Slettefrister for jobbsøknader: Hvor lenge kan du lagre søkerdata?
Slettefrister for jobbsøknader er et av de mest misforståtte temaene i norsk rekruttering. De fleste HR-avdelinger har hørt om «tremånedersregelen» — men få vet at den ikke er lovfestet. Resultatet er at norske bedrifter enten sletter for tidlig, for sent, eller aldri.
- Det finnes ingen lovfestet frist, men 3 måneder er bransjenormen basert på diskrimineringsloven.
- Slettefristen løper fra det tidspunktet stillingen er besatt og kandidatene er varslet.
- Du må ha eksplisitt samtykke for å lagre CV-er i talentpooler/emnebanker.
- E-poster, chatlogger og nedlastede filer må også slettes – ikke bare data i rekrutteringssystemet.
Ifølge Datatilsynets veiledning om arbeidslivet skal personopplysninger ikke lagres lenger enn det som er nødvendig for formålet. Men hva betyr «nødvendig» i praksis — og når begynner klokken å tikke? Denne guiden gir deg svarene, med konkrete frister, eksempler og en ferdig sletterutine du kan ta i bruk i dag.
For en bredere innføring i personvernreglene som gjelder rekruttering, se vår komplette GDPR-guide for rekruttering.
Finnes det en lovfestet slettefrist for jobbsøknader?
Nei. Verken GDPR eller personopplysningsloven fastsetter en konkret slettefrist for søkerdata i privat sektor. Det som finnes er et prinsipp: GDPR artikkel 5(1)(e) slår fast at personopplysninger ikke skal lagres lenger enn det som er nødvendig for formålet de ble samlet inn for — det såkalte lagringsminimeringsprinsippet.
I praksis betyr dette at du som arbeidsgiver selv må definere og begrunne en oppbevaringsfrist. GDPR gir deg altså ikke et fast tall, men krever at du kan svare på spørsmålet: Hvorfor trenger vi fortsatt disse dataene?
Tre sentrale vilkår følger av prinsippet:
- Formålsbegrensning — søkerdata er samlet inn for å vurdere kandidater til en konkret stilling, og skal ikke brukes til andre formål uten nytt behandlingsgrunnlag.
- Tidsbegrensning — når formålet er oppfylt (stillingen er besatt), må du ha en spesifikk grunn til å beholde dataene videre.
- Dokumentasjonsplikt — du skal kunne dokumentere hvilken oppbevaringsfrist du har satt, og hvorfor den er rimelig.
Et ATS-system løser dette ved å la deg konfigurere slettefrister per stilling — slik at sletting skjer automatisk når fristen utløper.
Tremånedersfristen: Hvor kommer den egentlig fra?
«Tre måneder» er den mest siterte tommelfingerregelen i norsk HR — men den stammer ikke fra GDPR. Fristen har sitt opphav i en kombinasjon av praksis og lovtolkning knyttet til norsk diskrimineringsvern.
Diskrimineringsvernet som bakgrunn
Likestillings- og diskrimineringsloven forbyr diskriminering ved ansettelse. Kandidater som mener seg forbigått kan klage til Diskrimineringsnemnda. Etter § 31 har en forbigått søker rett til innsyn i kvalifikasjonene til den som ble ansatt.
Hvorfor akkurat tre måneder?
Tremånedersfristen har etablert seg som bransjenorm fordi den gir tilstrekkelig tid til at:
- Kandidater kan vurdere om de ønsker å klage på ansettelsesprosessen.
- Diskrimineringsnemnda kan motta og registrere en eventuell klage.
- Arbeidsgiver kan dokumentere vurderingene som ble gjort dersom en klage kommer.
Hovedpoenget er at bedriften trenger dataene for å kunne forsvare seg mot eventuelle diskrimineringskrav. GDPR artikkel 17(3)(e) åpner nettopp for at data kan beholdes for å «fastsette, gjøre gjeldende eller forsvare rettskrav» — og det er her tremånedersfristen finner sin rettslige forankring.
