Pasoplysninger og straffeattester ved rekruttering

Datatilsynet fandt, at et stadions indhentelse af pasoplysninger og straffeattester i forbindelse med rekruttering af medarbejdere skete inden for rammerne af databeskyttelsesreglerne.

Skrevet af

På baggrund af en konkret henvendelse undersøgte Datatilsynet af egen drift et stadions behandling af personoplysninger i forbindelse med rekruttering med henblik på bl.a. at vurdere, om behandlingen af oplysningerne skete i overensstemmelse med det grundlæggende princip i GDPR om dataminimering. Datatilsynets undersøgelse udsprang bl.a. af, at ansøgerne blev bedt om at uploade kopi af pas, straffeattester og evt. opholdstilladelse allerede ved indgivelse af jobansøgningen.

En legitim interesse i at indhente pasoplysninger
Stadionet oplyste til Datatilsynet, at indhentelse af pasoplysninger skete i forbindelse med rekruttering af løsarbejdere, hvor en særlig kort rekrutteringsprocedure medførte, at rekruttering og ansættelse i praksis stort set var sammenfaldende. Der blev ikke gennemført ansættelsessamtaler, men medarbejderne blev ansat umiddelbart på baggrund af de uploadede ansøgninger og dokumenter. Formålet med at indhente pasoplysninger var at kende ansøgernes nationalitet og derved sikre, at tredjelandsstatsborgere havde de påkrævede opholds- og arbejdstilladelser for lovligt at kunne arbejde i Danmark.

Det var på den baggrund stadionets egen vurdering, at der forelå en legitim interesse for stadionet i at sikre sig, at ansøgerne lovligt kunne arbejde i Danmark, og at pasoplysningerne derfor berettiget kunne indhentes og behandles.

På baggrund af de særlige omstændigheder omkring stadionets rekrutteringsprocedure, herunder det meget store antal personer, som stadionet beskæftigede, fandt Datatilsynet, at der ikke var grundlag for at tilsidesætte stadionets vurdering.

Nødvendigt at indhente straffeattester
Stadionet oplyste, at der var en helt særlig risikoprofil knyttet til stadionet, herunder en terrorrisiko. Desuden var der en stor udskiftning blandt de løsarbejdere, der i perioder arbejdede på stadionet. Dette medførte, at stadionet indhentede straffeattester i rekrutteringsprocessen med henblik på en nødvendig og generel imødegåelse af risikoen for terror og økonomisk kriminalitet.

Datatilsynet lagde vægt på de særlige forhold, der gjorde sig gældende i forhold til stadionet som arbejdsgiver, hvilket bl.a. indebar, at stadionet beskæftigede et meget stort antal personer, og at stadionet havde en helt særlig risikoprofil i forhold til risikoen for terror og anden kriminalitet, som knyttede sig til store sports- og underholdningsarrangementer.

Datatilsynet lagde endvidere vægt på, at stadionet konkret havde vurderet nødvendigheden af at indhente de pågældende oplysninger for de enkelte stillingskategorier i virksomheden, herunder sondret mellem fastansættelse og ansættelse af løsarbejdere, og at indhentelsen af oplysningerne skete på det senest mulige tidspunkt i forhold til stadionets rekrutteringsprocedure.

På den baggrund fandt Datatilsynet, at indhentelsen af straffeattester i forbindelse med rekruttering skete inden for rammerne af GDPR. 

Norrbom Vinding bemærker:

Datatilsynets afgørelse, der i vid udstrækning er konkret begrundet, viser, at der kan være særlige forhold hos en arbejdsgiver, som gør, at det kan være berettiget at indhente og behandle oplysninger om ansøgere tidligere i rekrutteringsprocessen, end hvad der almindeligvis gælder. Det er dog væsentligt at være opmærksom på, at arbejdsgiver skal foretage en konkret vurdering af nødvendigheden af indhentelsen af de pågældende oplysninger. 

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.