GDPR og bakgrunnssjekker: Hva du må vite

Personvern er et grunnleggende prinsipp i moderne rekruttering. Med innføringen av GDPR (General Data Protection Regulation) i 2018 ble kravene til behandling av personopplysninger betydelig strengere. For HR-avdelinger som gjennomfører bakgrunnssjekker er det avgjørende å forstå regelverket.

Hva er GDPR?

GDPR er EUs personvernforordning som gjelder i hele EØS-området, inkludert Norge. Forordningen gir enkeltpersoner sterkere kontroll over egne personopplysninger og stiller strenge krav til virksomheter som behandler slike data.

I Norge er GDPR implementert gjennom personopplysningsloven, som trådte i kraft 20. juli 2018. Datatilsynet er ansvarlig myndighet for å håndheve regelverket.

Grunnprinsipper for lovlig behandling

For at en bakgrunnssjekk skal være lovlig, må følgende prinsipper være oppfylt:

1. Lovlighet, rettferdighet og åpenhet: Behandlingen må ha et gyldig rettslig grunnlag og være transparent overfor kandidaten.
2. Formålsbegrensning: Opplysningene kan kun brukes til det angitte formålet – vurdering av kandidatens egnethet.
3. Dataminimering: Kun nødvendige opplysninger skal innhentes.
4. Riktighet: Opplysningene må være korrekte og oppdaterte.
5. Lagringsbegrensning: Data skal ikke oppbevares lenger enn nødvendig.
6. Integritet og konfidensialitet: Opplysningene må beskyttes mot uautorisert tilgang.

Samtykke som rettslig grunnlag

For bakgrunnssjekker i rekruttering er samtykke det vanligste rettslige grunnlaget. Et gyldig samtykke må være:

• Frivillig: Kandidaten må kunne si nei uten negative konsekvenser
• Spesifikt: Samtykket må gjelde konkrete sjekker
• Informert: Kandidaten må forstå hva de samtykker til
• Utvetydig: En aktiv handling som bekrefter samtykke

"Samtykke er ikke gyldig hvis det foreligger et klart skjevt maktforhold mellom partene – men i rekruttering aksepteres samtykke så lenge kandidaten har reelle valgmuligheter."

Kandidatens rettigheter

GDPR gir kandidater en rekke rettigheter som arbeidsgivere må respektere:

Rett til informasjon

Kandidaten har rett til å vite hvilke opplysninger som samles inn, hvorfor, og hvem som har tilgang til dem. Dette skal kommuniseres før bakgrunnssjekken gjennomføres.

Rett til innsyn

Kandidaten kan be om å se alle opplysninger som er samlet inn om dem, inkludert resultatene av bakgrunnssjekken.

Rett til retting

Hvis opplysningene er feil, har kandidaten rett til å få dem rettet. Dette er spesielt viktig ved bakgrunnssjekker der feilaktig informasjon kan påvirke ansettelsen.

Rett til sletting

Etter at rekrutteringsprosessen er avsluttet, kan kandidaten be om at opplysningene slettes – med mindre det finnes andre legitime grunner til å beholde dem.

Praktiske tiltak for compliance

1. Utarbeid en personvernerklæring spesifikt for rekruttering
2. Dokumenter samtykke elektronisk med tidsstempel
3. Begrens tilgangen til bakgrunnssjekk-data til kun de som trenger det
4. Etabler rutiner for sletting av data etter fastsatte frister
5. Velg en leverandør som er GDPR-compliant og har databehandleravtale

Konsekvenser ved brudd

Brudd på GDPR kan medføre betydelige bøter – opptil 20 millioner euro eller 4% av global omsetning. I tillegg kommer omdømmetap og mulige erstatningskrav fra berørte kandidater.

Datatilsynet gjennomfører jevnlig tilsyn og har myndighet til å pålegge virksomheter å endre praksis, samt ilegge overtredelsesgebyr.

Oppsummering

GDPR setter klare rammer for hvordan bakgrunnssjekker kan gjennomføres. Ved å følge prinsippene om lovlighet, formålsbegrensning og dataminimering – og ved å respektere kandidatens rettigheter – kan du gjennomføre grundige og lovlige bakgrunnssjekker.

Med riktig tilnærming blir personvern en naturlig del av rekrutteringsprosessen som bygger tillit hos kandidatene.