En bilmekaniker arbetade för ett företag inom fordonsbranschen i drygt en månad. I samband med detta ombads han att lämna in en kopia av sitt belastningsregister. Han lämnade inte in någon kopia förrän ungefär en månad senare. Vid granskningen av registret fann företaget att han tidigare hade dömts för ett brott. Företaget förstörde kopian, och anställningen upphörde kort därefter.
Arbetsdomstolen avslog den anställdes yrkande på 60 000 kronor i ersättning för olaglig behandling av hans data. Belastningsregistret hade endast hanterats manuellt. En sådan icke-automatiserad behandling kan endast omfattas av GDPR när uppgifterna ingår i ett register. Så var inte fallet här. Det faktum att uppgifterna härrörde från myndighetens register ändrade inte den bedömningen.
iuno menar
Även om slutsatsen inte är överraskande, tjänar den som en påminnelse om att inte alla personuppgifter nödvändigtvis omfattas av GDPR. Det beror på hur de hanteras i praktiken. Men även om dataskyddsreglerna inte gäller, kan företag fortfarande vara ansvariga enligt arbetsrättsliga regler. Om dokumentation som rör en jobbsökande eller anställd har förstörts kan det bli svårt att försvara ett HR-beslut i efterhand.
iuno rekommenderar att företag, särskilt när det gäller bakgrundskontroller, slutför processen innan de anställer en kandidat. Om kontrollen inte slutförs förrän senare, väcker det flera frågor både enligt dataskyddslagstiftningen och arbetsrätten. Även om det inte var en fråga som togs upp i detta fall, kunde det lätt ha varit det.
[AD 2026 nr 27]