GDPR vid rekrytering definieras som det regelverk som styr hur arbetsgivare får samla in, behandla och lagra personuppgifter om kandidater under hela rekryteringsprocessen. Förordningen, General Data Protection Regulation, gäller fullt ut från det att en kandidat skickar in sin ansökan till dess att uppgifterna gallras. För rekryteringsansvariga och HR-specialister innebär det konkreta krav på rättslig grund, transparens och dokumentation vid varje steg. Att förstå dessa krav är inte bara en juridisk skyldighet. Det är också en förutsättning för att bygga förtroende med kandidater och undvika sanktioner från Integritetsskyddsmyndigheten, IMY.
Vad gäller för personuppgifter vid rekrytering?
GDPR vid rekrytering reglerar vilka uppgifter som får behandlas och på vilken rättslig grund. De vanligaste kategorierna av personuppgifter i en rekryteringsprocess är:
- Kontaktuppgifter som namn, e-postadress och telefonnummer
- CV-data inklusive arbetslivserfarenhet, utbildning och kompetenser
- Personliga brev och motivationstexter
- Testresultat från personlighets- eller kompetenstester
- Känsliga uppgifter som hälsoinformation, facklig tillhörighet eller uppgifter om etniskt ursprung
Känsliga uppgifter kräver en separat rättslig grund och får som regel inte behandlas i en standardrekrytering utan att det finns ett tydligt och dokumenterat skäl.
Den rättsliga grunden vid rekrytering är sällan samtycke. Samtycke i arbetslivet anses ofta inte vara frivilligt och är därmed ogiltigt enligt GDPR, eftersom kandidaten befinner sig i en beroendeställning gentemot arbetsgivaren. Det innebär att berättigat intresse eller fullgörande av ett avtal i praktiken är de relevanta grunderna för de flesta privata arbetsgivare. Offentliga myndigheter, som Polismyndigheten, behandlar personuppgifter med stöd av allmänt intresse och myndighetsutövning.
Proffstips: Dokumentera alltid vilken rättslig grund som tillämpas för varje kategori av personuppgifter i din rekryteringsprocess. En registerförteckning med tydliga ändamålsbeskrivningar är inte bara god praxis. Det är ett krav enligt GDPR:s ansvarsskyldighet.
Hur hanteras CV:n, referenser och bakgrundskontroller?
Hanteringen av de vanligaste datatyperna i rekrytering kräver noggrannhet och struktur. Nedan följer en steg-för-steg-genomgång av de viktigaste momenten.
-
Insamling av CV och personliga brev. Samla bara in uppgifter som är nödvändiga för att bedöma kandidatens lämplighet för den aktuella rollen. Begär inte uppgifter om civilstånd, ålder eller hälsa om de inte är direkt relevanta.
-
Lagring och åtkomstkontroll. Begränsa åtkomsten till ansökningshandlingar till de personer som aktivt deltar i rekryteringen. Sprid inte CV:n via e-post i onödan. Använd rekryteringsplattformar med inbyggd behörighetsstyrning.
-
Referenstagning. Vid referenstagning behandlas personuppgifter om en tredje part, referenten. Informera kandidaten om att referenser kommer att kontaktas och dokumentera vilka uppgifter som inhämtas. Dela aldrig referensuppgifter vidare utan att det finns ett tydligt ändamål.
-
Bakgrundskontroller. IMY har kritiserat behandling av bakgrundsuppgifter som inte är nödvändiga eller proportionerliga, bland annat fall där företag behandlat uppgifter om äldre gallrade domar utan reell relevans för tjänsten. Det innebär att varje uppgift som samlas in vid en bakgrundskontroll måste motiveras utifrån rollens specifika krav.
-
Belastningsregister. Belastningsregisterdata är särskilt skyddade uppgifter och får bara begäras in när det finns ett lagstöd, exempelvis för arbete med barn. Almega påpekar att manuell läsning av utdrag utan att uppgifterna registreras i ett system kan falla utanför GDPR:s räckvidd, men rekommenderar ändå tydliga rutiner och minimalt antal kopior.
Nedan visas en jämförelse av de vanligaste datatyperna och vad som gäller för respektive kategori.
| Datatyp | Rättslig grund | Krav på dokumentation |
|---|---|---|
| CV och personligt brev | Berättigat intresse eller avtal | Ändamål och lagringstid |
| Testresultat | Berättigat intresse | Relevans för rollen |
| Referensuppgifter | Berättigat intresse | Informerat kandidaten |
| Belastningsregisterutdrag | Lagstöd krävs | Dokumenterad nödvändighet |
| Sociala medier | Berättigat intresse, begränsat | Relevans och proportionalitet |
Insamling från sociala medier kräver särskild försiktighet. Ostrukturerad social medieundersökning kan innebära GDPR-risk om privata uppgifter som inte är relevanta för rollen behandlas. Dokumentera alltid vad som granskats och varför det var nödvändigt.
