Säkerhetsprövning och bakgrundskontroll – vad arbetsgivare får göra och vad som faktiskt krävs
Bakgrundskontroller och säkerhetsprövningar är ett av de områden i arbetsrätten där okunskap är vanligast och kostnaderna för misstag störst. Det är ett område med skarpa gränser – mellan vad arbetsgivaren har rätt att kontrollera och vad som är ett intrång i den enskildes integritet, mellan lagstadgade krav och frivilliga kontroller, mellan information som är relevant för anställningsbeslut och information som inte är det.
Den här artikeln reder ut dessa gränser systematiskt – med fokus på vad som faktiskt gäller i Sverige, vad som är tillåtet och vad som är förbjudet och hur arbetsgivare med olika typer av verksamhet bör tänka kring personkontroll.
Det grundläggande ramverket – GDPR, dataskyddslagen och annan reglering
Bakgrundskontroller innebär per definition behandling av personuppgifter. Det gör GDPR – EU:s dataskyddsförordning, som i Sverige kompletterats av dataskyddslagen – till det primära regelverket för vad arbetsgivare får göra och hur de får göra det.
GDPR kräver att all personuppgiftsbehandling har en rättslig grund. För arbetsgivares personkontroll är de relevanta grunderna normalt berättigat intresse – att arbetsgivarens intresse av att kontrollera uppgifterna väger tyngre än den enskildes intresse av att de inte kontrolleras – eller samtycke från den som kontrolleras. Samtycke som rättslig grund är problematiskt i rekryterings- och anställningssammanhang eftersom ett samtycke inte är frivilligt om det är ett villkor för anställning.
Brottsbalken och OSL – offentlighets- och sekretesslagen – är relevanta i de delar av bakgrundskontrollen som rör brottshistorik och uppgifter i offentliga register. Det finns ett specifikt kapitel i GDPR om behandling av uppgifter om lagöverträdelser – artikel 10 – som är striktare reglerat än annan personuppgiftsbehandling och som sätter skarpa gränser för vem som får ta del av och behandla uppgifter om brott.
Säkerhetsskyddslagen är ett separat regelverk som gäller för verksamheter med säkerhetsskyddsklassificerade uppgifter och som ställer obligatoriska krav på säkerhetsprövning av personal. Det är ett regelverk med ett begränsat tillämpningsområde – primärt statliga myndigheter och företag med säkerhetskänslig verksamhet – men med starka krav för de verksamheter som omfattas.
Registerkontroll – vad arbetsgivaren faktiskt kan kontrollera
Det finns ett antal offentliga register som arbetsgivare under olika förutsättningar kan kontrollera eller begära att en kandidat uppvisar utdrag från.
Belastningsregistret
Belastningsregistret innehåller uppgifter om domar, åtalsunderlåtelser och ordningsbotsförelägganden och förvaltas av Polismyndigheten. Det är ett register vars tillgänglighet är noga reglerad.
En privatperson har alltid rätt att begära ett utdrag ur belastningsregistret om sig själv. En arbetsgivare kan inte begära ett utdrag ur belastningsregistret om en annan person utan stöd i lag – det är förbjudet. Det finns ett antal undantag som ger arbetsgivare rätt att begära att en sökande visar upp ett registerutdrag: arbete med barn, arbete inom vård och omsorg, väktarverksamhet och ett antal andra specifika verksamheter reglerade i lag eller förordning.
I alla andra sammanhang – det vill säga de allra flesta rekryteringssituationer – kan en arbetsgivare inte lagligen kräva ett belastningsregisterutdrag. Det är dock tillåtet att be en kandidat att frivilligt uppvisa ett sådant – men det kan inte vara ett krav vars avvisande automatiskt diskvalificerar kandidaten.
En vanlig missuppfattning är att arbetsgivare generellt kan begära belastningsregisterutdrag. Det kan de inte. De kan be kandidaten att frivilligt visa upp ett utdrag som kandidaten själv hämtar – och kandidaten har alltid rätt att neka utan att arbetsgivaren lagligen kan göra det till ett uteslutningskriterium.
Kronofogdens register
Uppgifter om skulder och utmätningar hos Kronofogden är offentliga och kan begäras ut av vem som helst för en specifik person. Det är information som är lagligen tillgänglig och som en arbetsgivare tekniskt sett kan ta del av.
Att systematiskt söka efter och använda uppgifter om en candidates skuldsättning i ett anställningsbeslut kräver dock ett legitimt syfte och en bedömning av om behandlingen är proportionerlig. För de allra flesta tjänster är en persons privata skulder inte relevant för arbetsförmågan. För tjänster med ekonomiskt ansvar, med tillgång till kassor eller med befogenhet att ingå avtal kan det finnas ett legitimt intresse som väger tyngre.
