Datainspektionen har granskat ett antal företag som på uppdrag av olika arbetsgivare utför bakgrundskontroller av arbetssökande. Efterfrågan på tjänsten har ökat markant de senaste åren.
Datainspektionen fann att företagens hantering av känsliga uppgifter stred mot personuppgiftslagen (PUL) på flera punkter. Särskilt allvarligt är att företagen registrerar sökandes lagöverträdelser, trots att enbart myndigheter får hantera personuppgifter om lagöverträdelser eller brottsmisstankar.
I slutet av förra året fick företagen föreläggandet att upphöra med verksamheten eller anpassa den till kraven i PUL. Om de vill fortsätta måste de ändra rutinerna så att de uppfyller lagens krav. Bland annat ska individen informeras om att en kontroll planeras, vilket inget av de granskade företagen gjorde.
Datainspektionen krävde också att företagen inte bara informerar utan tar in samtycke från den arbetssökande när de registrerar fler privatekonomiska uppgifter än vanlig inkomst. Inspektionen underströk också att sådana uppgifter enbart få tas in om det finns ett berättigat intresse hos arbetsgivaren som väger tyngre än risken för integritetskränkning. Tjänsten som granskningen kopplas till ska ha omfattande befogenheter och stort ekonomiskt ansvar.
Dessutom krävde Datainspektionen att företagen upphör med kontrollen av brottsdomar och andra lagöverträdelser. Varken ändrade rutiner eller den sökandes samtycke kan göra registrerandet av sådana uppgifter tillåtna.
Men Datainspektionens beslut har överklagats av två företag. Nu ska förvaltningsrätten avgöra om verksamheten kan fortsätta som idag. Överklagandet innebär att ikraftträdandet av beslutet skjuts upp. Förmodligen dröjer det något år innan förvaltningsrättens dom kommer och till dess kan företagen fortsätta med sin verksamhet som tidigare.
– De kan fortsätta som förr, men gör det på egen risk. Om förvaltningsrätten inte hörsammar överklagan finns möjlighet för personer som utsätt för bakgrundskontroller under den här tiden att inleda skadeståndsprocesser, säger Jonas Agnvall, som lett granskningen av bakgrundskontrollerna på Datainspektionen.
Det ena av de överklagande företagen, 2Secure, invänder på komplicerade juridiska grunder mot beslutet. Det hävdar bland annat att bakgrundskontrollerna inte är ett strukturerat insamlande av personuppgifter och att de lagparagrafer som Datainspektionen hänvisar till inte är tillämpliga. 2Secure anser också att de inte är personuppgiftsansvariga, utan det är deras olika uppdragsgivare. Därmed har de inte ansvar för hur uppgifterna hanteras, de samlar enbart in dem.
Det andra överklagande företaget, Gothia Protection Group (GPG), vill upphäva beslutet eftersom de gjort kraftiga förändringar av sina rutiner. Det invänder också mot att bakgrundskontrollerna klassas som strukturerad insamling av personuppgifter enligt PUL. GPG uppger att de numera redovisar sina resultat på en pdf-fil, som är en bild och inte en textfil. Därmed är informationen på den inte tillgänglig genom sökning. Företaget har sedan i somras en ny rutin som innebär skriftligt samtycke från den kontrollerade. På den blanketten kan den sökande fylla i om han/hon är dömd i svensk domstol de senaste fem åren. Företaget vill fortsätta med kontrollen av lagöverträdelser i förekommande fall. Om kriminella personer får anställning på till exempel it- eller ekonomibefattningar kan det få katastrofala följder, skriver GPG i sin överklagan.
– Det kan inte ha varit lagstiftarnas intention att skapa en lag som gör det fritt fram för aktivt kriminella att söka känsliga anställningar, utan risk för att deras medlemskap i den organiserade brottsligheten blir känt för deras potentiella arbetsgivare, hävdar GPG.
På Datainspektionen konstaterar man att företagen i sina bakgrundskontroller inte nöjer sig med de uppgifter som finns i belastningsregistret.
– De ringer runt till domstolar och kan på så sätt få fram uppgifter som är gallrade ur registret, säger Jonas Agnvall.