Arbeidsgivers adgang til "screening" i rekrutteringsøyemed

Som omtalt i media den siste tiden blir det stadig mer vanlig at virksomheter foretar en "screening" av arbeidssøkere, altså en inngående og systematisk bakgrunnssjekk av arbeidssøkeren.


En slik bakgrunnssjekk innebærer mer enn å bare verifisere opplysninger arbeidssøkeren har oppgitt i sin søknad og på intervju. Det innhentes ny informasjon utover det kandidaten selv har opplyst om, for eksempel ved å søke i sosiale medier, gjennomføre kredittsjekk og innhente vandelsattest. Enkelte virksomheter engasjerer i tillegg spesialiserte konsulentselskaper for å gjennomføre bakgrunnssjekken. Slike eksterne konsulenter, som opptrer på vegne av arbeidsgiver, har ikke noen videre adgang til å gjennomføre undersøkelser enn arbeidsgiver selv.

En slik innhenting og behandling av personopplysninger omfattes av reglene i EUs personvernforordning – GDPR. Reglene i GDPR kommer i tillegg til forbud mot innhenting av visse typer av opplysninger som følger av diskrimineringslovgivningen samt særlige regler om vandelskontroll. Etter likestillings- og diskrimineringsloven er virksomheten som hovedregel avskåret fra å innhente opplysninger om blant annet arbeidssøkerens religion, livssyn, etnisitet, seksuelle orientering og eventuelle graviditet eller funksjonsnedsettelse. Også arbeidsmiljøloven har regler om innhenting av denne typen opplysninger, samt om medisinske undersøkelser ved ansettelse.

Både opplysninger om arbeidssøkerens økonomi, eventuelle tidligere lovovertredelser, arbeidssøkerens ytringer på Twitter og feriebilder på Instagram, er eksempler på opplysninger som omfattes av GDPR. Det samme gjelder opplysninger fra personlighetstester, intelligente videoanalyser og andre former for tester eller analyser som jobbsøkeren underlegges.

Virksomhetens innhenting og behandling av personopplysninger er kun lovlig dersom den oppfyller et av vilkårene i GDPR artikkel 6. I praksis er det særlig to grunnlag som medfører at virksomheten kan behandle personopplysninger lovlig:

• Arbeidssøkeren gir et gyldig samtykke. I praksis er det ofte uklart hvorvidt arbeidssøker i realiteten har samtykket frivillig. Dersom virksomheten har lagt press på arbeidstaker i søknadsprosessen, er det en risiko for at det foreligger brudd på GDPR.

• Eller behandlingen anses nødvendig etter en interesseavveining mellom i) virksomhetens legitime forretningsinteresser og ii) arbeidssøkerens rett til personvern. Virksomheten må kunne dokumentere at den aktuelle bakgrunnssjekken er relevant og nødvendig for å sikre forsvarlig rekruttering til den aktuelle stillingen. For at interesseavveiningen skal falle ut i arbeidsgivers favør, er det viktig at kandidater mottar informasjon om den behandlingen som finner sted.

Det følger også av GDPR artikkel 6 at behandling av personopplysninger kan være tillatt dersom denne er nødvendig for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Det kan imidlertid diskuteres hvor langt dette grunnlaget kan benyttes, i de situasjoner vi her snakker om.

Virksomhetene må være bevisste på hvordan personopplysninger innhentes og behandles i rekrutteringsprosessen. Ettersom det ofte kan være tvilsomt om et samtykke er avgitt frivillig, anbefaler vi sjelden at virksomheten utelukkende baserer seg på arbeidssøkerens samtykke. Virksomhetene må alltid ta stilling til om opplysningene som samles inn er relevante og nødvendige, jf. GDPR artikkel 5. Virksomheten bør også vurdere tiltak for å begrense inngrepet i jobbsøkernes personvern, f.eks. slik at den mest inngående delen av bakgrunnssjekken kun gjennomføres for kandidater som er med i avslutningen av rekrutteringsprosessen. Dette er også et krav ved kredittsjekk.

Avslutningsvis peker vi på et annet aspekt som stadig blir mer aktuelt, nemlig screening av ansatte opp mot ulike sanksjonslister fra EU, FN og USA. Denne særlige formen for screening vil kunne reise særlige problemstillinger, som vi ikke går nærmere inn på her.