Den nya dataskyddsförordningen, GDPR, orsakade stor huvudbry för många när den trädde i kraft under våren 2018. Inte minst har den påverkat arbetet med internationella bakgrundskontroller.

Hetsen för att hinna anpassa sin verksamhet efter de nya regleringarna var stor. Ett och ett halvt år senare har det mesta lugnat sig. Nu kan vi börja se effekterna av regelverket. GDPR har bland annat inneburit en stoppkloss för informationsinhämtning över landsgränserna till och från EU. Vad som får lämnas ut och inte har skapat stor osäkerhet hos många, vilket generellt sett lett till en ökad försiktighet. Vissa uppgifter är svårare att få tag på än andra. Vilka det är går vi igenom lite längre ned.

Sätt grunderna

Det finns vissa saker som gäller för allt typ av informationsinsamling under GDPR. Lagen syftar till att personuppgifter hanteras på ett mer noggrant och försiktigt sätt. Detta är speciellt viktigt när det gäller bakgrundskontroller. Det första som ska göras innan uppgifter börjar hämtas in från företag och myndigheter är att uppfylla lagens grundkriterier.

Det finns huvudsakligen sex rättsliga grunder i GDPR. Av dessa måste minst en vara uppfylld för att personuppgiftsbehandlingen ska vara lagenlig. De rättsliga grunderna är: avtal med personen i fråga, rättslig förpliktelse, skydda grundläggande intressen, myndighetsutövning och allmänt intresse samt intresseavvägning. Dokumentera vilka principer som är centrala för ert arbete och se till att ha dem tillgängliga för granskning.

Definiera ändamålet

En stor del av de rättsliga kraven för hur personuppgifterna ska lagras beror på vad de ska användas till. Mycket av lagen fokuserar nämligen på att hanteringen ska vara ändamålsenlig. Börja med att identifiera detta internt för att sedan inkludera det i er dokumentation. Ändamålet för personuppgifterna är en viktig komponent.

Vad gäller internationella bakgrundskontroller så är ändamålsbeskrivning och förhållandet till de sex grundprinciperna av högsta vikt. Generellt sett kan sägas att man måste kunna redogöra för varför informationen behövs och hur den ska hanteras. En tydlig processbeskrivning, helt enkelt. Oavsett vilka organisationer ni vill ha information från så kommer de efterfråga detta från er först. Förbered det tidigt.

Dataminimering

GDPR lägger stor vikt vid dataminimering. Det innebär att så lite information som möjligt ska hanteras. Detta ställer stora krav på er som organisation att skala ner det så mycket som möjligt. Har ni en luddig beskrivning av vilka uppgifter ni vill åt kommer det vara svårt att komma åt den.

Akademiska meriter

I många länder har universiteten och högskolorna begränsats kraftigt när det kommer till vilken information som ges ut och inte. För några år sedan publicerades resultat och examina nästintill offentligt, nuförtiden är det desto svårare. Vad som kan underlätta vid kontakt med högre utbildningsinstitut är att endast be om kandidatens meriter. Ju mer objektiv information, desto lättare.

Arbetsprestationer

Företag lämnar ogärna ifrån sig information om sina tidigare anställda. I alla fall vad gäller utlåtande om personens prestation. Även om du inte kan få tag i sådan information kan tidigare arbetsgivare fortfarande ge ifrån sig detaljer om när anställningen påbörjades och avslutades. Detta är uppgifter som i sig kan vara värdefulla. Ser man att dessa inte stämmer överens med vad kandidaten angivit kan det vara en indikation på att annan information också är felaktig.

Allmän rekommendation

Nekas man viss information till bakgrundskontrollen hjälper det i de flesta fall med en explicit fullmakt från kandidaten. Genom att tydligt ange vilken information som ska hämtas in från vilken organisation kan arbetet gå smidigare. Skulle kandidaten inte vilja skriva på en sådan fullmakt kan det i sig vara föremål för dialog…