Datatilsynet har vurderet, at et stadions indhentelse af pasoplysninger og straffeattester i forbindelse med rekruttering lå inden for rammerne af GDPR. Vurderingen tog udgangspunkt i dataminimering, nødvendighed og proportionalitet, samt særlige organisatoriske forhold: en komprimeret rekrutteringsproces uden interviews, et meget stort antal løsarbejdere og en forhøjet risikoprofil ved store arrangementer. Myndigheden lagde vægt på, at indhentningen skete målrettet, differentieret på stillingskategorier og på det senest mulige tidspunkt i processen.
Behandlingsgrundlag og nødvendighed
Indhentning af pasoplysninger blev anset for berettiget, fordi arbejdsgiver havde en legitim interesse i at sikre, at ansøgere – særligt tredjelandsstatsborgere – lovligt kunne arbejde i Danmark. Med en rekrutteringsmodel, hvor ansættelse praktisk talt sammenfaldt med ansøgning, fandt Datatilsynet, at behandlingen kunne ske efter en interesseafvejning efter GDPR art. 6, forudsat at indsamlingen var nødvendig og proportionel i lyset af formålet.
For straffeattester fremhævede Datatilsynet den særlige risikoprofil forbundet med store sports- og underholdningsbegivenheder. Den generelle forebyggelse af terror og økonomisk kriminalitet kunne begrunde behandling af oplysninger om strafbare forhold efter GDPR art. 10 og databeskyttelsesloven. Myndigheden lagde vægt på, at arbejdsgiver havde foretaget en konkret stillingsbaseret vurdering, sondret mellem fastansættelse og løsarbejde og tilrettelagt indhentningen, så den skete så sent som muligt i rekrutteringsforløbet.
Praktiske implikationer for arbejdsgivere
Afgørelsen illustrerer, at højrisko-arbejdspladser kan have et udvidet behov for identitetstjek og baggrundskontrol. Det fritager dog ikke for den konkrete nødvendighedsvurdering, dokumenteret interesseafvejning og streng efterlevelse af dataminimering, herunder snæver formålsbestemmelse, begrænset lagring og passende sikkerhed.
Arbejdsgivere bør sikre klare procedurer for rekruttering og baggrundstjek, som minimum med følgende elementer:
- Fastlæggelse af behandlingsgrundlag, herunder interesseafvejning efter GDPR art. 6 og hjemmel til straffeoplysninger efter GDPR art. 10 og databeskyttelsesloven.
- Rolle- og risikobaseret afgrænsning af, hvilke oplysninger der indhentes for hvilke stillinger.
- Tidspunkt for indsamling: så sent som muligt og kun når nødvendigt for ansættelsesbeslutningen.
- Retention: korte opbevaringsperioder, klare sletningsregler og løbende oprydning.
- Transparens og sikkerhed: oplysningspligt til ansøgere, adgangskontrol og passende tekniske og organisatoriske foranstaltninger.
Samlet viser afgørelsen, at særlig driftsrisiko og organisatoriske forhold kan begrunde udvidet databehandling i rekruttering, når den er målrettet, dokumenteret og proportional.
