A GDPR és toborzás összekapcsolása sokak számára kellemetlen téma — mert ha alaposan megnézed, hogyan kezeled a jelöltek adatait, valószínűleg találsz kockázatokat. Az önéletrajzok e-mailben porosodnak, a hozzájárulásokat senki nem követi nyomon, és a „töröltem az Excelből” nem számít jogszerű adattörlésnek. Ebben a cikkben összefoglaljuk, mire figyelj 2026-ban — és hogyan tedd automatikussá a megfelelést.

A toborzás során különösen érzékeny személyes adatokat gyűjtesz: névtől és elérhetőségtől kezdve a munkahelytörténeten át esetleg egészségügyi vagy büntetőjogi adatokig. A GDPR (General Data Protection Regulation) és a magyar NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) szabályozása egyaránt vonatkozik ezekre az adatokra.

A kockázat valós: az NAIH 2023-2024-ben több HR-területen indított eljárást adatkezelési szabálytalanságok miatt. A bírságok KKV-szinten is elérhetik a tízmilliós tartományt, ha szándékos vagy ismétlődő jogsértésről van szó.

A 4 alapelv, amit minden toborzónak tudnia kell

1. Jogalapszükséglet

A jelölt önéletrajzát nem tárolhatod korlátlanul csak azért, mert elküldte. A jelöltadatok kezeléséhez jogalap szükséges — toborzásnál ez jellemzően:

Szerződéskötés előtti lépések (ha aktív felvételi folyamat zajlik)
Hozzájárulás (ha talent pool-ban szeretnéd tárolni a nem felvett jelöltet)

Ami nem jogalap: „Mert beküldte az önéletrajzát.” A passzív e-mail küldés önmagában nem jelenti a hozzájárulást a hosszú távú adatkezeléshez.

2. Adatmegőrzési határidő

A jelölt adatait nem tárolhatod korlátlan ideig. Az általánosan elfogadott értelmezés szerint:

Aktív toborzás alatt: Az állás betöltéséig
Elutasított jelöltnél, hozzájárulás nélkül: Maximum 6 hónap
Talent pool-ban, hozzájárulással: Általában 1-2 év, amelyet meg kell újítani

Ha ez az idő lejár és a jelölt nem járult hozzá a hosszabb tároláshoz, az adatokat törölni vagy anonimizálni kell.

3. Érintetti jogok

A jelölt bármikor kérheti:

Hozzáférési jog: „Mutasd meg, milyen adatokat tárolsz rólam”
Törlési jog: „Töröld az összes adatomat”
Helyesbítési jog: „Ez az adat hibás, javítsd ki”
Adathordozhatóság: „Add ki az adataimat géppel olvasható formátumban”

Ha ezt egy jelölt e-mailben kéri, 30 nap áll rendelkezésre a válaszra.

4. Adatfeldolgozói szerződés (DPA)

Ha toborzási szoftvert használsz — vagyis egy harmadik fél tárolja a jelöltadatokat —, adatfeldolgozói szerződés (Data Processing Agreement) szükséges a szoftver szolgáltatójával. Ez a GDPR kötelező eleme.

1. Az önéletrajzok e-mailben évekig megmaradnak

Az e-mail beérkező mappa nem törlődik automatikusan. Egy 2019-es hirdetésre beérkező önéletrajzok valószínűleg még mindig ott vannak — anélkül, hogy bárki hozzájárult volna a 5 éves tároláshoz.

Kockázat: Adatmegőrzési határidő megsértése.

2. Nincs nyomon követhető hozzájárulás

Ha e-mailben küldik az önéletrajzot, honnan tudod, hogy a jelölt hozzájárult a talent pool-ban való tároláshoz? Ha nincs írásos, dokumentálható hozzájárulás, azt nem is tudsz igazolni.

Kockázat: Jogalap hiánya.

3. Az Excel nem tud anonimizálni

Az GDPR-kompatibilis „törlés” valójában anonimizálást jelent (az adatok megmaradhatnak statisztikaihoz, de a személy nem azonosítható belőlük). Egy Excel-sorból való törlés nem anonimizálás — ha a fájl biztonsági másolatai léteznek, az adat nem törlődött valóban.

Kockázat: Érintetti jogok nem teljesíthetők megfelelően.

4. Nincs audit-trail

Ha az NAIH vizsgálatot indít, igazolnod kell, hogy ki, mikor, milyen adatot látott és módosított. Excelben nincs ilyen napló — amit az ellenőrző hatóság is tud.

Kockázat: Bizonyítási teher a cégre hárul, nem az ügyfélre.

5. A DPA-t elfelejtik megkötni

A legtöbb KKV tudja, hogy GDPR van — de nem gondol arra, hogy egy szoftverszolgáltató adatfeldolgozónak minősül. Ha nincs aláírt DPA, az önmagában szabálysértés.

Kockázat: Hiányzó szerződéses alap a harmadik féllel való adatmegosztáshoz.

Hogyan kezeli ezeket az HRscale automatikusan?

Az HRscale GDPR-funkcióit a fenti kockázatokra válaszul tervezték:

Automatikus adatmegőrzési emlékeztetők

Amikor egy jelölt adatmegőrzési határideje közeledik (pl. a hozzájárulás érvényessége lejár), a rendszer automatikusan értesít. Nem kell naptárazni, nem kell manuálisan figyelni — az emlékeztető automatikusan megérkezik.

