✔ Kontrollera belastningsregister   ✔ Snabb kontrollprocess   ✔ Tryggt och säkert (ISO)

SE / EN
Bloggar

Bakgrundskontroller enligt GDPR – vad gäller vid rekrytering?

Att genomföra en bakgrundskontroll innebär att du behandlar personuppgifter – vilket gör att GDPR (dataskyddsförordningen) alltid behöver följas. Men vad är egentligen tillåtet, och vad är inte?

Vid rekrytering och anställning får bakgrundskontroller endast genomföras om det finns en laglig grund, till exempel samtycke eller berättigat intresse. Samtidigt måste kontrollen vara proportionerlig och transparent.

Här går vi igenom vad som gäller för bakgrundskontroller enligt GDPR, vilka uppgifter du får kontrollera och hur du gör rätt i praktiken.

Läs mer om bakgrundskontroller Frågor? Kontakta oss!
Personal arbetar med informationssäkerhet och cybersäkerhet

Vad innebär GDPR för bakgrundskontroller?

När du gör en bakgrundskontroll behandlar du personuppgifter – och då gäller GDPR. GDPR (General Data Protection Regulation), eller dataskyddsförordningen, är EU:s regelverk för hur personuppgifter får behandlas. För arbetsgivare innebär det att all hantering av kandidat- och medarbetardata, inklusive bakgrundskontroller, måste ske lagligt, transparent och med tydligt syfte.

 

Är bakgrundskontroller tillåtna enligt GDPR?


Ja, bakgrundskontroller är tillåtna enligt GDPR – men endast om det finns en laglig grund, och om kontrollen är relevant, proportionerlig och transparent.

Det innebär att arbetsgivare inte kan genomföra bakgrundskontroller slentrianmässigt, utan måste kunna motivera varför kontrollen är nödvändig i varje enskilt fall.

 

Behövs samtycke för bakgrundskontroller?

Nej, samtycke är inte den enda möjliga lagliga grunden.

I många fall baseras bakgrundskontroller istället på berättigat intresse, förutsatt att arbetsgivarens behov väger tyngre än individens rätt till integritet.

Det kräver att kontrollen:

  • har ett tydligt syfte 
  • är relevant för rollen 
  • och att kandidaten informeras i förväg
Candidate experience

 

Kvinna i kundtjänst med headset
Kvinna i kundtjänst med headset

Hur omfattande får en bakgrundskontroll vara?


En bakgrundskontroll måste alltid vara proportionerlig i förhållande till rollen.

Det innebär att:

  • endast uppgifter som är relevanta får samlas in 
  • omfattningen ska anpassas efter risknivå och ansvar i tjänsten 
  • mer ingripande kontroller kräver starkare motivering.

Exempel: För en ekonomisk roll kan en kreditupplysning vara motiverad. För andra roller kan samma kontroll vara oproportionerlig.

Läs mer om hur man anpassar bakgrundskontroller

 

 

När får arbetsgivare göra en bakgrundskontroll enligt GDPR?

 

Staffing recruiting

Vid rekrytering

Bakgrundskontroller är vanligast i samband med rekrytering, där arbetsgivaren behöver verifiera uppgifter eller bedöma risker kopplade till en tjänst.

 

Det kan till exempel handla om att:

 

  • kontrollera identitet, utbildning eller arbetslivserfarenhet 
  • säkerställa att kandidaten uppfyller krav för rollen 
  • minska risker i förtroende- eller säkerhetskritiska positioner 

Kontrollen ska alltid vara anpassad efter rollen och får inte vara mer omfattande än nödvändigt.

Staffing recruiting2

Under anställning

Bakgrundskontroller kan i vissa fall även genomföras under pågående anställning, men kraven är då ofta högre.

 

Det kan vara aktuellt vid:

 

  • förändrade arbetsuppgifter eller ökat ansvar 
  • interna omplaceringar till mer känsliga roller 
  • särskilda säkerhetskrav 

Arbetsgivaren måste kunna motivera behovet och säkerställa att kontrollen är proportionerlig. Även här gäller krav på tydlig information till den anställde.

 

Vilka uppgifter får kontrolleras?

Vilka uppgifter som är tillåtna beror på tjänstens ansvar och risknivå, men kan exempelvis inkludera:

Våra olika bakgrundskontroller

Osäker på vad som faktiskt gäller i praktiken?

