Tillbaka till huvudmeny

GDPR & Rekrytering: Hantera personuppgifterna på rätt sätt

I samband med rekryteringsprocesser kommer man alltid att hantera många personuppgifter. Ska ditt företag rekrytera under hösten? Då är det smart att utforma rekryteringsprocessen och hanteringen av data enligt GDPR som träder i kraft den 25 maj nästa år.

I samband med rekryteringsprocesser kommer man alltid att hantera många personuppgifter. Ska ditt företag rekrytera under hösten? Då är det smart att utforma rekryteringsprocessen och hanteringen av data enligt GDPR som träder i kraft den 25 maj nästa år.

Organisationer som använder sig av personuppgifter i verksamheten är skyldiga att informera de registrerade. Det är viktigt att den registrerade vet att de är registrerade, varför och hur uppgifterna kommer att behandlas. I dataskyddsförordningen står det att informationen ska vara uttömmande och lättbegriplig.

Vad räknas som uttömmande och lättbegriplig information?
Det ska vi ta reda på i denna artikel. Du kommer dessutom få tips på hur personuppgifterna bör sparas, och när de ska gallras.

Det finns så mycket mer att tänka på när det kommer till hantering av personuppgifter vid rekrytering än vad vi kan behandla i denna artikel. Referenstagning, känsliga uppgifter och uppgifter om lagöverträdelser är exempel på processer som också kräver efterlevnad mot GDPR.

Informationsskyldighet vid nyrekrytering

Anledningen till att det finns informationsskyldighet är att den registrerade ska känna till samtliga behandlingar av personuppgifter om den jobbsökande. Den registrerade ska också veta att man kan begära registerutdrag. Därför ska det finnas information om hur man begär ett utdrag. Tanken är alltså att de jobbsökande alltid ska vara informerade om hur hans eller hennes uppgifter hanteras.

Bakgrundscheck på sociala medier? Inte okej med GDPR

EU:s rådgivande organ i dataskyddsfrågor, Artikel 29-gruppen, gav i juni 2017 ut en vägledning för dataskyddsfrågor på arbetsplatser. Där beskrivs bland annat att ”bakgrundskontroll” av arbetssökande via sociala medier i princip blir uteslutet när GDPR träder i kraft.

Det enda sättet som man kan kringgå detta är om det i jobbannonsen explicit står att sociala medier kommer att kontrolleras i samband med en ansökan.

När ska personuppgifter från rekryteringen tas bort?

All data som samlas in under rekryteringsprocessen ska arkiveras så snart man vet att sökanden inte har gått vidare i processen. Innan ansökningsprocessen börjar ska den ansökande givetvis informeras om hur personuppgifter behandlas och lagras i enlighet med dataskyddsförordningen.

Radera inte personuppgifterna. Om en sökande anser sig diskriminerad i ansökningsprocessen, och överklagar detta, så måste ni ha tillgång till de uppgifter som kan bevisa att ni inte diskriminerat den sökande. Spara uppgifterna så länge överklagandetiden gäller. Det är normalt sett 2 år.

Kom ihåg att informationen bara får användas vid överklagan – inte i något annat syfte. Vill arbetsgivaren ha kvar information för eventuella kommande rekryteringar kräver det ett samtycke.

När ska den jobbsökande informeras?

Information om datahantering kan lämnas:

 • På hemsidan där ansökan skickas in.
 • I ett bekräftelsemail efter ansökan har kommit in.
 • I ett bekräftelsebrev efter ansökan har kommit in.

Kom ihåg: Den registrerade måste också få vet hur personuppgifterna hanteras efter att rekryteringen avslutas, till exempel om personuppgifter sparas under en viss tid.

Använder ni ett rekryteringsbolag? OBS på uppgifter från tredje part

När ni använder er av ett externt rekryteringsbolag, och allmänt när man använder tjänster från tredje part, är det den rekryterande organisationen som ansvarar för hur personuppgifterna behandlas.

Det innebär att ni tillsammans med det externa företaget måste analysera vilken organisation som är ansvarig för personuppgifterna i de olika leden av rekryteringen. Säkerställ också att båda parter har ett datahanteringssystem som efterlever lagstiftningen i GDPR.

Lathund till informering av personuppgiftshantering vid rekrytering

 1. Lämna informationen skriftligt: det är svårt att bevisa att information verkligen har lämnats om det sker muntligen.
 2. Använd kort och koncist språk: välj ord som gemene man förstår och använder.
 3. Anpassa texten till mottagaren: Om ni är ett svenskt företag som exempelvis söker en engelskspråkig person till en viss ställning, ska informationen lämnas på engelska.
 4. Texten ska vara lätt att hitta: Det kan vara en kort beskrivning med en länk som går till den fullständiga versionen av informationen.

I artikel 13-14 i dataskyddsförordningen beskrivs ett antal punkter som ni ska informera om.

Mest populära

 • Kan arbetsgivare betala ut pengar istället för semester?

  När semesteråret når sitt slut, och de anställda har semesterdagar kvar, vad kan du som arbetsgivare göra? Kan du betala ut pengar istället för att ge medarbetaren semester? Det är en vanlig fråga, och svaret finns i semesterlagen.

 • Det här innebär nya LAS för offentlig sektor

  Nyligen lade regeringen en proposition på en lagförändring rörande arbetsrätten, kallat nya LAS. Den nya lagen förväntas träda i kraft den 30 juni 2022 och börja tillämpas den 1 oktober 2022.

 • Räknas restid som arbetstid?

  Betald restid – en definitionsfråga med flera svar. Många yrkesgrupper spenderar många timmar i veckan på att resa mellan olika projekt eller arbetsplatser. Det finns tillfällen då restid räknas som arbetstid. Däremot räknas inte resan till och från den ordinarie arbetsplatsen som restid – dina medarbetare har alltså inte rätt till kompensation för tiden de lägger på att ta sig till arbetet.