Når tre måneder ikke er nok
I noen tilfeller kan det være saklig grunn til lengre oppbevaring:
- Komplekse rekrutteringsprosesser med mange kandidater og flere intervjurunder kan ha lengre klagefrist i praksis.
- Offentlige stillinger der kvalifikasjonsprinsippet krever grundigere dokumentasjon.
- Arbeidsrettslige tvister som allerede er varslet, men ikke avgjort.
Det avgjørende er alltid at du kan begrunne hvorfor dataene fortsatt er nødvendige.
Når begynner slettefristen å løpe?
Et av de mest praktiske spørsmålene — og et som sjelden besvares tydelig. Hovedregelen er at slettefristen begynner å løpe når formålet med behandlingen er oppfylt. For rekruttering betyr det normalt når stillingen er besatt og kandidatene er informert.
| Scenario | Fristen begynner | Anbefalt slettefrist |
|---|---|---|
| Stilling besatt, kandidater varslet | Dato for avslagsbrev/e-post | 3 måneder |
| Stilling trukket tilbake (ikke besatt) | Dato for beslutning om tilbaketrekking | 3 måneder |
| Løpende/kontinuerlig rekruttering | Dato for siste vurdering av kandidaten | 3 måneder fra siste aktivitet |
| Stilling gjenutlyst | Ny frist fra ny prosess; gammel prosess slettes | 3 måneder per prosess |
| Kandidat trekker søknad | Dato for tilbaketrekning | Slettes umiddelbart (innen 30 dager) |
| Prøvetid bestått | Dato for bestått prøvetid (den ansatte) | Relevante data flyttes til personalmappe |
Viktig: For den kandidaten som faktisk ble ansatt, overgår dataene fra rekrutteringskontekst til arbeidsforhold. CV-en kan da lagres i personalmappen med hjemmel i arbeidsforholdet — men bare informasjon som er relevant for stillingen.
Hva skal slettes — og hva kan du beholde?
Sletteplikten gjelder alle personopplysninger som ble samlet inn i forbindelse med rekrutteringen. I praksis glemmer mange bedrifter datatyper som ligger spredt på tvers av systemer.
| Datatype | Skal slettes? | Merknad |
|---|---|---|
| CV og søknadsbrev | ✅ Ja | Hovedprioritering |
| Søknadsskjemadata | ✅ Ja | Kontaktinfo, svar på spørsmål |
| Attester og vitnemål | ✅ Ja | Kopier mottatt fra søker |
| Interne evalueringsnotater | ✅ Ja | Ofte glemt — inneholder subjektive vurderinger |
| Intervjunotater | ✅ Ja | Gjelder både strukturerte og frie notater |
| Referansenotater | ✅ Ja | Personopplysninger om både kandidat og referanseperson |
| E-postkorrespondanse | ✅ Ja | Vanligste blindsonen — e-poster må aktivt slettes |
| Chat-/meldingshistorikk | ✅ Ja | Søk etter kandidatnavn i Teams/Slack |
| AI-analyser og scoringer | ✅ Ja | AI-genererte vurderinger er personopplysninger |
| Kopier i delte mapper | ✅ Ja | Husk nedlastede vedlegg (OneDrive, Dropbox) |
| Anonymisert statistikk | ❌ Nei | «10 søkere, snitt 4.2 i score» — ingen personopplysninger |
| Metadata om stillingen | ❌ Nei | Antall søkere, tidsbruk, stillingstekst |
Husk backups og kopier
GDPR artikkel 17 krever sletting fra alle systemer der dataene finnes — inkludert backups. I praksis kan det være teknisk krevende å slette enkeltelementer fra backup-systemer umiddelbart, men du skal dokumentere at sletting vil skje ved neste rotasjon av backup. Det viktigste er at dataene ikke gjenopprettes fra backup etter at de er slettet fra produksjonssystemet.
💡 Visste du? Applirank håndterer sletting av alle søkerdata automatisk — inkludert krypterte CVer, AI-analyser og søknadsskjemadata — slik at du aldri trenger å lete gjennom e-postmapper og delte dokumenter. Prøv gratis →
Samtykke for lengre lagring: Krav og fallgruver
Ønsker du å beholde søkerdata utover tremånedersfristen — for eksempel til fremtidige stillinger eller en talentpool — krever det eksplisitt samtykke fra kandidaten. Men ikke et hvilket som helst samtykke: GDPR artikkel 7 stiller strenge krav.
Kravene til gyldig samtykke
For at samtykket skal være gyldig i GDPR-forstand, må det oppfylle alle disse kriteriene:
- Frivillig — søkeren må ikke oppleve press eller ulemper ved å si nei. Samtykket kan ikke være et vilkår for å søke på stillingen.
- Spesifikt — samtykket må presisere hva dataene skal brukes til og hvor lenge de lagres.
- Informert — søkeren må vite hvem som er behandlingsansvarlig, formålet og sine rettigheter.
- Utvetydig — krever en aktiv handling (for eksempel en avkryssingsboks). Forhåndsavkryssede bokser er ikke gyldig samtykke.
- Dokumenterbart — du må kunne bevise at samtykket ble gitt, når det ble gitt, og hva søkeren samtykket til.
Eksempel: Gyldig vs. ugyldig samtykketekst
❌ Ugyldig:«Ved å sende inn din søknad samtykker du til at vi lagrer dine opplysninger.» — Mangler formål, varighet og er koblet til selve søknaden (ikke frivillig).
✅ Gyldig:«Jeg samtykker til at Bedrift AS lagrer min CV og kontaktinformasjon i inntil 12 måneder etter avsluttet rekrutteringsprosess, med det formål å vurdere meg for fremtidige relevante stillinger. Jeg kan når som helst trekke dette samtykket tilbake ved å kontakte e-post.» — Spesifikt, tidsbegrenset, med informasjon om tilbaketrekning.
Når samtykket trekkes tilbake
Søkere kan trekke samtykket når som helst, og du skal da slette dataene deres uten ugrunnet opphold — i praksis innen 30 dager. Du plikter å gjøre det like enkelt å trekke samtykket som det var å gi det.
Spontansøknader og talentpooler: Egne oppbevaringsregler
Spontansøknader og talentpooler følger andre regler enn ordinære jobbsøknader, fordi det ikke finnes en konkret stilling å forankre behandlingsgrunnlaget i.
Spontansøknader
Når en kandidat sender en uoppfordret søknad, har du ikke berettiget interesse knyttet til en bestemt stilling. Du trenger derfor samtykke som behandlingsgrunnlag allerede fra mottak. Praktiske anbefalinger:
- Bekreft mottak og informer om behandlingsgrunnlag, formål og lagringstid.
- Sett en oppbevaringsfrist på maksimalt 6–12 måneder — lenger er vanskelig å begrunne.
- Slett automatisk når fristen utløper, med mindre søkeren har fornyet samtykket.
Talentpooler og kandidatdatabaser
Bedrifter som bygger talentpooler med «sølvmedaljister» og interessante profiler fra tidligere prosesser, må være spesielt oppmerksomme:
- Hvert individ i talentpoolen trenger et separat, dokumentert samtykke til nettopp denne bruken.
- Samtykket bør ha en definert varighet (12 måneder er vanlig praksis).
- Du bør sende årlige påminnelser der kandidaten aktivt bekrefter at de ønsker å stå i poolen.
- Manglende bekreftelse = sletting.
Uten aktiv samtykkeforvaltning risikerer talentpoolen å bli en GDPR-bombe — hundrevis av profiler som oppbevares uten gyldig grunnlag. Et system for søknadshåndtering med innebygd samtykkeadministrasjon gjør dette håndterbart.
Offentlig sektor: Når arkivloven kolliderer med sletteplikten
Offentlige virksomheter i Norge står overfor en unik utfordring: arkivloven forbyr kassasjon (sletting) av offentlige dokumenter uten hjemmel, mens GDPR krever sletting når formålet er oppfylt. Disse to lovene kan trekke i helt motsatte retninger.
Hva må arkiveres?
Arkivloven og tilhørende forskrifter krever at dokumentasjon knyttet til offentlige vedtak bevares. I en rekrutteringsprosess gjelder dette typisk:
- Utlysningsteksten og søkerlisten (offentlig journal).
- Innstillingen med vurdering av kandidater.
- Vedtaket om ansettelse.
- Søkerliste i henhold til offentlighetsloven.
Hva kan (og skal) slettes?
Selv om deler av dokumentasjonen skal arkiveres, gjelder sletteplikten fortsatt for data som ikke er arkivpliktig:
- Selve CV-ene og søknadsbrevene (med mindre de er journalført som del av saksbehandlingen).
- Referansenotater og intervjunotater utover det som er del av innstillingen.
- Personlighetstester og andre vurderingsverktøy. Se vår guide om bakgrunnssjekk ved ansettelse for reglene rundt personlighetstester, kredittsjekk og politiattester.
- E-postkorrespondanse med kandidater utover det som er journalført.
Praktisk løsning
Den anbefalte tilnærmingen er å skille arkivpliktig dokumentasjon fra søkerdata:
- Arkiver dokumentene som kreves etter arkivloven i sak-/arkivsystemet.
- Slett alle øvrige personopplysninger fra rekrutteringssystemet etter tremånedersfristen.
- Dokumenter hvilke data som er arkivert med hvilken hjemmel.
Intern sletterutine: 6 steg for norske bedrifter
Manuell sletting fungerer sjelden i praksis. Studier fra NorSIS viser at menneskelige feil er en hovedårsak til personvernbrudd i norske virksomheter. En strukturert sletterutine reduserer risikoen betydelig.
Steg 1: Kartlegg alle lagringslokasjoner
Lag en komplett oversikt over alle steder søkerdata kan finnes:
- Rekrutteringssystem / ATS
- E-postinnbokser (individuelle og delte)
- Delte mapper (OneDrive, SharePoint, Google Drive, Dropbox)
- HR-systemer (Visma, SAP, SD Worx)
- Chat-verktøy (Teams, Slack)
- Backup-systemer og fysiske utskrifter
Steg 2: Definer oppbevaringsfrister per kategori
Lag en enkel matrise med datatype, lagringssted og slettefrist. Eksempel:
| Datatype | Lagringssted | Slettefrist |
|---|---|---|
| Aktive søknader | ATS | Ved avsluttet prosess + 3 mnd |
| Samtykkebasert lagring (talentpool) | ATS | 12 mnd, fornybar |
| Spontansøknader | ATS | 6–12 mnd fra mottak |
| E-postvedlegg | E-post/mapper | Umiddelbart etter import til ATS |
| Ansatte (CV fra søknad) | Personalmappe | I henhold til arbeidsforholdet |
Steg 3: Implementer automatisk sletting
Konfigurer systemet til å slette automatisk når oppbevaringsfristen utløper. Gode systemer sender en varsling til HR før sletting — slik at du kan forlenge fristen med dokumentert grunn dersom det er nødvendig (for eksempel en pågående klagesak).
Steg 4: Logg all sletting
Dokumenter hva som ble slettet, når, og av hvem (eller automatisk av systemet). Denne loggen er viktig for å kunne dokumentere GDPR-compliance overfor Datatilsynet ved et eventuelt tilsyn.
Steg 5: Håndter kopier og backups
Etabler rutiner for å:
- Slette nedlastede CVer fra lokale maskiner.
- Fjerne videresendte e-poster med søkerdata.
- Dokumentere at backup-sletting skjer ved neste rotasjon.
Steg 6: Dokumenter og tren ansatte
Skriv ned sletterutinen som en intern prosedyre. Alle som er involvert i rekruttering — HR, linjeledere, intervjuere — bør kjenne til reglene. En årlig gjennomgang sikrer at rutinene holdes oppdaterte.
Konsekvenser av manglende sletting
Å ikke slette søkerdata i tide er et brudd på GDPRs lagringsminimeringsprinsipp og kan få konkrete konsekvenser:
- Overtredelsesgebyr: Datatilsynet har myndighet til å ilegge betydelige gebyrer for brudd på GDPR (opptil 20 millioner euro eller 4 % av omsetning). Vi ser en økende tendens til at tilsynet slår ned på manglende sletterutiner.
- Pålegg om sletting: Kan gis med kort frist, som legger enormt press på HR-avdelingen for å rydde opp manuelt.
- Større skadeomfang ved databrudd: Jo mer data du lagrer, jo mer kan kompromitteres. Se vår guide om datasikkerhet i rekruttering for å forstå sammenhengen mellom dataminimering og sikkerhetsrisiko.
- Svekket tillit: Søkere reagerer negativt hvis de oppdager at data er beholdt uten grunn i årevis.
Kom i gang med automatiske sletterutiner
Å etablere gode sletterutiner for søkerdata trenger ikke være komplisert. Start med disse tre tiltakene:
- Flytt ut av e-post — så lenge søknader lever i innboksen, har du ingen kontroll over slettefrister.
- Definer en frist — tre måneder etter avsluttet prosess er en trygg standard for de fleste.
- Automatiser — manuell sletting krever disiplin som sjelden holder over tid.
Applirank håndterer alt dette automatisk: konfigurerbare slettefrister, varsling før sletting, automatisk opprydding, og full logg over hva som ble slettet og når. Alt bygget inn i et norskutviklet ATS-system med GDPR som grunnprinsipp.
Ofte stilte spørsmål
Er tremånedersfristen et lovkrav?
Nei. Tremånedersfristen er en utbredt bransjenorm i norsk rekruttering, ikke et lovfestet krav. Den har etablert seg fordi den gir rom for eventuelle diskrimineringsklager etter ansettelse. GDPR krever at du selv definerer og begrunner en oppbevaringsfrist.
Kan jeg beholde CV-er til fremtidige stillinger uten samtykke?
Nei. Berettiget interesse som behandlingsgrunnlag gjelder kun for den konkrete stillingen søkeren har søkt på. Skal du beholde data til fremtidige stillinger, trenger du eksplisitt, dokumentert samtykke.
Hva gjør jeg med søkerdata i e-postinnboksen?
E-postvedlegg og korrespondanse med søkere er personopplysninger som omfattes av sletteplikten. Du må aktivt slette e-poster som inneholder CVer, søknadsbrev og vurderinger når oppbevaringsfristen utløper.
Gjelder slettefristen også for interne søkere?
Ja. Data som samles inn i forbindelse med en intern rekrutteringsprosess er personopplysninger og følger de samme reglene. Opplysninger som allerede finnes i personalmappen fra arbeidsforholdet berøres ikke.
Hva skjer hvis en søker ber om sletting før fristen?
Du plikter å vurdere forespørselen individuelt. Hvis du ikke lenger har en berettiget grunn til å beholde dataene (f.eks. ingen klagesak), skal du etterkomme slettekravet innen 30 dager.
Må jeg slette data fra backups også?
Ja, prinsipielt. I praksis aksepteres det at du dokumenterer at sletting fra backup skjer ved neste planlagte rotasjon, forutsatt at dataene ikke gjenopprettes til produksjonsmiljøet i mellomtiden.
Kilder og videre lesning
Denne guiden er basert på gjeldende norsk og europeisk personvernlovgivning:
Prøv Applirank gratis
Opplev AI-drevet rekruttering med Norges mest brukervennlige ATS-system. Kom i gang på under 5 minutter.
Kom i gang gratis