Att avgöra vilka uppgifter som får kontrolleras i praktiken kan vara komplext – särskilt när olika regelverk och risknivåer ska vägas mot varandra.

Här går vi igenom hur du kan arbeta strukturerat med bakgrundskontroller och samtidigt säkerställa integritet och efterlevnad.

Ladda ner vår guide om bakgrundskontroll och integritet

 

Så gör du en GDPR-säker bakgrundskontroll – steg för steg

 

1. Informera kandidaten i förväg

 

Kandidaten ska alltid informeras om att en bakgrundskontroll kommer att genomföras som en del av rekryteringsprocessen.

Informationen ska vara tydlig och innehålla:

  • vilka uppgifter som kommer att kontrolleras 
  • syftet med kontrollen 
  • hur uppgifterna kommer att användas 

Transparens är ett grundkrav enligt GDPR.

2. Säkerställ att det finns en laglig grund

 

Innan en bakgrundskontroll genomförs måste du fastställa vilken laglig grund som gäller.

Vanliga alternativ är:

  • Berättigat intresse – när kontrollen är nödvändig för verksamheten 
  • Samtycke – i vissa fall, men bör användas med försiktighet 

Det är viktigt att göra en intresseavvägning och kunna motivera varför kontrollen är nödvändig.

3. Begränsa kontrollen till relevanta uppgifter

 

Enligt GDPR får endast uppgifter som är relevanta och nödvändiga för den aktuella rollen behandlas.

Det innebär att:

  • kontroller ska anpassas efter roll, bransch, ansvar, tillgång och risk
  • onödig eller överdriven informationsinsamling ska undvikas 

Principen om dataminimering är central.

4. Dokumentera syfte och process

 

För att kunna visa att ni följer GDPR behöver ni dokumentera hur bakgrundskontroller genomförs.

Det bör framgå:

  • varför kontrollen görs 
  • vilken laglig grund som används 
  • hur proportionalitet har bedömts 

Dokumentationen är viktig både vid intern uppföljning och vid eventuell granskning från IMY.

5. Hantera och lagra uppgifter korrekt

 

Personuppgifter från bakgrundskontroller måste hanteras på ett säkert sätt och får inte sparas längre än nödvändigt.

Det innebär att:

  • tillgången till uppgifterna ska vara begränsad 
  • uppgifterna ska skyddas mot obehörig åtkomst 
  • det ska finnas tydliga rutiner för gallring 

Lagringsbegränsning och säkerhet är centrala delar av GDPR.

 

Ladda ner vårt white paper om GDPR och bakgrundskontroller

Fyll i formuläret för att ladda ner vårt white paper Trygga bakgrundskontroller enligt GDPR. 

Genom att ladda ner detta white paper samtycker du till att bli kontaktad av DISA med information om våra tjänster.

 

Vad händer om man bryter mot GDPR?

Att genomföra en bakgrundskontroll utan laglig grund innebär ett brott mot GDPR och kan leda till tillsyn från Integritetsskyddsmyndigheten (IMY).

Enligt GDPR kan administrativa sanktionsavgifter uppgå till upp till 20 miljoner euro eller, för företag, upp till 4 % av den globala årsomsättningen – beroende på vilket belopp som är högst.

Utöver böter kan organisationen behöva:

  • stoppa eller ändra sina processer 
  • radera insamlad information 
  • hantera klagomål eller skadeståndsanspråk 

Det kan också innebära att informationen från bakgrundskontrollen inte får användas i rekryteringsbeslut.

 

Tillsyn och prövning enligt GDPR

I praktiken uppstår många frågor kring bakgrundskontroller genom att individer vänder sig till sin arbetsgivare eller sitt fackförbund för att få klarhet i hur deras personuppgifter har behandlats.

Det kan till exempel handla om:

  • att en kandidat inte har informerats om att en bakgrundskontroll genomförts 
  • att en arbetsgivare har samlat in fler uppgifter än vad som är relevant för rollen 
  • eller att information från en bakgrundskontroll används på ett sätt som upplevs som osakligt eller oproportionerligt

Om frågan inte kan lösas internt kan ärendet föras vidare till Integritetsskyddsmyndigheten (IMY), som är tillsynsmyndighet i Sverige.