Egyetlen kattintásos törlés és anonimizálás

Ha egy jelölt törlési kérelmet nyújt be, vagy lejárt az adatmegőrzési ideje, egyetlen kattintással törölheted vagy anonimizálhatod az összes adatát — az önéletrajztól a kommunikációs előzményeken át az értékelési megjegyzésekig. Ez egy percen belül elvégezhető.

Beépített hozzájárulás-kezelő a karrieroldalon

Az HRscale karrieroldalán a jelentkezési form automatikusan tartalmaz egy GDPR-megfelelő hozzájárulási checkboxot és adatkezelési tájékoztatót. A jelölt hozzájárulása dátummal, IP-vel és pontos szöveggel kerül rögzítésre — ez a dokumentálható hozzájárulás, amelyre szükség van.

A talent pool hozzájárulás külön is kérhető: a 9. (Talent pool meghívóval kombinált elutasítás) e-mail sablonnal küldhetsz hozzájárulás-kérő üzenetet azoknak a jelölteknek, akiket szeretnél a jövőre megőrizni.

EU-s szervereken tárolt adatok

Az HRscale az összes jelöltadatot EU-s szervereken tárolja — ez a GDPR egyik alapkövetelménye az EU-n kívüli adattovábbítás elkerüléséhez.

Futtasd végig ezt az ellenőrzőlistát a jelenlegi folyamataidon:

Van-e GDPR-megfelelő hozzájárulási checkbox a karrieroldalon/jelentkezési formon?
Dokumentáltan nyomon követhető a jelöltek hozzájárulása?
Meghatározott adatmegőrzési határidők vannak beállítva?
Tudod-e, hol tárolódnak az összes jelölt adatai (e-mail, Excel, szoftver)?
Ki tudsz-e adatot adni, ha egy jelölt kéri (30 napon belül)?
Egyszerűen törölhetsz-e minden adatot egy jelölttől, ha kéri?
Kötöttél-e DPA-t a toborzási szoftver szolgáltatójával?
Tartalmaz-e a karrieroldalad adatkezelési tájékoztatót?

Ha 3-nál több pontban „nem” a válasz, a kézi adatkezelési rendszered GDPR-kockázatot jelent.

→ Bővebben: Toborzási szoftver teljes útmutató — Minden, amit az ATS rendszerekről tudni kell

Technikailag igen — de a valóságban nagyon nehéz. A kézi GDPR-megfelelőség azt jelenti:

Minden hozzájárulást külön dokumentálsz és archiválsz
Naptárazod az összes jelölt adatmegőrzési határidejét és manuálisan törölsz
Minden törlési/hozzáférési kérésre 30 napon belül válaszolsz és dokumentálsz
Audit-trailt vezetsz, ki, mikor, mit látott

Ez megoldható — de havi rendszeres adminisztrációt igényel. Ha elfelejtesz egy törlési határidőt (és el fogod felejteni), az már jogsértés.

Gyakran Ismételt Kérdések (GYIK)

K: Mi a maximális GDPR-bírság toborzási jogsértésnél? V: A GDPR alapján a maximum az éves globális árbevétel 4%-a, vagy 20 millió euró — a kettő közül a magasabb. Magyar KKV-knál a tényleges bírságok jellemzően alacsonyabbak, de az NAIH által kiszabott bírságok is elérhetik a több millió forintos tartományt, különösen ismétlődő vagy szándékos jogsértésnél.

K: Mennyi ideig tárolhatom az elutasított jelöltek adatait? V: Hozzájárulás nélkül általában 6 hónapig. Ha a jelölt hozzájárult a talent pool-ban való tároláshoz, általában 1-2 évig — de ezt rendszeresen meg kell újítani.

K: Az e-mailben beérkező önéletrajzok is GDPR hatálya alá esnek? V: Igen. Az e-mailben beérkező önéletrajz is személyes adat, amelynek kezeléséhez jogalapra van szükség. Az e-mail postaládában való tárolás nem jelent automatikus hozzájárulást a hosszú távú adatkezeléshez.

K: Kell-e a toborzási szoftver minden felhasználójával DPA-t kötni? V: Nem — a DPA-t a szoftver szolgáltatójával kell megkötni (aki adatfeldolgozónak minősül). A belső felhasználók (HR-esek, hiring managerek) nem igényelnek külön DPA-t.

K: Mi a különbség az adattörlés és az anonimizálás között? V: A törlés az adat fizikai megsemmisítése. Az anonimizálás során az adat megmarad, de a személy már nem azonosítható belőle (pl. a nevet, e-mailt, telefonszámot eltávolítod, de a „35 éves, 5 év tapasztalattal rendelkező jelölt, Profession.hu-ról érkezett” statisztikailag megmarad). Az GDPR mindkettőt elfogadja az érintetti jogok teljesítéseként.

Összefoglalás

A GDPR-megfelelőség a toborzásban nem opcionális — és a kézi adatkezelés szinte garantáltan kockázatokat rejt. Az automatizált megőrzési emlékeztetők, az egyetlen kattintásos törlés és a beépített hozzájárulás-kezelő jelentősen csökkentik a kockázatot — és egyszerre spórolnak adminisztrációs időt is.

Következő lépés: Nézd meg, hogyan kezeli az HRscale a GDPR-megfelelőséget — próbáld ki 30 napig ingyen.

Kapcsolódó cikkek:

Toborzási szoftver teljes útmutató — Minden, amit az ATS rendszerekről tudni kell

GDPR és toborzási szoftver — Amit tudnod kell 2026-ban

Miért különösen kényes terület a GDPR toborzásban?