Het is allereerst belangrijk dat er sprake is van gerechtvaardigd belang ten aanzien van het werven van kandidaten en het verwerken van hun persoonsgegevens. Verzeker jezelf dat je daadwerkelijk de intentie hebt om de kandidaten te contacteren. Het bouwen van een talentendatabase op basis van persoonsgegevens voor het geval je het in de toekomst nodig hebt is niet toegestaan onder de AVG. Heb je expliciete toestemming gekregen van de kandidaat, dan mag men de gegevens volgens de AP voor een periode van 1 jaar bewaren. Wacht niet te lang met het contacteren van de kandidaten.
Indien je de kandidaat niet informeert mag je de persoonsgegevens voor een beperkte tijd (richtlijn AP is 4 weken) bewaren. Neem dus snel contact op met de kandidaat en verwijder de data als hij
of zij daar om vraagt. Als je, om wat voor reden dan ook, besluit om de kandidaat alsnog niet te benaderen dan dien je de opgeslagen persoonsgegevens meteen te verwijderen. Verzamel alleen de persoonsgegevens die je nodig hebt. Persoonsgegevens op het gebied van opleiding, werkervaring, competenties tezamen met contactgegevens zijn persoonsgegevens die horen het recruiten van kandidaten voor vacatures en mag je dus verwerken. Persoonsgegevens die niet relevant zijn, bijvoorbeeld op gebied van cultuur mogen niet verwerkt worden. Indien dit toch moet dan dien je de kandidaat toelichting te verstrekken. De persoonsgegevens moet je op een legale manier verkrijgen.
Het verzamelen van persoonsgegevens van sociale profielen is legaal onder de AVG indien deze profielen publiek toegankelijk zijn en als je er vanuit mag gaan dat de kandidaten verwachten dat ze door recruiters gecontacteerd kunnen worden. Bijvoorbeeld indien iemand een publiek LinkedIn profiel heeft dan mag je er redelijkerwijs van uitgaan.