Databehandling i tjänsten Bakgrundskontroll

Denna informationsbilaga beskriver på ett pedagogiskt och överskådligt sätt hur Refapp behandlar data inom tjänsten Refapp Bakgrundskontroll. Dokumentet är avsett som underlag för kunddialoger och upphandlingar, samt för att förklara hur Refapps två legala ramverk – GDPR och Yttrandefrihetsgrundlagen (YGL) – samspelar i tjänsten.

Refapp arbetar under både GDPR (för referenstagning och beställningsfasen av bakgrundskontroll) och YGL med utgivningsbevis (för research, publicering och rapporten). Det gör att rollerna och ansvaret skiljer sig åt beroende på var i processen man befinner sig.

Syftet med denna bilaga är att skapa förståelse och transparens kring databehandling, roller, lagring och rättsliga ramar.

1. Översikt – två regelverk i samma tjänst

Refapp Bakgrundskontroll består av två tydligt avgränsade faser:

A. Beställningsinformation (GDPR) – Kunden initierar kontrollen

Här lämnar kunden eller kandidaten information för att starta processen, exempelvis: namn, kontaktuppgifter, personnummer (vid behov), och rekryterare/användare som hanterar ärendet.

Denna del av processen omfattas av GDPR, där:

• Kunden är personuppgiftsansvarig (Controller)
• Refapp är personuppgiftsbiträde (Processor)

Ett PUBA gäller för denna specifika del av behandlingen.

B. Undersökning, research, databas och rapport (YGL) – Refapp genomför bakgrundskontrollen

När beställningen är initierad övergår behandlingen till Refapps publicistiska verksamhet under utgivningsbevis från Mediemyndigheten. Refapp avgör vilka källor som ska användas, utför research, sammanställer fakta, granskar och verifierar uppgifter, samt publicerar bakgrundsrapporten.

Denna del omfattas inte av GDPR, utan av YGL (Yttrandefrihetsgrundlagen). Kunden är endast läsare av rapporten. Refapp är ensam ansvarig utgivare. 

2. Beställningsinformation – databehandling enligt GDPR

Beställningsinformationen används enbart för att möjliggöra att en bakgrundskontroll kan genomföras. Den omfattar uppgifter som kunden själv tillhandahåller.

Behandlingar som Refapp utför som personuppgiftsbiträde:

• ta emot och validera kandidatdata
• initiera och administrera vald kontrolltyp i tjänsten
• generera och visa statusinformation till kunden (”pågår”, ”klar”, ”godkänd/ej godkänd”)
• lagra och strukturera beställningsdata
• administrera användarkonton, behörigheter och systeminställningar
• föra loggar för säkerhet, drift och felsökning
• ge support i ärenden som rör beställningsflödet
• gallra uppgifter enligt gällande retention

Kategorier av personuppgifter

• Kandidater: namn, kontaktuppgifter, personnummer (om tillämpligt), uppgifter kunden lämnar vid beställning
• Kundens användare: namn, roll/titel, kontaktuppgifter, profilbild (frivillig), inloggnings- och aktivitetsloggar

Kategorier av registrerade

• kandidater i rekryteringsprocesser
• referensgivare för vissa kontrolltyper (vid EHV)
• kundens användare

Gallring

Behandlingen av beställningsdata regleras fullt ut i PUBA och instruktioner för tjänsten:

• Beställningsdata gallras normalt efter 24 månader, om inget annat avtalats.
• Supportdata och loggar gallras enligt Refapps säkerhetsrutiner.

3. Research, databas och rapport – publicistisk behandling under utgivningsbevis (YGL)

När researchfasen inleds sker all behandling under Refapps utgivningsbevis. Kunden är **inte** personuppgiftsansvarig för denna behandling.

Vad innebär publicistisk behandling?

• Refapp agerar som en redaktionell funktion
• Refapp är ensam ansvarig för innehållet i rapporten
• GDPR gäller inte denna del av databehandlingen
• Kunden betraktas som ”läsare av en publicerad rapport”

Vilken data hanteras?

Data som framkommer under research kan omfatta:

• arbetslivshistorik
• utbildningshistorik
• arbetstillstånd
• uppgifter från öppna källor eller myndighetskällor
• brott- och rättsuppgifter (om tillåtet för rollen)
• kredituppgifter (om tillåtet för rollen)
• journalistiskt arbetsmaterial inför publicering

Lagring och gallring

• Publicerad rapport hålls tillgänglig för Kunden i 14 dagar
• Researchmaterial och rapport lagras internt i 6 månader (krav från Mediemyndigheten)
• Därefter raderas eller anonymiseras allt material

Denna behandling omfattas inte av PUBA och regleras av Refapps ansvar enligt YGL.

4. Roller och ansvar – sammanfattning

Referenstagning

• Kunden: Personuppgiftsansvarig
• Refapp: Personuppgiftsbiträde
• Regelverk: GDPR
• Avtal: PUBA

Bakgrundskontroll – beställning

• Kunden: Personuppgiftsansvarig
• Refapp: Personuppgiftsbiträde
• Regelverk: GDPR
• Avtal: PUBA (begränsad till denna del)

Bakgrundskontroll – research och rapport

• Kunden: Läsare av publicerat material
• Refapp: Ansvarig utgivare
• Regelverk: YGL och krav från Mediemyndigheten
• Avtal: Inget PUBA gäller för denna del

5. Restriktioner och begränsningar

För att Kunden inte ska bli personuppgiftsansvarig för publicistiskt material ska kunden inte:

• ladda ner rapporten
• spara rapporten i egna system
• dela rapporten externt
• kopiera eller vidareförädla rapportinnehållet

6. Varför är detta säkert och lagligt?

• Refapp arbetar under ett registrerat utgivningsbevis, vilket ger en tydlig rättslig grund att publicera känsliga uppgifter.
• Kunden avlastas ansvar för researchen.
• GDPR tillämpas enbart på den inledande delen där kunden lämnar kandidatdata.
• Refapp följer tydliga gallringsregler för både GDPR och YGL.
• Modellen används av stora aktörer inom bakgrundskontroller och har förankring i grundlag.

7. Sammanfattning

Refapp Bakgrundskontroll bygger på en tydlig och säker ansvarsfördelning:

• Kunden är ansvarig för beställningsinformationen (GDPR)
• Refapp är ansvarig för hela research- och rapportproduktionen (YGL)
• Kunden använder rapporten som beslutsunderlag utan att själv behöva hantera känsliga uppgifter

Detta skapar en trygg, effektiv och juridiskt robust lösning för bakgrundskontroller.

Versionshistorik

Version	Datum	Ändring / Kommentar
2025.01	2025-09-01	Första versionen