REKRYTOINNIN TIETOSUOJA: GDPR ja rekrytointi

Kirjoittaja

Jarl-Johan Héde | Paragraaffi

Artikkelit16.3.2018

Hakijadata on eräänlaista rekrytoinnin valuuttaa siinä missä dataa ylipäänsä voidaan verrata digiajan öljyyn. Uusi tietosuoja-asetus leikkaa koko tämän kentän tavoitteenaan turvata henkilötietojen suojan perusoikeutena ja edistää digitaalista kaupankäyntiä yhteismarkkinoilla.

Hakijadatassa on suurelta osin kyse henkilötiedoista ja näin ollen asetus ulottuu koskemaan myös prosesseja ja organisaatioita, joissa hakijadataa käsitellään. Siksipä asia on erityisen ajankohtainen ja tärkeä rekrytoivien yritysten näkökulmasta. Jokaisen HR-ammattilaisen tulisi tuntea tietosuojaa koskevat perusvaatimukset ja ymmärtää, miten ne voidaan toteuttaa käytännössä.

Lainsäädännöstä 

Nykyinen työnhakijoiden henkilötietojen suojaa koskeva sääntely on pirstaloitunut useisiin, jopa satoihin eri säädöksiin. Keskeisin säännös henkilötietojen suojan kannalta on henkilötietolaki, jolla on Suomessa pantu täytäntöön EU:n henkilötietodirektiivi. Uusi tietosuoja-asetus korvaa henkilötietodirektiivin, mutta henkilötietolakia sovelletaan kuitenkin ennen tietosuoja-asetuksen voimaantuloa ja sen jälkeen sitä täydentävästi. 

Henkilötietojen suojasta työsuhteessa säädetään vielä erillisessä laissa yksityisyyden suojasta työelämässä. Edelleen oikeusministeriön asettama EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä (TATTI) on ehdottanut tietosuojalakia säädettäväksi, joka korvaa nykyisen henkilötietolain. Tietosuojalaki täsmentää EU:n tietosuoja-asetuksen säännöksiä ja sillä säädetään esimerkiksi valvontaviranomaisista sekä oikeusturvasta. Tietosuojalaista annettiin 1.3.2018 hallituksen esitys

Käsitteistä 

Henkilötiedolla tarkoitetaan kaikkea sellaista tietoa, jolla voidaan yksilöidä ja tunnistaa henkilöitä. Tällaisia tietoja ovat esimerkiksi nimi, osoite, sähköpostiosoite sekä verkkotunnistetiedot. Henkilörekisterillä sen sijaan tarkoitetaan näistä henkilötiedoista koostuvaa tietojoukkoa, joka on jollakin tapaa jäsennelty niin, että henkilöä koskevat tiedot voidaan löytää helposti ja ilman kohtuuttomia kustannuksia. Henkilörekisteri voi muodostua, vaikkei sellaista tarkoituksella ylläpidettäisiinkään esimerkiksi, kun hakemuksia otetaan vastaan sähköpostitse. Edelleen rekrytointimoduulien talent poolit ovat henkilörekistereitä. 

Rekisterinpitäjällä rekrytointiprosessissa lähtökohtaisesti tarkoitetaan rekrytoivaa yritystä tai yksityistä elinkeinonharjoittajaa, jota varten rekisteri perustetaan ja jolla on oikeus määrätä sen käytöstä. Henkilötietojen käsittelijällä tarkoitetaan rekisterinpitäjän lukuun toimivaa tahoa, mutta joka ei välttämättä omista henkilörekisteriä tai määrää sen käytöstä. Tällainen käsittelijä voi esimerkiksi olla yrityksen rekrytointimoduulin toimittaja, jonka pilvipalvelussa hakijatietoja säilytetään tai toimeksiannon saanut konsulttiyritys, joka käyttää toimeksiantajan hakijapoolia rekrytoinnissa. Rekisteröidyllä tarkoitetaan henkilöä, jonka tiedot ovat edellä mainitussa henkilörekisterissä tunnistettavissa – nimellisesti siis hakijaa. 

Rekrytointiprosessi ja tietosuojaperiaatteet 

Rekrytointiprosessin alkuvaihe on hyvin pitkälti datan keräämistä potentiaalisista kandidaateista. Dataa voidaan kerätä vastaanottamalla hakemuksia ja ansioluetteloita työpaikkailmoittelulla, sosiaalisesta mediasta (vrt. LinkedIn rekrytoinnissa) tai esimerkiksi ostamalla sitä palveluntarjoajalta. Keräämisen jälkeen hakijadataa käsitellään yrityksessä, jota koskee edelleen omat vaatimuksensa. Samaan aikaan hakijadataa säilötään prosessin ajan ja mahdollisesti myös sen jälkeen. Hakijatietoja voidaan myös siirtää yrityksen sisällä tai sen ulkopuolelle taikka sitä voidaan käsitellä eri tarkoituksessa kuin missä sitä alun perin kerättiin. 

