✔ Kontrollera belastningsregister   ✔ Snabb kontrollprocess   ✔ Tryggt och säkert (ISO)

SE / EN
Bloggar

Hur skiljer sig dataskyddslagen från GDPR och hur påverkar det bakgrundskontroller?

Dataskydd och integritet är idag en självklar del av en professionell rekryteringsprocess. Samtidigt uppstår ofta frågor kring regelverket: vad är egentligen skillnaden mellan GDPR och dataskyddslagen och hur påverkar det möjligheten att genomföra bakgrundskontroller?

Vi går igenom vad skillnaden är och vad du som arbetsgivare behöver ha koll på för att utföra trygga och rättssäkra bakgrundskontroller.  
 

Frågor? Kontakta oss!
Två män i en stilren kontorsmiljö som pratar om gdpr och dataskyddslagens relation till bakgrundskontroller.

Vad är GDPR?

GDPR (General Data Protection Regulation) är en EU-förordning som reglerar hur personuppgifter får behandlas inom hela EU. Förordningen trädde i kraft 2018 och syftar till att stärka individens rättigheter och skapa en enhetlig skyddsnivå för personuppgifter inom unionen.

 

GDPR bygger på ett antal grundprinciper, bland annat:

 

  • laglighet, korrekthet och transparens
  • begränsning enligt ändamål
  • uppgiftsminimering
  • lagringsminimering
  • integritet och konfidentialitet.

För arbetsgivare innebär detta att en bakgrundskontroll alltid måste ha ett tydligt och legitimt syfte. Personuppgifter får endast behandlas om det finns en rättslig grund, exempelvis en intresseavvägning eller en rättslig förpliktelse. Kontrollen ska dessutom vara relevant och proportionerlig i förhållande till tjänstens ansvar och risknivå.

 

GDPR anger alltså de övergripande ramarna för hur personuppgifter får hanteras, oavsett om det gäller rekrytering, leverantörssamarbeten eller interna processer.

Vad är dataskyddslagen?

Dataskyddslagen är den svenska lag som kompletterar GDPR. Eftersom GDPR är en EU-förordning gäller den direkt i alla medlemsländer, men den lämnar utrymme för nationella anpassningar inom vissa områden. Dataskyddslagen fyller ut dessa delar och preciserar hur reglerna ska tillämpas i Sverige.

 

Lagen innehåller bland annat bestämmelser om:

 

  • behandling av personnummer
  • hantering av känsliga personuppgifter
  • behandling av uppgifter om lagöverträdelser
  • tillsyn och sanktionsavgifter genom Integritetsskyddsmyndigheten (IMY).

För arbetsgivare som genomför bakgrundskontroller är dessa kompletterande regler särskilt viktiga, eftersom vissa typer av uppgifter omfattas av strängare krav än andra.

 

Kvinna i vit skjorta
Kvinna i vit skjorta

Den viktigaste skillnaden: EU-förordning och nationell lag


Den stora skillnaden mellan GDPR och dataskyddslagen är att GDPR är ett övergripande EU-regelverk, medan dataskyddslagen är en svensk kompletterande lagstiftning.

GDPR fastställer grundprinciperna och de rättsliga ramarna för behandling av personuppgifter. Dataskyddslagen förtydligar hur dessa ramar ska tillämpas i Sverige, särskilt i frågor där medlemsstaterna har möjlighet att besluta om egna regler.

För arbetsgivare innebär det att båda regelverken måste beaktas parallellt vid en bakgrundskontroll. 
 

 

Hur påverkar regelverken bakgrundskontroller?

 

En bakgrundskontroll måste alltid vila på en laglig grund. Vid en rekrytering används ofta en intresseavvägning, där arbetsgivarens berättigade intresse av att skydda verksamheten vägs mot kandidatens rätt till integritet. Ju större ansvar och risk tjänsten innebär, desto starkare kan arbetsgivarens intresse vara.

Samtidigt måste kontrollen vara proportionerlig. Det innebär att omfattningen ska anpassas efter rollens faktiska ansvar. En omfattande kontroll utan tydlig koppling till tjänstens risknivå kan därmed strida med både GDPR och dataskyddslagen.
 

Vissa uppgifter omfattas av särskilt strikta regler. Det gäller exempelvis känsliga personuppgifter och uppgifter om lagöverträdelser.

Behandling av brottsuppgifter är särskilt reglerad och kräver noggrann rättslig bedömning. En rättslig bakgrundskontroll måste därför vara tydligt motiverad och kopplad till rollens krav på integritet, säkerhet eller särskilt förtroende. Det räcker inte att genomföra kontrollen på rutin, utan den måste vara sakligt motiverad. Exempelvis finns det vissa roller där du enligt lag behöver begära ett utdrag ur Polisens belastningsregister, såsom jobb på skola eller inom vården.