IMY kan då inleda en granskning av organisationens behandling av personuppgifter, begära in dokumentation och bedöma om hanteringen är förenlig med GDPR. Vid brister kan myndigheten besluta om korrigerande åtgärder eller sanktionsavgifter. IMY:s beslut kan överklagas till förvaltningsdomstol, där ärendet prövas rättsligt. Det innebär att frågor om bakgrundskontroller i vissa fall ytterst avgörs genom domstolsprövning.

 

Exempel på rättsfall och tillsynsärenden

Integritetsskyddsmyndigheten (IMY) har beslutat om sanktionsavgifter mot bolag inom SL-gruppen efter att ha granskat hur alkoholtester av anställda genomförts.

Även om syftet med kontrollerna kunde anses motiverat, bedömde IMY att hanteringen av personuppgifter var för omfattande och inte tillräckligt proportionerlig. Det innebar att behandlingen stred mot GDPR.

Lärdom: Även när det finns ett legitimt syfte måste omfattningen av en kontroll vara noggrant avvägd.

I ett vägledande avgörande slog Högsta domstolen fast att domar som innehåller personuppgifter inte får spridas eller göras sökbara i kommersiella databaser.

Beslutet innebär att aktörer som Lexbase och Acta Publica inte längre kan tillhandahålla sådana uppgifter till betalande kunder, eftersom det strider mot GDPR.

Lärdom: Att information är offentlig innebär inte att den får användas fritt. Även vid bakgrundskontroller måste behandling av personuppgifter ske med stöd i GDPR och vara proportionerlig.

Ett uppmärksammat GDPR-ärende rörde H&M i Tyskland, där bolaget samlade in och lagrade detaljerad information om anställdas privatliv, inklusive hälsa och personliga förhållanden.

Uppgifterna användes i arbetsrelaterade sammanhang och var tillgängliga för flera chefer, vilket ansågs strida mot grundläggande dataskyddsprinciper.

Myndigheten bedömde att behandlingen var oproportionerlig och saknade rättslig grund, vilket resulterade i en sanktionsavgift på cirka 35 miljoner euro.

Lärdom: Även i arbetslivet finns tydliga gränser för vilka uppgifter som får samlas in. Särskilt känsliga personuppgifter kräver starkt stöd i lag och får inte behandlas slentrianmässigt.

 

 

Undvik vanliga misstag

Att genomföra bakgrundskontroller i enlighet med GDPR handlar inte bara om att ha rätt intention, utan om att säkerställa att hela processen är korrekt utformad.

Många brister som leder till tillsyn eller sanktioner beror inte på att kontroller i sig är otillåtna, utan på hur de genomförs.

För att undvika vanliga misstag bör du:

  • Säkerställa en tydlig laglig grund
    Innan en bakgrundskontroll genomförs måste det finnas en dokumenterad laglig grund, exempelvis berättigat intresse. Den ska kunna motiveras och vägas mot individens rätt till integritet. 
  • Begränsa kontrollen till relevanta uppgifter
    Samla endast in information som är nödvändig för den specifika rollen.
    Exempel: Kreditupplysning kan vara relevant för ekonomiska roller, men sällan annars. 
  • Vara transparent gentemot kandidaten
    Informera tydligt om att en bakgrundskontroll genomförs, vilka uppgifter som samlas in och varför. 
  • Dokumentera processen
    Säkerställ att det går att visa varför kontrollen genomförts, vilken laglig grund som använts och hur proportionalitet har bedömts. 
  • Hantera och gallra uppgifter korrekt
    Personuppgifter får inte sparas längre än nödvändigt. Tydliga rutiner för lagring och gallring är avgörande. 
  • Använda tillförlitliga och lagliga källor
    All information måste vara insamlad på ett lagligt sätt. Felaktiga eller otillåtna källor kan i sig innebära ett GDPR-brott.
     

 

 

DISA säkerställer en integritetssäker bakgrundskontroll enligt GDPR

Förutom att det måste finnas ett berättigat intresse för att utföra en bakgrundskontroll enligt GDPR, finns det en del andra riktlinjer som behöver följas. Här är exempel på några av de viktigaste som du bör ha i åtanke innan du samlar in och behandlar kandidaters personuppgifter.

1. Säker programvara
DISA:s screeningsprogramvara är säker och vi skyddar personuppgifter mot både förlust och mot otillåten behandling.

