fbpx
 

ArtikkelitTyönantaja, rekrytoitko oikein?

5 kesäkuun, 20210

Työnantaja, rekrytoitko oikein?

Vuonna 2018 sovellettavaksi tullut EU:n tietosuoja-asetus on muuttanut työnantajan velvollisuuksia rekrytoinnissa merkittävästi. Hakijoiden henkilötietojen suojaa on vahvistettu, ja rekrytoivalla yrityksellä on entistä suurempi rooli tietojen suojaamisessa.

Rekrytointiprosessin kehittämisestä on kirjoitettu LAB-ammattikorkeakoulussa case-opinnäytetyö, jossa käsiteltiin prosessin eri vaiheita sekä lainsäädäntöä. Yksi keskeinen osa rekrytointiin liittyvää lainsäädäntöä oli GDPR-asetuksen mukainen sääntely.

Tietosuoja-asetuksella eli GDPR-asetuksella pyritään yhtenäistämään tietosuojaan liittyviä käytäntöjä EU:n sisällä sekä parantamaan tietoturvaa yrityksissä. Jos yrityksessäsi käsitellään henkilötietoja, tulee GDPR-asetuksen vaatimuksia noudattaa rekrytoinnin toteuttamisessa.

Rekrytoijan omat manuaaliset rekrytointiin liittyvät toimet, kuten hakijoiden tietojen täyttäminen omiin Excel-taulukoihin tai sähköpostin käyttäminen hakemusten vastaanottamisessa tekevät tietosuoja-asetuksen noudattamisen melko kyseenalaiseksi. Yritys, joka käsittelee hakijoiden henkilötietoja, on vastuussa niiden luotettavasta käsittelystä, sillä yritys tulkitaan rekisterinpitäjäksi ja hakija rekisteröidyksi. Henkilötietojen käsittely tai valintaprosessi voidaan myös ulkoistaa, mutta se ei poista yrityksen vastuuta asiassa. Yritys on henkilörekisterin ylläpitäjä.

Kerää tietoa perustellusti

Tietosuoja-asetus toimii perustana henkilötietojen oikeelliselle käsittelylle. Henkilötietojen käsittelyn tulee aina olla lainmukaista, kohtuullista ja läpinäkyvää sekä käyttötarkoitussidonnaista. Tämä tarkoittaa, että vain olennaisia tietoja saa käsitellä ja tietojen säilytystä rajoitetaan. Tietoja tulee esimerkiksi säilyttää mahdollisimman lyhyen aikaa ja säilytysajan tulee olla tarkoituksenmukainen. Tietoja ei siis saa ilman syytä säilyttää, jos niiden käytölle ei ole enää perustetta.

Henkilötietoja tulee käsitellä turvallisesti sekä asianmukaisesti. Rekisterinpitäjällä on osoitusvelvollisuus, eli yrityksen tulee pystyä osoittamaan, että edellä mainittuja vaatimuksia on noudatettu. Rekrytointitilanteessa työnantajan tulee noudattaa näitä periaatteita sekä varmistaa, että käytössä olevat välineet rekrytointiin mahdollistavat asetuksen mukaisen toiminnan.

Henkilötietojen käsittelyn lainmukaisuus on tarkemmin määritelty asetuksen kuudennessa artiklassa. Keskeistä artiklassa on se, että rekisteröidyltä, tässä tapauksessa työnhakijalta, on pyydetty suostumus henkilötietojen käsittelyyn. Tietojen käsittely on muussa tapauksessa sallittua ainoastaan lakiin pohjautuvasta syystä. Lähtökohtaisesti tiedot, joilla arvioidaan hakijan soveltuvuutta, tulee saada hakijalta itseltään. Jos tietoja hankitaan esimerkiksi sosiaalisen median kautta, kuten LinkedInistä, tulee siitä ilmoittaa hakijalle.

Tietojen käsittelyyn tulee siis olla hakijan suostumus ja rekrytoivan yrityksen, tulee pystyä osoittamaan, että suostumus todella on annettu. Pyyntö suostumuksen antamisesta tulee esittää selkeästi ymmärrettävästi, tai se ei ole sitova. Kymmensivuiset, monimutkaiset lakitekstit, joiden perässä on valmiiksi täytetty valintaruutu suostumuksesta, eivät siis toimi hyväksyttävinä suostumuksina.

Huomioitavaa on myös, että hakijalta tulee pyytää suostumus, jos suunnitteilla on ottaa yhteyttä suosittelijoihin. Myös suhde suosittelijan ja työnhakijan välillä on hyvä olla selvillä, jotta arvioinnista saadaan mahdollisimman realistinen kuva.

Hakijan tulee voida purkaa suostumuksensa milloin tahansa, mutta se ei vaikuta lainmukaisuuteen ennen peruuttamista tehtyjen henkilötietoihin kohdistuneiden toimien osalta. Purkamisen tulee olla yhtä vaivatonta kuin suostumuksen antamisen.

Kaikkia henkilötietoja ei saa vapaasti käsitellä. Lähtökohtaisesti on kiellettyä käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja. Tällaisia tietoja ovat esimerkiksi henkilön etninen alkuperä, poliittiset mielipiteet, uskonnollinen vakaumus, ammattiliiton jäsenyys tai seksuaalinen suuntautuminen. Erityisiin henkilötietoryhmiin kuuluvia tietoja tulee suojella erityisen tarkasti.

Sähköpostista rekrytointijärjestelmään

Rekrytoinnin näkökulmasta henkilötietojen käsittelyä on valvottava tarkasti. Hakijalla on oikeus saada tietää hänestä säilytettävistä, kerättävistä ja käytettävistä henkilötiedoista. Hakija voi myös pyytää kopiota kaikista hänestä kerätyistä henkilötiedoista sekä pyytää niiden poistamista. Pääsyä henkilötietoihin tulee prosessin ulkopuolisilta henkilöiltä rajoittaa ja lupa tietojen säilyttämiseen varmistaa hakijalta.

Tämän vuoksi esimerkiksi sähköpostin käyttö monien hakemusten käsittelyssä ei ole kaikkein käytännöllisin tapa. Rekrytoinnin apuvälineitä, kuten esimerkiksi rekrytointijärjestelmän käyttöönottoa kannattaisi vahvasti harkita. Jos hakija esimerkiksi tahtoo tulla unohdetuksi, kun henkilötietoja ei ole enää relevanttia säilyttää, voi olla melko haastavaa toteuttaa tietojen poistamista. Rekrytoinnin järjestelmien avulla on myös helpompi estää turhia ansioluetteloiden tai hakemusten latauksia ja käsittelyä työnantajan omissa tietojärjestelmissä, jolloin ne muodostavat henkilörekisterin.

Hakijan henkilötietoihin tulee olla pääsy ainoastaan niillä henkilöillä, jotka todella tarvitsevat tietoa rekrytointia varten. Hakijan tietojen välittäminen sähköpostitse luetaan henkilötietojen käsittelyksi ja se sisältää monia riskejä, kuten tietojen joutumisen muille, kuin rekrytointiin osallistuville henkilöille.

Jos hakija pyytää kopiota hänestä kerätyistä henkilötiedoista, tulee rekrytoivan yrityksen toimittaa viipymättä kaikki tiedot hakijaan liittyen, niin hakemukset kuin haastattelumuistiinpanotkin. Sähköpostiin hautautuneet hakijan tiedot, jotka mahdollisesti on lähetetty useammalle henkilölle eteenpäin, eivät tee tehtävää yritykselle helpoksi. Jos hakija tahtoo päivittää ja korjata omia tietojaan, tulee myös siihen olla mahdollisuus.

Asianmukaisuuden varmentaminen

Työnantajan tulee henkilötietoja käsitellessään nimetä niille käsittelijä, joka toteuttaa käsittelyä asianmukaisesti. Asianmukainen käsittely tarkoittaa, että rekisterinpitäjän ja henkilötietojen käsittelijän tulee toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan turvallisuustason varmistamiseksi. Tällaisia toimenpiteitä ovat esimerkiksi henkilötietojen salaus, käsittelyjärjestelmien luottamuksellisuus ja käytettävyys sekä menettely tietojen käsittelyn turvallisuuden testaamiseksi.

Yritykseen on nimettävä tietosuojavastaava, jos arkaluontoista tietoa käsitellään laajamittaisesti tai ihmisiä seurataan säännöllisesti. Tietosuojavastaavan voi nimittää, vaikkei se olisikaan pakollista. Tällöin sovelletaan asetuksen mukaisia vaatimuksia tietosuojavastaavan nimittämisessä, asemassa ja tehtävissä.

Työnantajan tulee myös ylläpitää selostetta käsittelytoimistaan. Selosteesta tulee käydä ilmi esimerkiksi rekisterinpitäjän yhteystiedot, tiedot käsittelyn tarkoituksesta sekä kuvaus rekisteröityjen ryhmistä. Kaiken kaikkiaan GDPR-asetus parantaa yksityishenkilöiden henkilötietojen suojausta, jolloin yrityksillä on aiempaa enemmän vastuuta tietojen oikeanlaisesta käsittelystä.

Rekrytoi lainsäädännön puitteissa

Lisäksi rekrytoivan yrityksen tulee huomioida muu lainsäädäntö, joka liittyy läheisesti rekrytointiin. Rekrytointiprosessin aikana ei saa kysyä tai dokumentoida tietoja, jotka ovat omiaan herättämään epäilyn syrjinnästä. Näitä tietoja ovat esimerkiksi tiedot perhesuunnittelusta, lapsista tai etnisestä alkuperästä. Myöskään työpaikkailmoitus ei saa olla syrjivä esimerkiksi ikään, kansalaisuuteen tai sukupuoleen nähden. Rekrytointiprosessin aikana huomioitavaa lainsäädäntöä tietosuoja-asetuksen lisäksi ovat etenkin yhdenvertaisuuslaki, tasa-arvolaki, laki yksityisyyden suojasta työelämässä sekä työsopimuslaki.

Lue lisää tietosuoja-asetuksesta: https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32016R0679&from=FI 

Apua työsuhdejuridiikkaan: https://www.3economix.fi/about-3/about-me-2-4-2-2-2-2-2-2/

Kirjoittajat

Janette Kyötikki, Kari Hämeenaho

Leave a Reply

Your email address will not be published. Required fields are marked *

Toiminimi: 3Economix Oy  

Y-tunnus: 3205558-3  

VAT-numero: FI32055583 

3economix

© 3Economix Oy

010 212 8171
Seuraa meitä myös somessa!