{{title}}
{{body}}
{{tagline}}
{{title}}
{{lockedContentText}}
{{body}}
Gemt
Pas og straffeattest, tak!
DANSK ERHVERV | PERSONALE | 12. december 2024
Datatilsynet har i en afgørelse godkendt en virksomheds praksis med at indsamle pasoplysninger og straffeattester i forbindelse med rekruttering. Virksomhedens særlige risikoprofil og konkrete vurderinger af jobroller blev afgørende.
Hvilke regler gælder – GDPR’s behandlingshjemmel og principper
I henhold til GDPR og databeskyttelsesloven må indsamling og behandling af personoplysninger kun finde sted, hvis der findes en lovlig behandlingshjemmel. Dette kan fx være ”legitim interesse” eller ”retlig forpligtelse”.
Derudover skal behandlingen af personoplysninger ske efter GDPR’s grundlæggende principper, herunder princippet om dataminimering. Princippet om dataminimering indebærer, at virksomheden kun må indsamle de oplysninger, der er nødvendige for at opnå formålet.
Sagen kort
En virksomhed stod for en bred vifte af opgaver i forhold til driften af et større stadion. Virksomheden sørgede bl.a. for salg af mad og drikkevarer, rengøring og udlejning af personale til brug for arrangementer på et stort stadion. Virksomhedens moderselskab var et stort underholdnings- og eventvenue i Danmark, og virksomheden leverede personale m.v. til arrangementerne, som moderselskabet afholdt. Der var ofte mange tilskuere til arrangementer.
Virksomheden havde ofte behov for at ansætte mange medarbejdere på en gang. En stor del af medarbejdergruppen bestod af ufaglærte medarbejdere fra Danmark, EU og tredjelande. Der var hyppig udskiftning blandt medarbejderne.
Rekrutteringsprocessen foregik ved, at ansøgerne bl.a. skulle uploade en ansøgning, pasoplysninger og straffeattest i rekrutteringssystemet. Hvis de uploadede oplysninger var i orden, blev ansøgerne indkaldt til et informationsmøde, og de blev umiddelbart efter informationsmødet ansat.
Datatilsynet indledte af egen drift en undersøgelse af, om virksomhedens praksis med at indhente pasoplysninger og straffeattester fra jobansøgere levede op til reglerne i GDPR og databeskyttelsesloven.
Virksomheden oplyste, at indhentelsen af pasoplysninger var begrundet i behovet for at sikre sig imod ansættelse af ulovlig udenlandsk arbejdskraft. Indhentelsen af straffeattest skete af hensyn til den særlige risikoprofil, der bl.a. var begrundet i en myndighedsvurderet terrorrisiko. Virksomheden indhentede derfor straffeattester med henblik på en nødvendig og generel imødegåelse af risikoen for bl.a. terror og anden kriminalitet.
Datatilsynets afgørelse og begrundelse
Datatilsynet skulle vurdere, om virksomheden havde en lovlig behandlingshjemmel til indhentelse af oplysningerne, samt om principperne i GDPR var overholdt. Datatilsynet kom frem til, at virksomheden havde en legitim interesse i at sikre, at deres ansatte lovligt kunne arbejde i Danmark, samt at de ikke udgjorde en sikkerhedsrisiko henset til virksomhedens særlige risikoprofil.
Derudover fandt Datatilsynet, at virksomheden havde vurderet nødvendigheden af at indhente oplysningerne og sikret, at indhentelsen skete så sent i processen som muligt.
Datatilsynet fastslog samlet set, at både indhentelsen af pasoplysninger og straffeattester og tidspunktet for indhentelsen af disse oplysninger skete inden for rammerne af GDPR og databeskyttelsesloven.
Dansk Erhverv bemærker
Afgørelsen understreger vigtigheden af, at virksomheder foretager en konkret vurdering af nødvendigheden og behovet for at indhente personfølsomme oplysninger. Det er desuden vigtigt, at indhentningen af oplysningerne er proportionale. Virksomheder skal altid være opmærksomme på principperne i GDPR og databeskyttelsesloven ved indhentelse af personoplysninger i rekrutteringsprocesser.
Dansk Erhverv anbefaler medlemmer at kontakte os for rådgivning til rekruttering og GDPR.
Nyheden er skrevet på Datatilsynets afgørelse af den 5. september 2024 i sag 2023-431-0025.