I en tid hvor digital rekruttering er standard, samler bedrifter enorme mengder data om jobbsøkere. CV-er, søknader, referanser, testresultater og personlige vurderinger behandles daglig – men hvor godt sikrer bedriftene seg mot misbruk og brudd på personvernregler? Etterlevelse av GDPR (General Data Protection Regulation) er ikke bare en juridisk nødvendighet, men også en tillitsfaktor i rekrutteringsprosessen.
Hva sier GDPR om rekruttering?
GDPR trådte i kraft i 2018 og gir strenge retningslinjer for hvordan personopplysninger kan behandles. For rekruttering innebærer dette:
- Behandlingsgrunnlag: Personopplysninger må kun samles inn og behandles hvis det finnes et gyldig grunnlag, for eksempel samtykke fra kandidaten eller nødvendighet for å gjennomføre en ansettelsesprosess.
- Minimering av data: Kun relevante opplysninger skal samles inn – bedrifter må unngå å be om mer informasjon enn nødvendig.
- Sikring av data: Informasjonen må lagres på en trygg måte, med tilgangsbegrensninger for uvedkommende.
- Rett til innsyn og sletting: Kandidater har rett til å vite hvilke opplysninger som er lagret om dem og kan be om at informasjon slettes etter avsluttet rekrutteringsprosess.
De største fallgruvene for personvern i rekruttering
Til tross for klare regler, gjør mange bedrifter feil når de håndterer personopplysninger i ansettelsesprosesser.
Noen av de vanligste feilene inkluderer:
Lagring av CV-er og søknader på e-post
- En svært vanlig feil er at mange arbeidsgivere lagrer CV-er og søknader på e-post, uten sikker lagring eller sletterutiner. GDPR krever at disse dataene slettes etter 6 måneder, med mindre kandidaten samtykker til lengre lagring.
Uklart samtykke
- Hvis en arbeidsgiver ønsker å beholde en kandidat til fremtidige stillinger, må det innhentes aktivt og informert samtykke. Mange bedrifter gjør feilen ved å anta at en søknad automatisk gir dem rett til å lagre dataene.
Deling av kandidatdata uten grunnlag
- Det er ulovlig å dele søknader eller vurderinger internt i bedriften eller med samarbeidspartnere uten samtykke.
Bruk av automatiserte screening-systemer uten innsyn
- Mange bedrifter bruker AI-baserte rekrutteringssystemer for å filtrere søkere. Hvis slike systemer tar automatiserte beslutninger, har kandidaten rett til å få innsikt i hvordan vurderingen er gjort.
Hvordan sikre GDPR-compliant rekruttering?
For å unngå juridiske fallgruver og bygge tillit hos jobbsøkere, bør bedrifter implementere følgende tiltak:
Sørg for tydelig samtykke
- Hvis en bedrift ønsker å lagre CV-er for fremtidige stillinger, må kandidaten gi klart og informert samtykke. Dette må dokumenteres og være enkelt å trekke tilbake.
Ha en sletterutine
- Bedrifter bør ha en fast prosess for når kandidatdata slettes – for eksempel innen seks måneder etter endt rekrutteringsprosess, med mindre kandidaten har gitt tillatelse til lengre lagring.
Bruk sikre systemer for lagring
- Personopplysninger må lagres i sikrede HR-systemer med begrenset tilgang, ikke på åpne e-poster eller delte servere uten beskyttelse.
Transparens om vurderinger og AI-bruk
- Hvis et selskap bruker automatisert vurdering i screeningprosessen, bør kandidater informeres om dette og ha mulighet til å be om manuell gjennomgang.
Opplæring av rekrutterere og HR-personell
- De som jobber med ansettelser, må forstå GDPR-regelverket og vite hvordan de håndterer personopplysninger riktig.
Hvordan står norske bedrifter til personvern i rekruttering?
En fersk undersøkelse gjennomført av Sperton Norway ved bruk av Norstat Express, 17. mars 2025, med 200 respondenter, avslører at mange bedrifter fortsatt ikke følger beste praksis for personvern i rekruttering:
- 44,6 % av respondentene bruker e-post for å motta CV-er og søknader.
- 56,4 % benytter ingen systemer for lagring av søknader, noe som øker risikoen for uautorisert tilgang og brudd på GDPR.
- Bare 14,9 % bruker ATS-systemer (Applicant Tracking Systems) for å organisere og lagre kandidatdata på en sikker måte.
Disse tallene viser at mange bedrifter fortsatt mangler strukturerte systemer for lagring og håndtering av kandidatdata. Bruken av ATS-systemer kan ikke bare forbedre GDPR-samsvar, men også gjøre rekrutteringsprosessen mer effektiv og transparent.
Hvorfor bør bedrifter ta GDPR på alvor i rekruttering?
- Unngå bøter og juridiske konsekvenser – GDPR-brudd kan føre til store bøter og tap av omdømme.
- Bygg tillit hos kandidater – bedrifter som viser at de tar personvern på alvor, fremstår som mer attraktive arbeidsgivere.
- Forbedre effektiviteten i rekruttering – med sikre systemer og strukturerte prosesser kan HR bruke mindre tid på administrasjon og mer tid på strategisk rekruttering.
Konklusjon
GDPR er ikke bare en juridisk forpliktelse – det handler også om tillit og etikk i rekrutteringsprosessen. Norske bedrifter som behandler kandidatdata på en sikker og transparent måte, unngår ikke bare bøter og juridiske problemer, men fremstår også som mer profesjonelle og attraktive for jobbsøkere.
Ved å ha gode rutiner for samtykke, datalagring og sikkerhet, kan arbeidsgivere sikre at de rekrutterer i tråd med GDPR – og bygge en mer tillitsbasert og rettferdig rekrutteringsprosess.
I Sperton er GDPR et viktig fokus – vi deler f.eks. ikke CV på e-post, men gjennom vårt ATS/Rekrutteringssystem. Ved å behandle informasjonen i vårt ATS, blir mye av GDPR kravene automatisk gjennomført – noe som er veldig viktig for helheten.
Ta gjerne kontakt med oss på emg@sperton.com for rekrutterings- eller konsulentbistand, og for å vite mer om hvordan vi jobber.