Behandling av personopplysninger ved rekruttering

Hvilke personopplysninger har du lov til å innhente og i hvilke situasjoner krever det samtykke fra søkeren?

Personopplysningsregelverket regulerer hvilke personopplysninger om søker som kan behandles, og hvordan disse skal behandles. Hva som sies muntlig i rekrutteringsprosessen reguleres ikke av personopplysningsregelverket, men arbeidsmiljøloven setter visse grenser for hva arbeidsgiver i det hele tatt kan spørre en jobbsøker om.

Se mer om dette i artikkelen om "Innhenting av helseopplysninger ved rekruttering".  

Utgangspunkter - behandling av personopplysninger fra søkere

Grunnlaget for å behandle personopplysninger i en rekrutteringsprosess finner vi i personvernforordningen artikkel 6 bokstav b. Etter denne bestemmelsen kan arbeidsgiver behandle personopplysninger i rekrutteringsprosessen så lenge dette er nødvendig «for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse». I klartekst betyr dette at man kan behandle de personopplysninger som er nødvendige for å vurdere om kandidaten er egnet til å fylle stillingen – slik stillingen er definert i utlysningsteksten.

Hva som er «nødvendig» må vurderes fra tilfelle til tilfelle. Det klare utgangspunktet er at følgende personopplysninger må regnes som nødvendige:

  • kontaktinformasjon
  • søknadstekst
  • CV
  • vitnemål
  • kursbevis/sertifikater
  • referanser 

Nødvendigheten av å behandle opplysninger fra personlighets- og ferdighetstester, helseopplysninger, bakgrunnssjekk osv.  behandles nærmere nedenfor.

Hvis det, for å vurdere søkernes egnethet til den utlyste stilling, er ønskelig å behandle flere personopplysninger om søkeren enn hva som strengt tatt er nødvendig må det innhentes samtykke En frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv.fra søkeren. Hva som er «nødvendig» vil være skjønnsmessig, og det kan derfor være en fordel å hente inn samtykke for all behandling som ikke er omfattet av listen av vanlige opplysninger over. 

Informasjon til søker om behandling av personopplysninger og innsyn fra søker

Søkeren må gis informasjon om behandlingen av personopplysninger i søknadsprosessen. Informasjonen kan gjerne gis som ledd i søknadsprosessen, før søknaden sendes inn. Hvor søknaden sendes inn manuelt eller på e-post, bør informasjonen ligge lett tilgjengelig på virksomhetens nettsider.

Det viktigste her er å få frem hvilke opplysninger som behandles og hvor lenge opplysningene lagres.

Søker kan kreve innsyn i de personopplysninger som arbeidsgiver måtte behandle i forbindelse med rekrutteringsprosessen. Personvernforordningen gir begrensede unntak fra innsynsretten i denne forbindelse. Etter artikkel 13 og 14 er unntak hovedsakelig aktuelt hvor opplysningene er omfatter av taushetsplikt eller hvor det er umulig eller uforholdsmessig krevende. Et praktisk viktig unntak fra innsynsretten er kommet inn i personopplysningsloven § 16 første ledd bokstav c. Her står det at det er anledning å unnta fra innsyn opplysninger som "utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig for å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser". 

Sosiale medier

Det er ganske vanlig å google søkere i rekrutteringsprosesser. Her er det grunn til å være forsiktig. Dersom opplysninger om søker fra f.eks. sosiale medier skal behandles og legges til grunn i rekrutteringen må opplysningene være relevante og nødvendige for å vurdere egnethet til stillingen. Det er altså ikke tilstrekkelig at søkeren har latt opplysninger, bilder og videoer ligge åpent – opplysningene må ha relevans for stillingen det søkes på.
En annen ting man skal være klar over er at en del av opplysningene som ligger på nett ikke nødvendigvis er riktige. Det skjer for eksempel at noen legger ut informasjon om andre med hensikt å skade noens renommé. Man må derfor være varsom med å ukritisk legge vekt på det man finner på nett. Ofte kan det være rom for flere oppfatninger og uenighet om informasjon som ligger på nett. Der det er aktuelt å legge vekt på opplysninger om søker som kommer fra slike kilder, bør søker gis en reell mulighet til å uttale seg om disse før en avgjørelse tas.