2. Tillgång till dataskyddsombud
Vi har ett dataskyddsombud som är redo att utmana oss om hur vi ska behandla personuppgifter och säkerställa efterlevnad av alla nationella och internationella lagar och förordningar. När vi utvecklar vår plattform sätter vi alltid integritetsskydd främst.

3. ISO-Certifiering och medlemskap i BKF
Vi har ISO-certifiering (27001 och 9001) som säkerställer att vi alltid har en hög kvalitetsstyrning och informationssäkerhet. Dessutom är vi medlemmar i branschorganisationen BKF.

 

Vill du veta mer om hur ni kan arbeta strukturerat och GDPR-säkert med bakgrundskontroller?

DISA hjälper organisationer att genomföra bakgrundskontroller i enlighet med gällande lagstiftning.

Berätta om era behov Boka ett samtal för rådgivning

 

Databehandling inom EU och säker IT-infrastruktur

All data hos DISA behandlas och lagras uteslutande inom EU. Våra datacenter finns i Tyskland och Irland, vilket säkerställer full efterlevnad av GDPR och minimerar risker kopplade till dataöverföringar utanför EU.

Genom att lagra data inom Europa undviker vi även osäkerheter kopplade till exempelvis amerikansk lagstiftning, såsom US Cloud Act.

Våra system övervakas kontinuerligt och skyddas med moderna säkerhetslösningar för att säkerställa högsta möjliga nivå av dataintegritet och konfidentialitet.

 

Tekniska och organisatoriska säkerhetsåtgärder (TOMs)

All data överförs krypterat och lagras på säkra servrar inom EU. Åtkomsten är strikt kontrollerad och ges endast till behöriga personer via säkra autentiseringslösningar.

Vår IT-infrastruktur uppdateras och testas regelbundet för att identifiera och åtgärda sårbarheter. Säkerhetskopiering inom EU säkerställer att data snabbt kan återställas vid behov.

Vi har även fysiska säkerhetsåtgärder på plats för att skydda våra datacenter mot obehörig åtkomst.

Tillsammans skapar dessa tekniska och organisatoriska åtgärder en trygg och säker hantering av data för både kunder och kandidater.

 

Varför välja DISA för GDPR-säkra bakgrundskontroller?

  • Gedigen GDPR-expertis: Med över 25 års erfarenhet av bakgrundskontroller i Europa har vi en djup förståelse för både GDPR och nationella regelverk.
  • Datalagring inom EU: All data behandlas och lagras uteslutande inom EU, utan överföringar till USA eller andra tredjeländer.
  • Certifierad och branschförankrad säkerhet: Vi är certifierade enligt ISO 27001, ISO 9001 samt följer riktlinjer från BKF (Bakgrundskontrollföretagen), vilket säkerställer höga krav på kvalitet, säkerhet och efterlevnad.
  • Tillgängligt expertstöd: Våra specialister inom dataskydd och regelefterlevnad finns till hands för att stötta både kunder och kandidater genom hela processen.
  • Beprövad erfarenhet: Vi är en betrodd partner för företag inom reglerade branscher där höga krav ställs på säkerhet och efterlevnad.
Kontakta oss Boka demo

 

 

Vanliga frågor om bakgrundskontroller och GDPR

 

Arbetsgivare pratar med anställd
Arbetsgivare pratar med anställd

För arbetsgivare


Det beror på rollen. Vanligtvis kontrolleras identitet, utbildning och arbetslivserfarenhet. I vissa fall kan även kreditupplysning eller andra kontroller vara motiverade, men endast om de är relevanta och proportionerliga.

Nej. Samtycke är en möjlig laglig grund, men rekommenderas inte vid bakgrundskontroller i rekryteringsprocesser.

Istället används ofta berättigat intresse, eftersom samtycke kan återkallas när som helst och det i en rekryteringssituation kan vara svårt att säkerställa att samtycket är helt frivilligt.

Förutsatt att kontrollen är relevant, proportionerlig och att kandidaten informeras, är berättigat intresse i många fall en mer lämplig grund.

Berättigat intresse innebär att arbetsgivaren har ett tydligt och motiverat behov av att genomföra en bakgrundskontroll, till exempel för att säkerställa trygghet, minska risker eller verifiera att uppgifter stämmer.

Samtidigt måste detta behov vägas mot kandidatens rätt till integritet, vilket innebär att kontrollen ska vara relevant för rollen och inte mer omfattande än nödvändigt.

