Personvern og GDPR i rekruttering – Hva må arbeidsgivere tenke på?

I en tid hvor digital rekruttering er standard, samler bedrifter enorme mengder data om jobbsøkere. CV-er, søknader, referanser, testresultater og personlige vurderinger behandles daglig – men hvor godt sikrer bedriftene seg mot misbruk og brudd på personvernregler? Etterlevelse av GDPR (General Data Protection Regulation) er ikke bare en juridisk nødvendighet, men også en tillitsfaktor i rekrutteringsprosessen.

Hva sier GDPR om rekruttering?

GDPR trådte i kraft i 2018 og gir strenge retningslinjer for hvordan personopplysninger kan behandles. For rekruttering innebærer dette:

  • Behandlingsgrunnlag: Personopplysninger må kun samles inn og behandles hvis det finnes et gyldig grunnlag, for eksempel samtykke fra kandidaten eller nødvendighet for å gjennomføre en ansettelsesprosess.
  • Minimering av data: Kun relevante opplysninger skal samles inn – bedrifter må unngå å be om mer informasjon enn nødvendig.
  • Sikring av data: Informasjonen må lagres på en trygg måte, med tilgangsbegrensninger for uvedkommende.
  • Rett til innsyn og sletting: Kandidater har rett til å vite hvilke opplysninger som er lagret om dem og kan be om at informasjon slettes etter avsluttet rekrutteringsprosess.

De største fallgruvene for personvern i rekruttering

Til tross for klare regler, gjør mange bedrifter feil når de håndterer personopplysninger i ansettelsesprosesser.

Noen av de vanligste feilene inkluderer:

Lagring av CV-er og søknader på e-post

  • En svært vanlig feil er at mange arbeidsgivere lagrer CV-er og søknader på e-post, uten sikker lagring eller sletterutiner. GDPR krever at disse dataene slettes etter 6 måneder, med mindre kandidaten samtykker til lengre lagring.

Uklart samtykke

  • Hvis en arbeidsgiver ønsker å beholde en kandidat til fremtidige stillinger, må det innhentes aktivt og informert samtykke. Mange bedrifter gjør feilen ved å anta at en søknad automatisk gir dem rett til å lagre dataene.

Deling av kandidatdata uten grunnlag

  • Det er ulovlig å dele søknader eller vurderinger internt i bedriften eller med samarbeidspartnere uten samtykke.

Bruk av automatiserte screening-systemer uten innsyn

  • Mange bedrifter bruker AI-baserte rekrutteringssystemer for å filtrere søkere. Hvis slike systemer tar automatiserte beslutninger, har kandidaten rett til å få innsikt i hvordan vurderingen er gjort.

Hvordan sikre GDPR-compliant rekruttering?

For å unngå juridiske fallgruver og bygge tillit hos jobbsøkere, bør bedrifter implementere følgende tiltak:

Sørg for tydelig samtykke

  • Hvis en bedrift ønsker å lagre CV-er for fremtidige stillinger, må kandidaten gi klart og informert samtykke. Dette må dokumenteres og være enkelt å trekke tilbake.

Ha en sletterutine

  • Bedrifter bør ha en fast prosess for når kandidatdata slettes – for eksempel innen seks måneder etter endt rekrutteringsprosess, med mindre kandidaten har gitt tillatelse til lengre lagring.

Bruk sikre systemer for lagring

  • Personopplysninger må lagres i sikrede HR-systemer med begrenset tilgang, ikke på åpne e-poster eller delte servere uten beskyttelse.

Transparens om vurderinger og AI-bruk

  • Hvis et selskap bruker automatisert vurdering i screeningprosessen, bør kandidater informeres om dette og ha mulighet til å be om manuell gjennomgang.

Opplæring av rekrutterere og HR-personell

  • De som jobber med ansettelser, må forstå GDPR-regelverket og vite hvordan de håndterer personopplysninger riktig.

Hvordan står norske bedrifter til personvern i rekruttering?

En fersk undersøkelse gjennomført av Sperton Norway ved bruk av Norstat Express, 17. mars 2025, med 200 respondenter, avslører at mange bedrifter fortsatt ikke følger beste praksis for personvern i rekruttering:

  • 44,6 % av respondentene bruker e-post for å motta CV-er og søknader.
  • 56,4 % benytter ingen systemer for lagring av søknader, noe som øker risikoen for uautorisert tilgang og brudd på GDPR.
  • Bare 14,9 % bruker ATS-systemer (Applicant Tracking Systems) for å organisere og lagre kandidatdata på en sikker måte.

Disse tallene viser at mange bedrifter fortsatt mangler strukturerte systemer for lagring og håndtering av kandidatdata. Bruken av ATS-systemer kan ikke bare forbedre GDPR-samsvar, men også gjøre rekrutteringsprosessen mer effektiv og transparent.

Hvorfor bør bedrifter ta GDPR på alvor i rekruttering?

  • Unngå bøter og juridiske konsekvenser – GDPR-brudd kan føre til store bøter og tap av omdømme.
  • Bygg tillit hos kandidater – bedrifter som viser at de tar personvern på alvor, fremstår som mer attraktive arbeidsgivere.
  • Forbedre effektiviteten i rekruttering – med sikre systemer og strukturerte prosesser kan HR bruke mindre tid på administrasjon og mer tid på strategisk rekruttering.

Konklusjon

GDPR er ikke bare en juridisk forpliktelse – det handler også om tillit og etikk i rekrutteringsprosessen. Norske bedrifter som behandler kandidatdata på en sikker og transparent måte, unngår ikke bare bøter og juridiske problemer, men fremstår også som mer profesjonelle og attraktive for jobbsøkere.

Ved å ha gode rutiner for samtykke, datalagring og sikkerhet, kan arbeidsgivere sikre at de rekrutterer i tråd med GDPR – og bygge en mer tillitsbasert og rettferdig rekrutteringsprosess.

I Sperton er GDPR et viktig fokus – vi deler f.eks. ikke CV på e-post, men gjennom vårt ATS/Rekrutteringssystem. Ved å behandle informasjonen i vårt ATS, blir mye av GDPR kravene automatisk gjennomført – noe som er veldig viktig for helheten.

Ta gjerne kontakt med oss på emg@sperton.com for rekrutterings- eller konsulentbistand, og for å vite mer om hvordan vi jobber.