Proffstips: Använd en GDPR-kontrollista som stöd vid varje rekrytering. Den hjälper dig att systematiskt bedöma nödvändighet och proportionalitet innan du påbörjar bakgrundskontroller.
Hur länge får rekryteringsuppgifter sparas?
Lagringstider är ett av de mest konkreta och ofta förbisedda kraven i rekryteringsprocessen och dataskydd. Arbetsgivare får inte spara personuppgifter längre än vad som är nödvändigt för ändamålet. I praktiken innebär det att uppgifter om kandidater som inte anställs ska gallras inom en rimlig tid efter att rekryteringen avslutats.
| Organisation | Lagringstid | Anmärkning |
|---|---|---|
| Stockholms stad | Max 30 månader | Namn arkiveras, kandidaten styr radering |
| Polismyndigheten | Max 2 år | Offentlighetsprincipen gäller |
| Riksrevisionen | 24 månader, e-post 1 månad | ReachMee som rekryteringssystem |
| Jönköpings kommun | 24 månader | Berättigat intresse, biträdesavtal |
Mönstret är tydligt: 24 till 30 månader är den norm som offentliga arbetsgivare i Sverige tillämpar. Det ger tillräcklig tid för att hantera eventuella diskrimineringsärenden enligt diskrimineringslagen, som kräver att underlag finns tillgängligt om en kandidat anmäler arbetsgivaren. För privata arbetsgivare gäller samma logik, även om det inte finns ett lagstadgat krav på exakt lagringstid.
Skillnaden mellan offentlig och privat sektor är viktig att förstå. Offentliga arbetsgivare omfattas av arkivlagen och offentlighetsprincipen, vilket innebär att ansökningshandlingar kan bli allmänna handlingar och inte alltid kan raderas på kandidatens begäran. Privata arbetsgivare har större flexibilitet men måste ändå kunna motivera varför uppgifter sparas och hur länge.
Kandidaters rättigheter vid rekrytering inkluderar rätten att:
- Få information om vilka uppgifter som behandlas och varför
- Begära rättelse av felaktiga uppgifter
- Begära radering, om det inte finns ett lagstöd för fortsatt lagring
- Invända mot behandling som grundas på berättigat intresse
Att hantera lagringstider inom HR på ett strukturerat sätt kräver tydliga gallringsrutiner och ett system som påminner om när uppgifter ska raderas.
Hur påverkar AI och digitala verktyg GDPR i rekrytering?
Användningen av AI i rekrytering ökar snabbt och skapar nya utmaningar för rekryteringsprocess och dataskydd. AI-verktyg kan analysera CV:n, ranka kandidater och genomföra automatiserade urval. Varje sådan behandling av personuppgifter kräver en rättslig grund och måste dokumenteras.
En central fråga är ansvarsfördelningen. Vid externa rekryteringsplattformar måste HR tydligt definiera vem som är personuppgiftsansvarig och biträde, eftersom detta påverkar informationsskyldigheter och ansvar vid en eventuell incident. Stockholms stad använder Varbi AB som personuppgiftsansvarig för sitt rekryteringsverktyg, vilket är ett exempel på hur ansvaret kan fördelas i praktiken.
Automatiserat beslutsfattande är ett särskilt känsligt område. Artikel 22 i GDPR ger kandidater rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling och som har rättslig eller liknande verkan. Det innebär att ett AI-system som automatiskt sorterar bort kandidater utan mänsklig granskning kan strida mot GDPR. IMY:s tillsynsprioriteringar för 2026 inkluderar just AI-behandling, vilket gör detta till ett högriskområde för arbetsgivare som inte har dokumenterade processer.
Viktiga krav vid AI-användning i rekrytering:
- Genomför en konsekvensbedömning (DPIA) om AI-verktyget behandlar känsliga uppgifter eller fattar automatiserade beslut
- Informera kandidater om att AI används och vad det innebär för deras ansökan
- Säkerställ att det finns ett personuppgiftsbiträdesavtal med leverantören av AI-verktyget
- Dokumentera hur AI-systemet fungerar och vilka kriterier det använder
Proffstips: Innan du inför ett nytt AI-verktyg i rekryteringen, gör en konsekvensbedömning enligt GDPR. Det identifierar risker tidigt och ger dig dokumentation som visar att du agerat ansvarsfullt.