Nej. Bakgrundskontroller ska inte göras slentrianmässigt. De ska baseras på behov och vara anpassade.

Ja, du kan fatta ett rekryteringsbeslut baserat på en bakgrundskontroll, men informationen måste vara relevant för den aktuella rollen.

Det innebär att resultatet ska ha en tydlig koppling till arbetsuppgifterna. Till exempel kan ekonomiska avvikelser vara relevanta för en roll med ekonomiskt ansvar, men inte för andra tjänster.

Beslutet får inte vara diskriminerande och bör baseras på aktuell och saklig information.

Det finns ingen exakt tidsgräns i GDPR, men uppgifter ska vara relevanta och proportionerliga. Äldre information är ofta mindre relevant.

Endast i begränsade fall och beroende på tillämplig lagstiftning. Uppgifter om brott räknas som särskilt känsliga personuppgifter och får därför bara behandlas om det finns stöd i lag eller annan rättslig grund.

I praktiken innebär det att kontroller ofta sker genom relevanta juridiska register eller certifikat från svenska myndigheter, beroende på vad som är tillåtet i det specifika fallet.

Ja, men bara om det är motiverat av rollen, exempelvis vid ekonomiskt ansvar.

Ja. Det är ett grundkrav enligt GDPR att informera kandidaten om vad som görs och varför.

Den ska vara tydlig och begriplig. Kandidaten ska förstå syftet, vilka uppgifter som samlas in och hur de används.

Endast så länge det är nödvändigt. Organisationer bör ha tydliga gallringsrutiner.

Ja, det är god praxis och ofta nödvändigt för att visa efterlevnad av GDPR.

Ja, men du ansvarar fortfarande för att GDPR följs. Samarbeta bara med seriösa leverantörer som uppfyller dataskyddskraven.

 

För kandidater/arbetstagare


Nej. Du har rätt att bli informerad enligt GDPR.

Ja, men det kan påverka dina möjligheter att få tjänsten beroende på rollens krav.

Ja. Du har rätt till transparens kring vilka uppgifter som behandlas.

Ja, du har rätt att få tillgång till dina personuppgifter.

Det beror på. Det måste vara relevant och proportionerligt samt följa GDPR.

Äldre uppgifter ska vägas mot relevans. GDPR kräver att informationen är proportionerlig och aktuell.

Ja, men beslutet måste vara sakligt och icke-diskriminerande.

Ja, i vissa fall har du rätt att få dina personuppgifter raderade enligt GDPR:s så kallade “rätt att bli bortglömd”.

Det gäller till exempel om:

  • uppgifterna inte längre är nödvändiga för det syfte de samlades in för 
  • behandlingen saknar laglig grund 
  • eller om du invänder mot behandlingen och det saknas berättigade skäl att fortsätta 

Det finns dock undantag. Arbetsgivaren kan i vissa fall behöva behålla uppgifter, till exempel för att uppfylla rättsliga skyldigheter eller kunna försvara sig vid en rättslig tvist.

Om du misstänker att en bakgrundskontroll inte har hanterats korrekt enligt GDPR kan du:

  • kontakta arbetsgivaren 
  • begära information om vilka uppgifter som har behandlats 
  • vända dig till ditt fackförbund för stöd 
  • anmäla till Integritetsskyddsmyndigheten (IMY)

 

Läs mer om GDPR och bakgrundskontroller

 

Hur skiljer sig dataskyddslagen från GDPR och hur påverkar det bakgrundskontroller?

Vad är skillnaden mellan GDPR och dataskyddslagen? Vi förklarar hur regelverken samverkar och vad det innebär när du ska göra en bakgrundskontroll.

Läs mer

GDPR och kreditupplysning vid anställning

När får man ta en kreditupplysning vid rekrytering? Läs om lagkrav, GDPR och hur du skyddar både kandidaten och arbetsgivarens varumärke.

Läs mer

Bakgrundskontroll och integritet

Bakgrundskontroll av anställda är per definition ett integritetsbrott. Vilka krav behöver du uppfylla för att göra en bakgrundskontroll GDPR-säker? 

Läs mer

 

 

Kom igång med bakgrundskontroller

Har du frågor om specifika kontroller eller funderar på vilken lösning som passar er versamhet. Skicka din förfrågan!

Hitta ditt dossiernummer i ditt konto