GDPR og rekruttering: Guide for norske bedrifter (2026)

GDPR (General Data Protection Regulation) påvirker hvordan norske bedrifter håndterer personopplysninger i rekrutteringsprosessen. Denne guiden forklarer hvilke regler som gjelder, hvilke feil som er vanligst, og hvordan du sikrer at bedriften din er GDPR-kompatibel gjennom hele ansettelsesprosessen.

I Norge reguleres personvern av Personopplysningsloven, som gjennomfører EUs personvernforordning (GDPR) i norsk rett. Datatilsynet er tilsynsmyndigheten som håndhever regelverket — og de har de siste årene trappet opp håndhevingen, senest med et overtredelsesgebyr på 250 000 kroner til Timegrip AS i januar 2026 for manglende innsyn i personopplysninger.

Rekruttering innebærer behandling av store mengder personopplysninger: navn, adresser, CVer, attester, referanser og ofte også sensitive opplysninger som helseinformasjon eller fagforeningstilhørighet. Med nærmere 2,9 millioner sysselsatte i Norge og hundretusenvis av rekrutteringsprosesser hvert år, genereres det enorme mengder persondata som må behandles korrekt.

For bedrifter som håndterer søknader via e-post og regneark er risikoen spesielt høy. E-postinnbokser har ingen automatisk sletting, ingen tilgangskontroll per stilling, og ingen sporbarhet — noe som gjør det svært vanskelig å oppfylle GDPR-kravene.

Rettslig grunnlag: Personopplysningsloven (lov om behandling av personopplysninger) gjennomfører EUs personvernforordning (GDPR) i norsk rett. Loven gjelder for all behandling av personopplysninger, inkludert i rekrutteringsprosesser. Datatilsynet har publisert egen veiledning om personvern på arbeidsplassen som dekker temaer fra bakgrunnssjekker til kameraovervåking.

Hvilke personopplysninger samles inn i en rekrutteringsprosess?

En typisk norsk jobbsøknad inneholder flere kategorier persondata:

Kategori	Eksempler	Sensitivitetsnivå
Kontaktinformasjon	Navn, e-post, telefon, adresse	Ordinært
Yrkeserfaring	Tidligere stillinger, arbeidsgivere, datoer	Ordinært
Utdanning	Grad, institusjon, karakterer	Ordinært
Kompetanse	Sertifiseringer, språk, fagkunnskap	Ordinært
Dokumenter	CV, søknadsbrev, attester, vitnemål	Ordinært
Referanser	Navn og kontaktinfo til tredjeparter	Ordinært (krever eget samtykke)
Sensitive opplysninger	Helse, etnisitet, fagforeningsmedlemskap	Særlig kategori — strengere regler

Mange arbeidsgivere er ikke bevisste på at referansepersoners kontaktinformasjon også er personopplysninger som krever eget behandlingsgrunnlag.

Hvilket behandlingsgrunnlag gjelder for rekruttering?

GDPR krever at all behandling av personopplysninger har et lovlig behandlingsgrunnlag. I rekrutteringssammenheng er de tre mest relevante:

1. Berettiget interesse (artikkel 6(1)(f))

Det vanligste grunnlaget for rekruttering i privat sektor. Arbeidsgiver har en berettiget interesse i å vurdere kandidater for en utlyst stilling, og dette er normalt tilstrekkelig for å behandle søknader knyttet til en konkret stilling.

Merk: Ifølge personvernforordningen artikkel 6 nr. 1 kan ikke offentlige myndigheter benytte berettiget interesse som behandlingsgrunnlag — de må i stedet bruke rettslig forpliktelse (bokstav c) eller allmennhetens interesse (bokstav e).

2. Samtykke (artikkel 6(1)(a))

Nødvendig i spesifikke situasjoner:

Lagring av søkerdata etter at stillingen er besatt
Deling av søkerinfo med andre avdelinger eller konsernselskaper
Bruk av data til andre formål enn den opprinnelige søknaden

3. Rettslig forpliktelse (artikkel 6(1)(c))

Relevant når arbeidsgiver er lovpålagt å dokumentere rekrutteringsprosessen. I offentlig sektor følger dette blant annet av kvalifikasjonsprinsippet i statsansatteloven, mens likestillings- og diskrimineringsloven § 31 gir søkere som mener seg forbigått rett til innsyn i kvalifikasjonene til den som ble ansatt — noe som forutsetter at vurderingsdataene bevares.

Et ATS-system forenkler dette ved å la deg konfigurere behandlingsgrunnlag per stilling og dokumentere samtykke automatisk.

