anställda, lön, sjukfrånvaro, övervakning – se registerförteckning.
  2. Dokumenterad rättslig grund per behandling, med intresseavvägningar där berättigat intresse används.
  3. Gallringsfrister för avvisade ansökningar (~2 år) och för anställningsdata efter avslutad anställning.
  4. Biträdesavtal med lönebyrå, rekryteringssystem och HR-plattformar – se personuppgiftsbiträdesavtal.
  5. Information till kandidater och anställda om hur deras uppgifter behandlas.

HR-data är särskilt känsligt eftersom det rör organisationens egna medarbetare och ofta omfattar hälsouppgifter. En plattform som Legiscope kan strukturera HR-behandlingarna i registret med rätt grund och gallringsfrist per behandling, vilket gör det enklare att visa efterlevnad vid en tillsyn. Behöver ni väga in om HR-volymerna motiverar ett dataskyddsombud, gör den bedömningen tidigt.

Vanliga frågor

Kan jag använda samtycke som grund för att behandla anställdas uppgifter?

Sällan. I arbetslivet står den anställde i beroendeställning, vilket gör att ett samtycke normalt inte anses fritt lämnat. IMY:s vägledning slår fast att samtycke bara är giltigt för verkligt frivilliga behandlingar. För det som hör till anställningen används avtal, rättslig förpliktelse eller berättigat intresse.

Hur länge får jag spara avvisade jobbansökningar?

Ansökningar bör gallras när rekryteringen är avslutad, men kan sparas i cirka två år med hänsyn till diskrimineringslagens tidsfrist för anspråk. Vill du spara CV längre för framtida rekrytering krävs ett separat samtycke från kandidaten.

Får jag begära utdrag ur belastningsregistret vid anställning?

Endast om det finns författningsstöd. I vissa branscher – skola, vård, omsorg – krävs registerkontroll enligt särskild lag. Utan sådant stöd får en arbetsgivare normalt inte begära in och lagra belastningsregisterutdrag, eftersom uppgifter om lagöverträdelser är särskilt skyddade i Dataskyddslagen.

Får jag övervaka anställdas e-post och internetanvändning?

Bara med en dokumenterad intresseavvägning och efter att de anställda informerats i förväg. Övervakning bygger normalt på berättigat intresse, men arbetsgivarens intresse måste väga tyngre än den anställdes integritet. Ju mer ingripande kontrollen är, desto starkare skäl krävs, och vid systematisk övervakning behövs ofta en konsekvensbedömning enligt artikel 35.

Slutsats

GDPR i HR och rekrytering kräver att du väljer rätt grund – nästan aldrig samtycke – för varje behandling, hanterar bakgrundskontroller och hälsouppgifter med försiktighet, och gallrar avvisade ansökningar när ändamålet och diskrimineringslagens frist är uppfyllda. Dokumentera grunderna och gallringsfristerna i registret och ha biträdesavtal med alla HR-leverantörer. Grunden finns i dataskyddsförordningen och i IMY:s vägledning om dataskydd i arbetslivet.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →