Kort svar
Rekruttering innebærer mye persondata på kort tid. Derfor bør virksomheten vite hva som samles inn, hvem som ser det og hvor lenge materialet beholdes.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke opplysninger som er nødvendige i rekrutteringsløpet, hvem som har tilgang til kandidatopplysninger og på hvilket grunnlag og hvordan sletting og informasjon til kandidater håndteres.
Når dette blir aktuelt
- når bedriften bruker søknadssystem eller rekrutteringsbyrå
- når ledere lagrer søknader lokalt eller videresender CV-er fritt
- når kandidater spør hva som skjer med opplysningene deres
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke opplysninger som er nødvendige i rekrutteringsløpet | avgjør om prosessen er forholdsmessig |
| Hvem som har tilgang til kandidatopplysninger og på hvilket grunnlag | er viktig for å begrense innsyn og feilbruk |
| Hvordan sletting og informasjon til kandidater håndteres | reduserer risikoen for at gamle søknader blir liggende |
Slik bør dere gå fram
- Gå gjennom hvilke data dere faktisk ber om i søknadsprosessen.
- Begrens tilgang til kandidatinformasjon til dem som trenger den i rekrutteringen.
- Lag klare rutiner for sletting eller videre oppbevaring etter avsluttet prosess.
- Sørg for tydelig informasjon til kandidater om hvordan opplysningene behandles.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- søknadsskjema eller kandidatløsning med felter og tilgangsroller
- rutine for behandling av CV-er, notater og referanser
- sletteplan for kandidater som ikke ansettes
- informasjonstekst til søkere
Typiske feil
- ledere lagrer søknader i e-post og lokale mapper uten kontroll
- det samles inn flere opplysninger enn det er behov for
- avsluttede kandidater blir liggende i systemet uten klar grunn
Når bør dere få konkret hjelp?
Når mange personer deltar i rekrutteringen eller eksterne byråer brukes, bør personvernopplegget kvalitetssikres før volumet øker.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på personvern i rekruttering og jobbsøknader i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Innebygd personvern når du kjøper eller bygger systemer
- Personvern for kamera og sporing på jobb
- Ansattdata: hvilke opplysninger kan arbeidsgiver behandle?