Basert på Datatilsynets veiledning og tilsynsrapporter ser vi at norske bedrifter gjør gjentakende feil:

Feil 1: Søknader som lever evig i e-postboksen

E-post har ingen innebygd mekanisme for automatisk sletting. CVer og søknadsbrev som mottas via e-post blir liggende i innboksen — ofte i årevis — uten at noen tenker over at dette utgjør ulovlig langtidslagring av persondata.

Vanlig anbefaling: Søkerdata bør slettes senest tre måneder etter at stillingen er besatt, med mindre du har fått eksplisitt samtykke til å beholde dem lenger. Denne tremånedersfristen er en utbredt norsk bransjestandard som gir rom for eventuelle klager på ansettelsesprosessen, men som ikke krever eget samtykke. Les vår detaljerte guide om slettefrister for jobbsøknader for en komplett gjennomgang av oppbevaringsfrister, samtykke til lengre lagring og automatiske sletterutiner.

Feil 2: Ingen oversikt over hvem som har tilgang

Når søknader mottas på en felles e-postadresse som jobb@bedrift.no, har potensielt alle med tilgang til den innboksen også tilgang til sensitive personopplysninger. GDPR krever at tilgang begrenses til dem som har et saklig behov (prinsippet om dataminimering).

Feil 3: Manglende personvernerklæring for søkere

Ifølge GDPR artikkel 13 plikter du å informere søkere om:

Hvem som er behandlingsansvarlig
Formålet med databehandlingen
Behandlingsgrunnlaget
Hvor lenge dataene lagres
Søkerens rettigheter (innsyn, retting, sletting)

En enkel tekstblokk i stillingsannonsen er sjelden nok. Søkere skal ha tilgang til en fullstendig personvernerklæring ved innsending av søknaden.

Feil 4: Ustrukturert lagring av CVer

CVer som lagres i mapper på fellesområder, i Dropbox, eller som e-postvedlegg har ingen tilgangskontroll, ingen versjonskontroll, og ingen slettingsautomatikk. Dette bryter med GDPRs krav til integritet og konfidensialitet (artikkel 5(1)(f)). Les vår guide om datasikkerhet i rekruttering for en detaljert gjennomgang av kryptering, tilgangskontroll og leverandørkrav.

Feil 5: Referansesjekker uten behandlingsgrunnlag

Å kontakte en referanseperson og dele at kandidaten har søkt jobb hos deg er i seg selv behandling av personopplysninger — for både kandidaten og referansepersonen. Mange bedrifter gjør dette uten å ha dokumentert behandlingsgrunnlag. Referansesjekk er bare én av mange former for bakgrunnsundersøkelser — les vår komplette guide om bakgrunnssjekk ved ansettelse for reglene om kredittsjekk, politiattest, SoMe-søk og mer.

💡 Visste du? Applirank lagrer alle CVer kryptert med automatiske sletterutiner og innebygd samtykkebehandling — slik at du slipper å bekymre deg for GDPR-brudd. Prøv gratis →

Her er en praktisk sjekkliste for å sikre at rekrutteringsprosessen din oppfyller personvernkravene:

Lag en personvernerklæring for rekruttering — beskriv behandlingsgrunnlag, formål, lagringstid og søkerens rettigheter. Denne skal være tilgjengelig fra stillingsannonsen og søknadsskjemaet.
Definer lagringstid — bestem hvor lenge søkerdata lagres etter avsluttet prosess. Den vanlige anbefalingen er maks tre måneder uten eksplisitt samtykke.
Etabler rutiner for sletting — implementer automatisk sletting når lagringsperioden utløper. Manuell sletting fungerer sjelden i praksis.
Begrens tilgangen — kun de som er direkte involvert i rekrutteringsprosessen bør ha tilgang til søkerdata. Et ATS-system med rollebasert tilgangskontroll gjør dette enkelt.
Dokumenter samtykke — Hvis du vil beholde data til fremtidige stillinger, må du innhente aktivt, informert samtykke. Dette kan ikke være en forhåndsavkrysset boks.
Etabler rutiner for innsynsbegjæringer — Søkere har rett til å be om innsyn i, retting av, eller sletting av sine data. Du skal svare innen 30 dager.
Gjennomfør en DPIA — For større rekrutteringsprosesser eller bruk av AI-verktøy bør du vurdere om det er nødvendig med en vurdering av personvernkonsekvenser (Data Protection Impact Assessment).