Arbetsgivare som systematiskt kontrollerar Kronofogdens register som en del av rekryteringsprocessen utan ett tydligt legitimt syfte riskerar att handla i strid med GDPR:s principer om ändamålsbegränsning och proportionalitet.
Körkortsregistret och andra offentliga register
Transportstyrelsens körkortsregister är ett offentligt register vars uppgifter om körkortshavares körkortsinnehav och eventuella körkortsåterkallelser är tillgängliga. För tjänster som kräver körkort av en specifik klass är det relevant och proportionerligt att kontrollera att körkort faktiskt innehas och är giltigt.
Bolagsverkets register ger information om en persons engagemang i bolag – som styrelseledamot, VD eller firmatecknare. Det är information som kan vara relevant för tjänster med ledningsfunktioner och som är fritt tillgänglig.
Referenstagning – den vanligaste kontrollen och dess gränser
Referenstagning är den vanligaste formen av bakgrundskontroll och en av de mest juridiskt komplicerade trots sin skenbart enkla natur.
Att ringa en referens som kandidaten angivit är en standardiserad rekryteringsmetod och är laglig under förutsättning att kandidaten informerats om att referenserna kommer att kontaktas. Att kontakta en persons nuvarande arbetsgivare utan kandidatens vetskap och samtycke är ett integritetsintrång som normalt inte har stöd i GDPR.
Att kontakta referenser som kandidaten inte angivit – att ringa en tidigare kollega man hittat på LinkedIn eller att kontakta en chef vars namn man funnit i kandidatens presentation – är ett grånzonsfall. Det finns inte ett kategoriskt förbud mot det i svensk lag, men det är en behandling av personuppgifter om kandidaten utan dennes vetskap som kräver ett legitimt intresse som är svårt att motivera för de flesta anställningar.
Vad en referens får och bör säga är en fråga som ofta missuppfattas. Det finns ingen lag i Sverige som förbjuder en arbetsgivare att ge ärliga omdömen om en tidigare anställd till en potentiell ny arbetsgivare. Det finns en praxis och en rädsla för skadeståndskrav som gör att de flesta arbetsgivare ger ytterst begränsad information – normalt bekräftar anställningsperiod och tjänstebenämning och inget mer. Den praxisen är inte ett rättsligt krav; det är en riskminimering.
Sociala medier och googling – vad som är tillåtet
Att söka upp en kandidat på LinkedIn, Facebook, Instagram eller i en Google-sökning är en av de vanligaste informella bakgrundskontrollerna och en vars rättsliga status är mer komplex än de flesta inser.
Allmänt tillgänglig information – det kandidaten publicerat offentligt på sin LinkedIn-profil eller i ett offentligt Instagram-konto – är information som kandidaten frivilligt gjort tillgänglig. Att ta del av den har svag rättslig grund som en del av en rekryteringsprocess, men det är inte ett uppenbart lagbrott att googla en kandidat.
Det problematiska uppstår i vad som görs med informationen. Om en googling avslöjar uppgifter om en kandidats religion, etniska bakgrund, politiska uppfattning, sexuella läggning, fackliga tillhörighet eller hälsotillstånd – uppgifter som är känsliga personuppgifter enligt GDPR – och dessa uppgifter påverkar anställningsbeslutet är det ett brott mot diskrimineringslagen och mot GDPR.
Det finns ett praktiskt problem: det är svårt att bevisa att en arbetsgivare tagit del av känslig information via en googling och att det påverkat beslutet. Men risken är reell och systematisk googling av kandidater som ett led i en rekryteringsprocess bör hanteras med en tydlig policy för vad man får använda och vad man ska ignorera.
Säkerhetsprövning enligt säkerhetsskyddslagen
Säkerhetsskyddslagen gäller för verksamheter som hanterar säkerhetsskyddsklassificerade uppgifter eller som av andra skäl är av betydelse för Sveriges säkerhet. Det är ett regelverk med ett begränsat men viktigt tillämpningsområde.
Verksamhetsutövare som omfattas av lagen – statliga myndigheter, kommuner och regioner med säkerhetskänslig verksamhet och privata företag som genom avtal med staten hanterar säkerhetsskyddsklassificerad information eller verksamhet – är skyldiga att säkerhetspröva personal som ska placeras i säkerhetskänsliga befattningar.
Säkerhetsprövning enligt lagen är en process som kan inkludera registerkontroll mot Säkerhetspolisens, Polismyndighetens och andra myndigheters register, en säkerhetsintervju och en bedömning av personens lämplighet från ett säkerhetsperspektiv. Det är en kontroll som går väsentligt längre än vad en normal arbetsgivare kan genomföra och som har ett lagstöd som saknas för privata arbetsgivare i normalfallet.