GDPR ställer höga krav på transparens. Kandidaten ska informeras om:

  • att en bakgrundskontroll genomförs
  • vilka uppgifter som behandlas
  • syftet med behandlingen
  • den rättsliga grunden
  • hur länge uppgifterna sparas
  • vilka rättigheter kandidaten har.

En tydlig och professionell kommunikation stärker inte bara regelefterlevnaden, utan även kandidatupplevelsen. Transparens bidrar till förtroende och signalerar att organisationen arbetar strukturerat och ansvarsfullt.

Personuppgifter får inte sparas längre än nödvändigt. Lagringsminimering är en central princip i GDPR och gäller fullt ut även vid bakgrundskontroller.

Resultatet ska endast vara tillgängligt för behöriga personer, vanligtvis HR och rekryterande chef. Åtkomsten ska vara begränsad och hanteringen dokumenterad. En tydlig gallringspolicy är en viktig del av en lagenlig process.
 

 

Vanliga missförstånd kring GDPR och bakgrundskontroller


Ett vanligt missförstånd är att GDPR förbjuder bakgrundskontroller. Det stämmer inte. Regelverket förbjuder inte kontroller utan reglerar hur de får genomföras. Ett annat missförstånd är att samtycke alltid krävs. I många fall är det istället en intresseavvägning som utgör den mest lämpliga rättsliga grunden eftersom ett samtycke alltid kan dras tillbaka.

Det är också viktigt att komma ihåg att alla roller inte kräver samma nivå av kontroll. En bakgrundskontroll ska alltid vara riskbaserad och proportionerlig.
 

Två kvinnor i en kontorsmiljö
Två kvinnor i en kontorsmiljö

 

Så säkerställer du regelefterlevnad i praktiken

För att genomföra bakgrundskontroller i enlighet med GDPR och dataskyddslagen bör organisationen:

  • ha en tydlig och dokumenterad policy
  • genomföra riskbedömningar per roll
  • säkerställa korrekt rättslig grund
  • informera kandidaten på ett transparent sätt
  • begränsa åtkomst och lagring
  • dokumentera processer och beslut.

Regelefterlevnad handlar inte enbart om juridik. Det handlar om struktur, tydlighet och konsekvent tillämpning.

 

En ung kvinna i en skandinavisk kontorsmiljö som sitter vid en dator.
En ung kvinna i en skandinavisk kontorsmiljö som sitter vid en dator.

Så stöttar DISA en lagenlig process


Att navigera mellan GDPR och dataskyddslagen kräver både juridisk och operativ kompetens. DISA hjälper organisationer att genomföra bakgrundskontroller på ett rättssäkert, effektivt och professionellt sätt.
Med vår digitala plattform får du tydligt strukturerade processer som säkerställer att varje kontroll anpassas efter rollens risknivå och att behandlingen av personuppgifter sker i enlighet med gällande regelverk. 
 

Vill du veta mer? Boka en demo!

 

Läs mer om GDPR, Dataskyddsförordningen och bakgrundskontroller

 

Bakgrundskontroll och GDPR – Vad gäller?

Får arbetsgivare göra bakgrundskontroll vid rekrytering enligt GDPR? Här är riktlinjerna du bör ha koll på gällande bakgrundskontroll och GDPR. Läs mer här.

Läs mer

GDPR och kreditupplysning vid anställning

När får man ta en kreditupplysning vid rekrytering? Läs om lagkrav, GDPR och hur du skyddar både kandidaten och arbetsgivarens varumärke.

Läs mer

Bakgrundskontroll och integritet

Bakgrundskontroll av anställda är per definition ett integritetsbrott. Vilka krav behöver du uppfylla för att göra en bakgrundskontroll GDPR-säker? 

Läs mer

Bakgrundskontroller och dataskyddsförordningen

Bakgrundskontroller måste genomföras i enlighet med dataskyddsförordningen (GDPR). Här går vi igenom vad som gäller för både arbetsgivare och arbetssökande.

Läs mer

 

Vanliga frågor och svar

 

Ja, det är lagligt, förutsatt att kontrollen har en tydlig rättslig grund och är proportionerlig i förhållande till tjänstens ansvar.

Inte nödvändigtvis. I arbetslivet används ofta intresseavvägning som rättslig grund. Bedömningen ska alltid göras utifrån situationen.

Endast när det finns tydlig rättslig grund och ett legitimt behov kopplat till rollens ansvar. Behandlingen omfattas av särskilt strikta regler.

Personuppgifter får endast sparas så länge det är nödvändigt för det syfte de samlades in för. Därefter ska de raderas enligt fastställda rutiner.