Et viktig skille er mellom innhold på sosiale medier som man kan gå ut i fra er lagt ut i en yrkesmessig kontekst (f.eks. LinkedIn) og mer «private» tjenester som Facebook. Dette kan forholde seg annerledes for enkelte ledende stillinger o.l. hvor egenfremstilling på sosiale medier også kan påvirke selskapets omdømme. Skal man for eksempel ansette en kommunikasjonsrådgiver som skal være virksomhetens ansikt utad, kan det være relevant hvordan vedkommende har uttalt seg på sosiale medier også i mer «private» poster.

Bruk av rekrutteringsbyråer, headhuntere og jobbsøkeportaler

Et sentralt spørsmål når man bruker rekrutteringsbyråer og headhuntere er hvem som er ansvarlig for behandlingen av personopplysninger. Dette må avklares med byrået på forhånd. Det er en viss fleksibilitet i hvordan man kan fordele rollene, mye avhengig av hvem som har ansvar og kontroll på hvilke deler av prosessen. Fordelen med å selv være ansvarlig er at man har større grad av kontroll, men arbeidsgiver har da også større grad av ansvar for det som skjer hos rekrutteringsbyrået. Dersom arbeidsgiver overhodet ikke har kontroll over f eks hvordan rekrutteringsselskapet foretar sine tester og referanseinnhentinger, er det ikke sikkert at arbeidsgiver skal være behandlingsansvarlig for prosessen. Da kan det være mer hensiktsmessig at rekrutteringsbyrået selv er behandlingsansvarlig.

Hvis arbeidsgiver selv skal være behandlingsansvarlig, må det inngås en databehandleravtale med byrået. Dersom byrået er behandlingsansvarlig holder det med en leveranseavtale som forteller hva byrået skal hjelpe til med og hva de skal levere.
Det er også vanlig å bruke søkerportaler på internett, som webcruiter, jobbnorge og Finn.no sin søknadsløsning. Også her bør ansvarsforholdet avklares, og databehandleravtale må inngås hvor arbeidsgiver selv er behandlingsansvarlig.  Det er naturlig at ansvarsforholdet avklares i avtaleverket med leverandøren av søkeportalen, og om dette ikke er omtalt bør arbeidsgiver ta kontakt med leverandøren og sørge for at dette blir gjort.

Screening / bakgrunnsjekker

Det er flere leverandører som tilbyr ulike former for screening eller bakgrunnssjekker av søkere. Arbeidsgiver bør for det første ha vurdert behovet for slik screening, og om det strengt tatt er nødvendig for tjenesten. Årsaken til dette er at screening ofte kan innebære relativt personverninngripende undersøkelser. Videre må arbeidsgiver vurdere hvilke kilder leverandøren benytter seg av, og om disse lar seg forene med personvernforordningens regler. Profesjonelle leverandører av denne type tjenester bør kunne informere godt og utfyllende om forholdet til personvernregelverket.

Noen slike screeningtjenester omfatter også bakgrunnssjekk av søkers ektefelle eller samboer. Dette krever et behandlingsgrunnlag, mest praktisk vil det antakelig være å be om ektefellens eller samboerens samtykke. Det er grunn til å være tilbakeholden med screening av familiemedlemmer fordi det er en inngripende behandling som man skal ha et tydelig behandlingsgrunnlag for å gjennomføre. Man må kunne dokumentere at slik screening er nødvendig for bedriften.  I noen tilfeller er slik screening eksplisitt tillatt i lov (sikkerhetsklarering etter sikkerhetsloven). 

Hvilke personopplysninger kan arbeidsgiver lagre fra søknads- og ansettelsesprosessen?

Frem til stillingen er besatt eller utlysningen trekkes, kan arbeidsgiver fritt lagre opplysningene om søker. Når stillingen er besatt, bør arbeidsgiver kritisk gå igjennom opplysningene og vurdere hva som er nødvendig å beholde om den som blir ansatt. I de tilfeller opplysninger er innhentet etter samtykke fra søker, må arbeidsgiver vurdere om samtykket også omfatter oppbevaring etter ansettelse.

Hvis rekrutteringsprosessen ikke fører frem til ansettelse, må arbeidsgiver som utgangspunkt slette alle personopplysningene som er innkommet i prosessen. Et unntak fra dette er hvor søker har samtykket til at opplysningene oppbevares med henblikk på senere ledige stillinger i virksomheten. Samtykket må da også omfatte hvor lenge opplysningene lagres før de slettes.

Opprett en gratis brukerkonto på Leder.no

Opprett bruker