top of page
Søk

GDPR i rekruttering – slik sikres lovlig behandling av kandidatdata

  • Forfatterens bilde: Kristin Halvorsen
    Kristin Halvorsen
  • 4. nov.
  • 3 min lesing

Oppdatert: 6. nov.



Forkortelsen GDPR står for General, Data, Protection, Regulated

Mange arbeidsgivere sitter på store mengder kandidatdata – CV-er, søknader og intervjunotater – uten å tenke over hvor lenge de skal lagres, hvem som har tilgang, eller hvordan de deles.

Personvernforordningen (GDPR) gjelder for alle virksomheter – store som små. Den handler ikke bare om lover og regler, men om tillit. Kandidater deler personlig informasjon med deg fordi de ønsker en jobb. Da er det ditt ansvar å sørge for at opplysningene behandles trygt, ryddig og med respekt.

Men hvordan gjør du det i praksis – enten du bruker et profesjonelt rekrutteringssystem, eller håndterer søknader manuelt i Office, Teams eller e-post?


Slik håndterer du kandidatdata sikkert - uten eget rekrutteringssystem

Ikke alle virksomheter har behov for eller økonomi til et dedikert rekrutteringssystem. Mange mindre bedrifter håndterer søknader manuelt – og det kan gå helt fint, så lenge du har gode rutiner.


Her er noen enkle og viktige grep du bør ta:

Opprett en egen mappe for rekruttering

Bruk et sikkert område i bedriftens skyløsning, som OneDrive eller SharePoint. Lag en egen mappe for hver stilling og lagre søknader og CV-er der – ikke på e-post, i Teams-chat eller lokalt på maskinen.


Begrens tilgangen

Gi bare tilgang til dem som faktisk deltar i prosessen. Det er verken nødvendig eller lov at “alle” i bedriften skal kunne lese søknader.


Slett kandidatdata når behovet er borte

Når stillingen er besatt, slett dokumentene. Hvis du ønsker å beholde informasjon for fremtidige prosesser, må kandidaten gi et tydelig samtykke, og du bør opplyse hvor lenge dataene oppbevares.


Avklar ansvar internt

Sørg for at alle vet hvem som har ansvar for lagring, sletting og oppfølging. Når dette ikke er tydelig, oppstår lett den klassiske situasjonen der “alle trodde noen andre skulle gjøre det”. Resultatet blir ofte at ingenting blir gjort – og sensitive opplysninger blir liggende. Klare roller reduserer risikoen for feil, gir bedre kontroll og sørger for at kandidatene blir behandlet profesjonelt.


Dokumentér rutinen

Lag en enkel rutine som beskriver hvordan dere håndterer personopplysninger i rekruttering. Den trenger ikke være lang – det viktigste er at den finnes og følges.


Slik sikrer du GDPR-compliance med digitale rekrutteringssystemer

Et digitalt rekrutteringssystem gjør det enklere å følge GDPR, fordi mye av håndteringen skjer automatisk.


Slike systemer hjelper deg blant annet med å:

✅ innhente og dokumentere samtykke fra kandidater

✅ slette data automatisk etter en bestemt periode

✅ sikre at bare autoriserte personer har tilgang

✅ kommunisere med kandidater på en trygg måte


Eksempler på løsninger som tilbyr dette er Teamtailor, RecMan og Talentech (tidligere Webcruiter).


Selv om slike systemer håndterer mye, har virksomheten fortsatt ansvaret. Du må fortsatt sikre at brukerne i systemet forstår hva som er lov å lagre, hvem som skal ha tilgang – og hvor lenge dataene kan beholdes.


Vanlige misforståelser om GDPR i rekruttering

Mange bedrifter kvier seg for å snakke om personvern fordi de er redde for å gjøre feil. Men GDPR er ikke ment å stoppe deg – det skal hjelpe deg å behandle personopplysninger rettferdig og sikkert.


La oss avlive noen vanlige myter:

💡 “Man kan ikke motta søknader på e-post.” - Jo, det kan du, men det er ikke anbefalt. Det er håndteringen som avgjør om du følger GDPR – ikke mottaksformen. Bruk en trygg bedriftsadresse, del ikke e-posten videre uten grunn, flytt søknaden til et sikkert sted etterpå og slett e-posten. Hvis du må dele e-posten, bruk kryptert sending og sørg for å informere den du deler e-posten med at den må slettes etter prosessen.

💡 “Alt må slettes med én gang prosessen er ferdig.” - Du kan beholde søknader hvis kandidaten har gitt samtykke. Det viktige er å informere om hvordan og hvor lenge dataene lagres – og faktisk slette dem når formålet er oppfylt.

💡 “GDPR gjelder bare store virksomheter.” - Nei, alle arbeidsgivere må følge reglene. Men små virksomheter forventes å ha tiltak som står i forhold til størrelsen. Har du kontroll på tilgang, lagring og sletting – er du allerede godt på vei.

💡 “GDPR er bare papirarbeid.” - Personvern handler om tillit og profesjonalitet. Å ta kandidatdata på alvor viser at du respekterer menneskene bak søknadene – og det gjør deg til en mer attraktiv arbeidsgiver.


GDPR handler om tillit

Å håndtere kandidatdata riktig handler om mer enn bare juss. Det handler også om å vise respekt for menneskene bak søknadene – om å bygge tillit mellom arbeidsgiver og arbeidstaker allerede før ansettelsen.

Når du viser at du tar personvern på alvor, blir du ikke bare en trygg arbeidsgiver. Du blir også en mer attraktiv en.


Hos Solid Rekruttering tar vi personvern på alvor. Les mer om hvordan vi ivaretar GDPR i praksis i våre rekrutteringsprosesser her.


Solid Rekruttering kan bistå med rådgivning og praktiske rutiner for trygg og lovlig håndtering av kandidatdata – enten du bruker digitale systemer eller gjør jobben manuelt.


Vil du ta en prat om hvordan dere kan få en ryddigere rekrutteringsprosess?




 
 
 

Kommentarer

bottom of page