E-post vs. ATS-system: Personvernsammenligningen

For bedrifter som håndterer søknader via e-post er GDPR-risikoen betydelig høyere enn med et dedikert system for søknadshåndtering:

GDPR-krav	Rekruttering via e-post	Rekruttering med ATS-system
Automatisk sletting	Nei — krever manuell gjennomgang	Ja — sletterutiner kan konfigureres
Tilgangskontroll	Nei — alle med innbokstilgang ser alt	Ja — rollebasert per stilling
Samtykkelogg	Nei — vanskelig å dokumentere	Ja — registreres automatisk
Innsynsbegjæring	Tidkrevende — må søke i innbokser	Enkelt — all data samlet per kandidat
Personvernerklæring	Manuell — må lenkes i hver annonse	Integrert — vises automatisk i søknadsskjema
Dataminimering	Vanskelig — e-post lagrer alt	Enklere — samler kun nødvendige felt
Sporbarhet/logg	Ingen	Full aktivitetslogg

Forskjellen er tydelig: et ATS-system med innebygd personvernstøtte reduserer den operative risikoen drastisk sammenlignet med e-postbasert rekruttering.

Hva risikerer norske bedrifter ved brudd?

GDPR-bøter kan bli betydelige. Maksimalstraffen er opptil 20 millioner euro eller 4 % av global omsetning, avhengig av hva som er høyest. I praksis ser vi ofte lavere beløp i Norge, men Datatilsynet har trappet opp håndhevingen de siste årene.

Eksempler på sanksjoner i Norden:

I januar 2026 ga Datatilsynet et overtredelsesgebyr på 250 000 kroner til Timegrip AS for å ha nektet 80 tidligere ansatte innsyn i sine egne personopplysninger etter at arbeidsgiveren gikk konkurs
Datatilsynet har gitt flere pålegg om endrede rutiner for lagring og tilgangskontroll knyttet til jobbsøkerdata
Det svenske datatilsynet IMY har ilagt bøter til offentlige virksomheter for mangelfull håndtering av persondata i rekrutteringssystemer
I Danmark har tilsynsmyndigheten kritisert virksomheter for manglende sletting av søkerdata etter at formålet var oppfylt

Utover bøtene risikerer bedrifter:

Omdømmeskade — nyheter om personvernbrudd sprer seg raskt
Tap av tillit blant søkere og ansatte
Pålegg om endrede prosesser med korte frister

Bruken av AI i rekruttering reiser egne personvernspørsmål. Automatisert behandling av søknader — som AI-basert CV-rangering — reguleres strengt av GDPR artikkel 22, som gir den registrerte rett til ikke å være gjenstand for avgjørelser som utelukkende er basert på automatisert behandling.

Nøkkelprinsipper for AI-drevet rekruttering:

Transparens — søkere skal informeres om at AI brukes i vurderingen
Rett til menneskelig overprøving — kandidater kan kreve at et menneske vurderer søknaden hvis en automatisert beslutning har rettsvirkning
Ikke-diskriminering — AI-modeller må testes for skjevhet knyttet til kjønn, alder, etnisitet og andre beskyttede grunnlag
Dataminimering — AI-systemet skal kun behandle data som er relevant for stillingsvurderingen

Applirank bruker AI til å analysere og rangere CVer, men den endelige beslutningen tas alltid av et menneske. AI-analysen er et beslutningsstøtteverktøy — ikke en autonom beslutningstaker.

Søkeres rettigheter i rekrutteringsprosessen

Kandidater har følgende rettigheter under GDPR som du må kunne ivareta:

Rett til informasjon

Søkere skal vite nøyaktig hva som skjer med dataene deres. Dette dekkes av personvernerklæringen som skal være tilgjengelig ved søknadsinnsending.

Rett til innsyn

En søker kan be om å få se alle personopplysninger du har lagret om dem. Du har 30 dager på deg til å svare. Med et ATS-system kan du hente ut all data om en kandidat med noen få klikk — med e-post må du lete gjennom innbokser, mapper og eventuelt delte dokumenter.

Rett til retting

Søkere kan kreve at feilaktige opplysninger rettes. Dette gjelder også notater og vurderinger du har gjort underveis i prosessen.

Rett til sletting («retten til å bli glemt»)

Etter at rekrutteringsprosessen er avsluttet kan søkere be om at alle deres data slettes. Med et godt kandidathåndteringssystem kan dette gjøres sentralt — uten risiko for at kopier ligger igjen i e-postmapper.

Rett til å trekke samtykke

Har en søker samtykket til at du lagrer dataene til fremtidige stillinger, kan de når som helst trekke dette samtykket tilbake. Du må da slette dataene uten ugrunnet opphold.