Befattningar klassificeras i säkerhetsklasserna 1, 2 och 3 beroende på graden av säkerhetskänslighet. Klass 1 kräver den mest ingående prövningen. Registerkontroll är obligatorisk för klass 1 och 2 och genomförs av Säkerhetspolisen på begäran av den verksamhetsutövare som har tillstånd att begära det.
Privata företag som vill bedriva säkerhetskänslig verksamhet måste teckna säkerhetsskyddsavtal med den myndighet som är tillsynsansvarig för deras sektor och måste upprätta en säkerhetsskyddsplan som dokumenterar hur de hanterar säkerhetsskyddskraven.
Drogtestning – ett eget kapitel
Drogtestning av anställda och sökande är ett av de mer kontroversiella kontrollmomenten och ett vars rättsliga ram i Sverige är mer restriktiv än i många andra länder.
Det finns ingen generell rätt för arbetsgivare att drogtesta anställda eller sökande. Arbetsdomstolen har i ett antal domar fastslagit att drogtestning kräver antingen stöd i kollektivavtal eller ett specifikt legitimt intresse kopplat till säkerhetskänsliga arbetsuppgifter.
De verksamheter där drogtestning är etablerat som en del av anställningsprocessen och det löpande arbetet är primärt sådana där den anställdes påverkan av alkohol eller droger innebär en omedelbar säkerhetsrisk: pilotverksamhet, spårfordonsföring, arbete med farliga maskiner och liknande. Rätten till testning är normalt reglerad i kollektivavtal inom dessa sektorer.
För tjänster utan ett direkt säkerhetsmotiv – kontorsarbete, kundservice, administrativa roller – finns det inte ett generellt stöd för drogtestning. En arbetsgivare som kräver drogtest som ett villkor för anställning i en sådan roll riskerar att handla i strid med arbetsrätten och med GDPR.
Kreditupplysningar och ekonomiska kontroller
Arbetsgivare kan under vissa förutsättningar begära kreditupplysningar på kandidater och anställda. Det är en kontroll som är reglerad i kreditupplysningslagen och som kräver ett legitimt ändamål.
Legitima ändamål för kreditupplysning i rekryteringssammanhang inkluderar tjänster med ekonomiskt ansvar – ekonomichefer, kassaansvariga, personer med befogenhet att ingå avtal av ekonomisk betydelse – och tjänster i finanssektorn där regleringsmyndigheten ställer krav på kandidatens ekonomiska bakgrund.
Kreditupplysning för tjänster utan ekonomiskt ansvar är svårt att motivera som proportionerligt och saknar normalt den rättsliga grund som GDPR kräver. Det är en kontroll som bör reserveras för de situationer där det faktiska tjänsteinnehållet motiverar det.
Den registrerade – kandidaten – har rätt att informeras om att en kreditupplysning begärts. Det är ett krav i kreditupplysningslagen och innebär att arbetsgivaren inte kan genomföra kontrollen utan kandidatens vetskap.
Hälsokontroller och medicinska uppgifter
Medicinska uppgifter är känsliga personuppgifter enligt GDPR och har ett stärkt skydd mot insamling och behandling. Det finns ett antal legitima sammanhang för medicinska kontroller i rekryteringsprocessen och under anställningen, men de är mer begränsade än många arbetsgivare föreställer sig.
Företagshälsovårdens tjänster kan inkludera hälsoundersökningar inför anställning för tjänster med specifika fysiska krav – arbete på hög höjd, arbete med kemikalier, arbete i extrema temperaturer. Dessa kontroller genomförs av medicinsk personal och resultaten kommuniceras normalt enbart som en lämplighetsbedömning – arbetsgivaren får beskedet om kandidaten är lämplig för tjänsten, inte de specifika medicinska uppgifterna.
Att begära uppgifter om en kandidats sjukdomshistorik, medicinska behandlingar eller genetiska information i en rekryteringsprocess är förbjudet enligt diskrimineringslagen och GDPR. Det gäller också indirekt – att ställa frågor vars syfte är att avslöja hälsoinformation utan att fråga direkt.
Arbetsgivare som är skyldig att anpassa arbetsplatsen för anställda med funktionsnedsättning under diskrimineringslagens regler kan ha ett legitimt intresse av att förstå vilka anpassningar som behövs – men det är information som normalt kommuniceras av den anställde på frivillig basis, inte som ett krav i rekryteringsprocessen.
Branschspecifika krav och branschpraxis
Utöver de generella reglerna finns ett antal branschspecifika krav och praxis som påverkar hur personkontroll hanteras.
Finanssektorn är den sektor med de mest genomgripande kraven på lämplighetsprövning av personal. Finansinspektionens regelverk kräver att finansiella företag prövar lämpligheten hos ledningspersoner och nyckelfunktioner – en prövning som inkluderar brottshistorik, ekonomisk bakgrund och tidigare erfarenhet av finansiell verksamhet. Det är ett krav som går väsentligt längre än vad GDPR normalt tillåter och som har stöd i EU:s finansiella reglering.
Vård och omsorg är en annan sektor med specifika krav. Arbete med barn kräver att arbetsgivaren begär ett registerutdrag från belastningsregistret enligt lag. Arbete inom hälso- och sjukvård ger Socialstyrelsen befogenhet att granska legitimerad personals lämplighet. Det är krav vars syfte är att skydda utsatta grupper och som har ett tydligt lagstöd.
Advokater och andra jurister är föremål för Advokatsamfundets etiska prövning som inkluderar en kontroll av sökandens vandel – ett begrepp som inkluderar ekonomisk skötsamhet och frånvaro av brottsliga handlingar. Det är en branschspecifik prövning utan direkt parallell i de flesta andra sektorer.
Intern säkerhetsprövning i privata företag
Privata företag utanför de reglerade sektorerna kan upprätta egna system för personkontroll och säkerhetsprövning – men inom de gränser som GDPR, diskrimineringslagen och arbetsrätten sätter.
En väl utformad intern process för personkontroll inkluderar en tydlig dokumentation av vilka kontroller som görs, med vilket rättsligt stöd, för vilka tjänster och hur informationen lagras och hanteras. Det är ett dokumentationsarbete som krävs av GDPR:s ansvarsprincipen och som ger ett skydd mot klagomål och tillsynsingripanden.
Kandidater ska informeras om vilka kontroller som genomförs som en del av rekryteringsprocessen. Det är ett transparenskrav i GDPR som innebär att bakgrundskontrollen bör kommuniceras explicit – normalt i jobbannonsen eller i inledningsskedet av rekryteringsprocessen – snarare än genomföras utan kandidatens vetskap.
Resultaten av personkontroller ska inte lagras längre än nödvändigt. En kandidat som inte fick tjänsten ger inget behov av att bevara kontrollresultaten under lång tid – de bör gallras i enlighet med en dokumenterad lagringstidspolicy.
Socialt ingenjörsmässigt perspektiv – varför kontroller inte alltid ger vad de lovar
Det finns ett principiellt problem med bakgrundskontroller som sällan diskuteras i de juridiska och praktiska genomgångarna: de är bakåtblickande och ger information om vad en person gjort, inte om vad de kommer att göra.
Belastningsregistret visar domar och åtalsunderlåtelser. Det visar inte om en person med en ren bakgrund är ärlig och pålitlig, och det visar inte om en person med en gammal dom har förändrats substantiellt sedan dess. Kreditupplysningen visar historiska skulder, inte framtida ekonomisk ansvarstagande.
Forskning om anställningsbeslutsfattande visar konsekvent att strukturerade intervjuer och arbetsprovstest ger bättre prediktiv validitet för framtida arbetsprestation än bakgrundskontroller i de flesta situationer. Det är information som inte minskar det legitima behovet av personkontroll i säkerhetskänsliga roller – men som motiverar en proportionerlig syn på vad kontroller faktiskt kan och inte kan ge.
En arbetsgivare som lägger oproportionerligt stor vikt vid bakgrundskontroller på bekostnad av en genomtänkt intervjuprocess och en bedömning av faktisk kompetens och lämplighet riskerar att missa bra kandidater med en komplex historik och att välja sämre kandidater med en ren men ointressant bakgrund.
Att upprätta en policy för personkontroll
En organisation som genomför bakgrundskontroller som en del av sin rekryteringsprocess bör ha en dokumenterad policy som specificerar vilka kontroller som görs, för vilka tjänster, med vilket rättsligt stöd och hur resultaten hanteras. Det är ett krav som följer av GDPR:s ansvarsprincipen och ett skydd mot inkonsekvens och godtyckliga tillämpningar.
Policyn bör fastslå att kontrollerna är proportionerliga – att de kontroller som genomförs är relevanta för de specifika tjänsterna de tillämpas på. En kontroll som är relevant för en kassaansvarig är inte nödvändigtvis relevant för en marknadsföringsassistent. En kontroll som är relevant för en säkerhetskänslig position är inte nödvändigtvis relevant för en administrativ roll.
Policyn bör säkerställa att kandidater informeras om kontrollerna och att de har möjlighet att kommentera information som kan vara felaktig eller vilseledande. Det är ett fairness-krav som är svagt reglerat i svensk lag men som är god praxis och som minskar risken för att ett anställningsbeslut grundas på felaktig information.
Slutligen bör policyn inkludera en tydlig process för hur kontrollresultaten faktiskt används i anställningsbeslutet – att ett negativt resultat i en kontroll leder till en diskussion och en proportionerlig bedömning, inte till ett automatiskt avvisande utan hänsyn till sammanhang, tid sedan händelsen och relevansen för den aktuella tjänsten. För mer information kolla gärna med ett seriöst säkerhetsbolag, så som Primesafe.