Viktiga lärdomar
GDPR vid rekrytering kräver att arbetsgivare kombinerar rätt rättslig grund, proportionerlig datainsamling, tydliga lagringstider och dokumenterad ansvarsskyldighet för att skydda kandidaters personuppgifter.
| Punkt | Detaljer |
|---|---|
| Rättslig grund | Berättigat intresse är vanligare än samtycke vid rekrytering. Dokumentera grunden för varje uppgiftskategori. |
| Bakgrundskontroller | Varje insamlad uppgift måste vara nödvändig och proportionerlig. IMY underkänner irrelevanta uppgifter. |
| Lagringstider | 24 till 30 månader är normen. Sätt upp automatiska gallringspåminnelser i ditt rekryteringssystem. |
| AI och digitala verktyg | Automatiserat beslutsfattande kräver DPIA och transparens mot kandidater. Biträdesavtal är obligatoriskt. |
| Kandidaters rättigheter | Informera alltid om behandlingen och ha en process för att hantera begäranden om radering och rättelse. |
Rekrytering och GDPR: vad jag sett fungera i praktiken
Av Jesper
Det jag ser oftast när organisationer granskar sin rekryteringsprocess är inte att de bryter mot GDPR med avsikt. Det är att de aldrig har satt sig ner och dokumenterat vad de faktiskt gör. CV:n hamnar i e-postkorgar, testresultat sparas i kalkylblad och ingen vet riktigt hur länge uppgifterna ligger kvar.
Det som skiljer de organisationer som klarar en tillsyn från de som inte gör det är inte att de har perfekta processer. Det är att de kan visa att de har tänkt igenom dem. Ansvarsskyldighet handlar om dokumentation, inte perfektion.
En sak jag ofta rekommenderar är att börja med gallringsrutinerna. Det är det enklaste att åtgärda och det ger omedelbar effekt. Bestäm en lagringstid, kommunicera den till kandidaterna i din integritetspolicy och sätt upp en påminnelse i ditt system. Det tar en eftermiddag att implementera och eliminerar en av de vanligaste GDPR-riskerna i rekrytering.
Bakgrundskontroller är det område där jag ser flest misstag. Arbetsgivare tenderar att samla in mer information än vad som är nödvändigt, ofta av välvilja snarare än illvilja. IMY:s kritik mot behandling av äldre gallrade domar är ett tydligt tecken på att proportionalitetsprincipen tas på allvar. Fråga dig alltid: behöver vi verkligen den här uppgiften för att fatta ett välgrundat rekryteringsbeslut?
— Jesper
Trustview hjälper dig att hålla koll på GDPR i rekrytering
Att hålla rekryteringsprocessen GDPR-kompatibel kräver mer än en integritetspolicy på hemsidan. Det kräver strukturerade rutiner, dokumenterade rättsliga grunder och ett system som påminner dig om gallring, biträdesavtal och kandidaters rättigheter.
Trustview är en plattform för compliance-hantering som samlar registerförteckning, riskbedömningar, åtgärdsuppföljning och biträdesavtal på ett ställe. För rekryteringsansvariga innebär det att du kan dokumentera hela rekryteringsprocessen och dataskyddet i ett och samma verktyg. Läs mer om hur du skapar en åtgärdsplan för compliance och om vad det faktiskt innebär att vara helt compliant i praktiken.
FAQ
Vad är rättslig grund för att behandla CV:n?
Berättigat intresse är den vanligaste rättsliga grunden för privata arbetsgivare vid behandling av CV:n och ansökningshandlingar. Samtycke är sällan lämpligt eftersom kandidaten befinner sig i en beroendeställning och samtycket därmed inte anses frivilligt.
Hur länge får arbetsgivare spara rekryteringsuppgifter?
Normen i Sverige är 24 till 30 månader, vilket tillämpas av bland annat Stockholms stad, Polismyndigheten och Riksrevisionen. Lagringstiden motiveras delvis av diskrimineringslagens krav på att underlag ska finnas tillgängligt vid en eventuell anmälan.
Får arbetsgivare göra bakgrundskontroller på kandidater?
Ja, men varje uppgift som samlas in måste vara nödvändig och proportionerlig i förhållande till rollen. IMY har underkänt behandling av äldre gallrade domar som saknade reell relevans, vilket visar att arbetsgivare måste kunna motivera varje enskild uppgift.
Vad gäller för AI-verktyg i rekrytering och GDPR?
AI-verktyg som behandlar personuppgifter kräver ett personuppgiftsbiträdesavtal med leverantören och transparens mot kandidaterna. Automatiserat beslutsfattande utan mänsklig granskning kan strida mot artikel 22 i GDPR och kräver i många fall en konsekvensbedömning.
Vilka rättigheter har kandidater enligt GDPR?
Kandidater har rätt att få information om vilka uppgifter som behandlas, begära rättelse av felaktiga uppgifter och i vissa fall begära radering. Offentliga arbetsgivare kan ha begränsningar i sin raderingsmöjlighet på grund av arkivlagen och offentlighetsprincipen.
