Utifrån ovanstående tänkte jag resonera kring två situationer där frågor om behandling av medarbetares personuppgifter blir aktuella. Jag tänker på förfarandet i samband med en rekryteringsprocess samt så kallade alkohol- och drogtester.

Men vi börjar med själva ramverket. Som bekant blev dataskyddsförordningen, GDPR, fullt ut tillämplig i Sverige den 25 maj 2018. GDPR, som är en EU-förordning, utgör ramen för all personuppgiftsbehandling och syftar till att säkra enskildas rätt till skydd av personuppgifter. Regelverket bygger på ett antal grundläggande principer som kan vara bra att lägga på minnet. Att notera är bland annat att man bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål och alltså inte behandla fler personuppgifter än vad som behövs för ändamålen. Viktigt är också att skapa rutiner för radering av personuppgifter som inte längre behövs. Personuppgifterna måste också skyddas från att obehöriga får tillgång till dem. Särskilt viktigt är att säkra rutinerna för behandling av så kallade känsliga personuppgifter.

Flera företag använder så kallade bakgrundskontroller som en del av rekryteringsprocessen vid tillsättning av befattningar med särskilda säkerhetskrav. Många använder också kreditkontroller och hälsokontroller som en del av rekryteringsförfarandet. Några branscher ställer till och med krav på att den arbetssökanden ska presentera ett utdrag ut belastningsregistret. Som rekryterande chef är det så klart oerhört viktig att ha fastlagda rutiner för behandling av denna typ av många gånger känsliga personuppgifter.

Beträffande så kallade alkohol- och drogtester ligger intresseavvägningen enligt ovan mellan å ena sidan arbetsgivarens intresse av att arbetstagarna inte är påverkade av droger. Arbetsgivaren är ansvarig för olyckor som inträffar på arbetsplatsen och måste uppfylla en mängd krav enligt arbetsmiljölagen. Å andra sidan läggs det intresse arbetstagaren har av att slippa vad som kan liknas vid  kroppsliga ingrepp och slippa att uppgifter om hens hälsa sprids eller används på ett otillbörligt sätt. Viktigt är så klart att den som utför testet har medicinsk kompetens, att testet är tillförlitligt och utförs på avskild plats och att resultatet förstörs eller förvaras på ett betryggande sätt.

Som ett avslutande gott råd vill jag framhålla vikten av att arbeta fram en integritetspolicy som klargör hur företaget samlar in och behandlar personuppgifter för att kunna fullfölja rekryteringsärenden, pågående anställningsförhållanden och avslutade anställningsförhållanden. Tidens tand med en ökad digitalisering inom HR ställer också en hel del frågor på sin spets.