Offentlig sektor: Ekstra krav ved rekruttering

Offentlige virksomheter i Norge har tilleggskrav utover GDPR. I tillegg kan de ikke bruke berettiget interesse (artikkel 6(1)(f)) som behandlingsgrunnlag — de må basere seg på rettslig forpliktelse (artikkel 6(1)(c)) eller allmennhetens interesse (artikkel 6(1)(e)).

Arkivloven krever at deler av rekrutteringsdokumentasjonen arkiveres, selv om GDPR normalt krever sletting. Her oppstår en spenning som krever juridisk vurdering.
Offentlighetsloven gir innsyn i offentlige ansettelsesprosesser, noe som kan påvirke hvordan søkerdata håndteres.
Kvalifikasjonsprinsippet (nedfelt i statsansatteloven) krever dokumentasjon av at den best kvalifiserte kandidaten ble valgt — noe som forutsetter at vurderingsdata bevares i en periode.
Likestillings- og diskrimineringsloven § 31 gir søkere som mener seg forbigått rett til innsyn i kvalifikasjonene til den som ble ansatt.

For offentlige virksomheter er et strukturert rekrutteringssystem nesten en forutsetning for å balansere disse motstridende kravene.

GDPR-kompatibel rekruttering trenger ikke være komplisert. De viktigste tiltakene er:

Flytt søknadshåndteringen ut av e-postinnboksen
Bruk et system med innebygd samtykkebehandling og automatisk sletting
Lag en tydelig personvernerklæring for rekrutteringsprosessen
Begrens tilgangen til søkerdata til de som trenger den

Applirank er et norskutviklet ATS-system med innebygd GDPR-støtte, AI-drevet CV-analyse og automatiske sletterutiner. Systemet er bygget fra grunnen av for å gjøre personvern i rekruttering enkelt og trygt.

Prøv Applirank gratis →

Ofte stilte spørsmål

Hvor lenge kan jeg lagre jobbsøknader?

Den vanlige anbefalingen i norsk HR-praksis er at søkerdata slettes senest tre måneder etter at stillingen er besatt. Denne fristen gir rom for eventuelle klager, men krever ikke eget samtykke. Ønsker du å beholde data lenger — for eksempel til fremtidige stillinger — må du innhente eksplisitt samtykke fra søkeren. Samtykket må være frivillig, spesifikt og informert, i tråd med GDPR artikkel 7. Se vår komplette guide om slettefrister for jobbsøknader for detaljerte regler om oppbevaringsfrister, spontansøknader og talentpooler.

Ja, men du må oppfylle flere krav: informere søkere om at AI benyttes, sikre at den endelige beslutningen kan overprøves av et menneske (GDPR artikkel 22), og dokumentere at AI-modellen ikke diskriminerer. Datatilsynet har publisert veiledning om KI og personvern på arbeidsplassen som er nyttig bakgrunn. Les mer om AI-drevet rekruttering.

Trenger jeg en databehandleravtale med ATS-leverandøren?

Ja. Når du bruker et eksternt ATS-system behandler leverandøren personopplysninger på dine vegne. GDPR artikkel 28 krever en skriftlig databehandleravtale som regulerer formål, sikkerhet, underbehandlere og varighet.

Hva gjør jeg hvis en søker ber om å bli slettet?

Du skal slette alle personopplysninger om søkeren uten ugrunnet opphold. Med et ATS-system kan dette gjøres med noen få klikk. Uten et slikt system må du søke gjennom e-poster, mapper og eventuelle regneark — og risikerer å overse kopier.

Ja. Spontansøknader inneholder personopplysninger og skal behandles etter de samme reglene. Du trenger et behandlingsgrunnlag (typisk samtykke), må informere om lagringstid, og plikter å slette når formålet er oppfylt eller samtykket trekkes tilbake.

Er det lov å ta referansesjekker uten samtykke fra kandidaten?

Det er anbefalt å innhente kandidatens samtykke før du kontakter referanser. Referansesjekker innebærer behandling av personopplysninger for både kandidaten og referansepersonen, og krever derfor et gyldig behandlingsgrunnlag. Les vår detaljerte guide om bakgrunnssjekk ved ansettelse som dekker referansesjekk, kredittsjekk, politiattest og SoMe-søk. Datatilsynet har også publisert veiledning om bakgrunnsundersøkelser før ansettelse som dekker relaterte temaer.

Kilder og videre lesning

Denne guiden er basert på gjeldende norsk og europeisk personvernlovgivning: