Storebror Rekruttering I Stock 621461160 900X578

Dato: 19. februar 2018

Skrevet av: advokat Ine Hagen, Advokatfirmaet Storeng, Beck & Due Lund DA

Personvern og rekruttering

Om få måneder innføres nye internasjonale regler om personvern – GDPR. På samme måte som for EU-landene, vil reglene gjelde for norske virksomheter fra og med 25. mai 2018. Samtidig som de viktigste prinsippene fra dagens regelverk i stor grad vil videreføres, er det nye regelverket langt mer detaljert enn det vi har i Norge i dag. Enkelte endringer i det nye regelverket vil også få direkte betydning i rekrutteringsprosesser.

I en rekrutteringsprosess regnes den virksomheten som skal ansette som behandlingsansvarlig i personvernsrettslig sammenheng. Den behandlings-ansvarlige er det primære pliktsubjektet etter GDPR og slik ansvarlig for ikke bare å følge reglene, men også å dokumentere at reglene etterleves. Dette gjelder også der virksomheten bruker eksterne rekrutterere. Et eksternt rekrutteringsselskap vil som regel måtte anses som databehandler, med egne selvstendige plikter etter regelverket. Den enkelte jobbsøker vil fort anses som registrert, med omfattende personvernrettigheter.   

Ved rekruttering oppstiller arbeidsmiljøloven forbud mot for eksempel innhenting av søkeres helseopplysninger, mens likestillings- og diskrimineringsloven forbyr arbeidsgiver å innhente opplysninger om blant annet graviditet og familieplanlegging. Personvernreglene oppstiller ikke tilsvarende direkte forbud, men det følger av disse at personopplysninger som innhentes skal være adekvate, relevante og begrenset til det som er nødvendig for formålet. Formålet vil her være å finne og ansette den person som best passer til stillingen. Indirekte vil derfor også denne formålsbegrensningen sette grenser for hvilke opplysninger av jobbsøkere som kan innhentes.

I tillegg oppstiller de nye personvernreglene krav til hvilken informasjon som skal gis jobbsøkere i forbindelse med innhenting av personopplysninger og videre krav til virksomhetens behandling av opplysningene. Kan for eksempel arbeidsgiver bruke de samme opplysningene til andre formål underveis i ansettelsesforholdet? Og hva med søkere som ikke blir ansatt, men som vil være relevante å vurdere ved neste rekruttering?

Herunder er det særlig viktig å ha klart for seg hvordan opplysningene bør lagres, hvor lenge de kan lagres før de skal slettes og hvem i virksomheten som skal ha tilgang til opplysningene.

Underveis i rekrutteringsprosessen kan jobbsøkerne videre be om innsyn i de opplysninger arbeidsgiver har lagret om vedkommende. Selv om hovedregelen er at de registrerte har innsynsrett, er det flere unntak fra dette. Ved GDPR videreføres likevel ikke dagens unntak om at virksomheten kan holde tilbake opplysninger i tekst som er utarbeidet for den interne saksforberedelse. Det vil si at innsynsretten utvides ved GDPR, noe det er viktig å være klar over i rekrutteringsprosesser. 

Rekruttering og GDPR var tema på Rekrutteringsdagene 2018.


Hold deg oppdatert på det siste innen HR. 
Meld deg på nyhetsbrevet vårt i dag!