*Som personuppgiftsansvarig finns det krav att man behandlar personuppgifter enligt GDPR. Detta omfattar alla anteckningar man gör i egna system, om man laddar ner information från eventuella databaser eller om man mottar information via mail från företaget. Individen har långtgående rättigheter av sina egna personuppgifter som behandlas. Som personuppgiftsansvarig behöver man kunna säkerställa att individens rättigheter i praktiken, till exempel vad gäller rätten till radering av uppgifterna. Vidare behöver personuppgiftsansvarig också säkerställa att känsliga personuppgifter och uppgifter om lagöverträdelser (art. 9 och 10) också behandlas på ett korrekt sätt. Exempelvis får du inte ta emot handlingar ifrån en domstol som rör brottmål om enskilda individer i din epost. I personuppgiftsansvaret ligger också att rätt legal grund finns för att bakgrundskontroll kan göras. Många hänvisar till att man ”har tagit in samtycke från individen som ska kontrolleras och då har man rätten på sin sida”. Det är fel. Rätt legal grund när man ska göra bakgrundskontroll i rekrytering eller befintlig anställning är så kallad intresseavvägning. Den som beställer en bakgrundskontroll ska kunna motivera sitt rättmätiga intresse, det vill säga ett legitimt skäl, till att behandla de specifika personuppgifterna. Dessa legitima skäl ska vara starkare än individens rätt att inte få sina personuppgifter behandlade. En bakgrundskontroll får alltså inte ske godtyckligt.

Så, om en kommun anlitar ett bakgrunds-kontrollföretag att utföra bakgrundskontroller för både nyanställda som befintligt anställda är bakgrundskontrollföretaget enskilt ansvarig för hur personuppgifter behandlas, hanteras och lagras. Däremot är det kommunens ansvar att kontrollera att vald leverantör har rätt policy och rutiner på plats.

En del kommuner har valt att lösa sina bakgrunds-kontrollbehov från databaser med utgivningsbevis.

Många hänvisar till att man ”har tagit in samtycke från individen som ska kontrolleras och då har man rätten på sin sida”. Det är fel. Rätt legal grund när man ska göra bakgrundskontroll i rekrytering eller befintlig anställning är så kallad intresseavvägning.

För all behandling av information som sker utanför databasen blir då beställaren personuppgiftsansvarig. Om man behandlar information utanför databasens domän blir man personuppgiftsansvariga för behandlingen.

Den senaste veckan har vi kunnat följa vad som händer om man inte har ett avtal på plats som reglerar personuppgiftsansvaret. Det kan äventyra säkerheten för både befintligt anställda och organisationen som helhet om uppgifterna skulle läcka. I det här fallet blir det ju extra allvarligt då syftet var att komma tillrätta med just kriminalitet.

Samtliga medlemsbolag i branschorganisationen Bakgrundskontrollföretagen BKF är personuppgiftsansvariga och har en personuppgiftspolicy för integritetsbaserad hantering av uppgifter, och därmed rutiner för gallring och radering.