Rekrytointiprosessiin sovelletaan uuden asetuksen mukaisia tietosuojaperiaatteita. Tietosuoja-asetuksen periaatteet vastaavat hyvin pitkälti sitä, mitä edellytetään työnantajilta nykylainsäädännön nojalla, vaikkakin periaatteita on asetuksessa täsmennetty. Tietosuojaperiaatteita ovat: 

  • käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys 
  • käyttötarkoitussidonnaisuus 
  • tietojen minimointi 
  • tietojen täsmällisyys 
  • tietojen säilytyksen rajoittaminen 
  • tietojen eheys ja luottamuksellisuus sekä 
  • rekisterinpitäjän osoitusvelvollisuus 

Rekisterinpitäjän eli työnantajan on noudatettava näitä periaatteita kaikessa henkilötietojen käsittelyssä läpi rekrytointiprosessin. Uusi asetus nimenomaisesti edellyttää, että rekisterinpitäjä huolehtii näiden periaatteiden tehokkaasta toteutumisesta ja tähän velvollisuuteen viitataan usein sisäänrakennetun tietosuojan periaatteena (privacy by design). Käytännössä se tarkoittaa asianmukaisten teknisten ja organisaatioon liittyvien ratkaisujen toteuttamista, kuten koulutuksia, auditointeja, sertifiointeja, valvontajärjestelmiä sekä tietojärjestelmien tietoturvaa. 

Rekrytoivan yrityksen tulee siis ymmärtää mitä periaatteet tarkoittavat käytännössä ja miten ne implementoidaan omaan rekrytointiin. Tässä sarjassa käsitellään näitä periaatteita erityisesti siitä näkökulmasta, mitä ne tarkoittavat rekrytointiprosessin kannalta ja miten niiden tulee näkyä siinä konkreettisesti. 

Osoitusvelvollisuudesta 

Osoitusvelvollisuudella tarkoitetaan rekisterinpitäjän velvollisuutta pystyä osoittamaan henkilötietojen tietosuoja-asetuksen mukainen käsittely. Osoitusvelvollisuus on suhteessa aiempaan kansalliseen lainsäädäntöön uusi periaate, joka aiheuttaa myös muutoksia aiempiin tapoihin tehdä rekrytointia. Osoitusvelvollisuutta voidaan rekrytoivan yrityksen näkökulmasta lähestyä kahdesta näkökulmasta; yrityksen tulee pystyä näyttämään, että hänen käytössään olevat rekrytointijärjestelmät- ja toimintatavat mahdollistavat henkilötietojen turvallisen käsittelyn ja edelleen, että niitä tosiasiallisesti myös käsitellään asetuksen edellyttämällä tavalla. Toisaalta yrityksen täytyy pystyä näyttämään käsittelyn peruste kerättäville tiedoille ja työnhakijoiden antama, nimenomainen lupa tietojen käsittelylle. 

Osoitusvelvollisuudesta johtuen rekrytointimoduuleille voidaan asettaa dokumentoitavuuden vaatimus. Yrityksen täytyy pystyä esimerkiksi osoittamaan järjestelmän tietoturvallisuus, kuka mitäkin tietoa käsittelee ja miten hakijoiden tietoja käytännössä päivitetään, siirretään tai poistetaan. Lisäksi hakijoiden suostumukset heidän tietojensa käsittelyyn täytyy pystyä esittämään yhdessä käsittelyperusteen kanssa. 

Riski vs. velvoitteet 

Edellä käsitelty osoitusvelvollisuus ja sen merkitys korostuu uudessa tietosuoja-asetuksessa omaksutussa niin kutsutussa riskiperusteisessa lähestymistavassa. Riskiperusteisella lähestymistavalla tarkoitetaan rekisterinpitäjän ja käsittelijän mahdollisuutta sovittaa henkilötietojen suojaamista koskevat toimenpiteet käsittelystä aiheutuvaan riskiin. Osoitusvelvollisuuden näkökulmasta tämä tarkoittaa sitä, että rekisterinpitäjän ja käsittelijän on pystyttävä osoittamaan, että henkilötietojen suojaamiseksi tehdyt toimenpiteet ovat olleet riittäviä riskiin nähden. 

Riskiperusteinen lähestymistapa antaa rekrytoivalle yritykselle tietyn liikkumavaran, kun harkitaan toimenpiteitä suojan takaamiseksi. Yrityksen tulee näin ollen kartoittaa riskit, joita hakijatietojen käsittelyyn liittyy, jotta niihin pystytään varautumaan oikeasuhtaisesti. Riskiin vaikuttaa esimerkiksi käytössä olevat rekrytointijärjestelmät, tietoja käsittelevien työntekijöiden määrä ja totta kai kerättävän tiedon määrä. 

Rekisterinpitäjän ja käsittelijän vastuusta

Loppukaneettina vielä muutama sana käsittelijän vastuusta. Tarkkaavainen lukija on huomannut, että useassa kohtaan viitataan rekisterinpitäjän ja käsittelijän velvollisuuteen tai vastuuseen yhdessä. Käsittelijälle keskeisin vastuu eräiden muiden velvollisuuksien lisäksi, on vastata tietojen käsittelyn turvallisuudesta. Edelleen rekisterinpitäjä ja käsittelijä vastaavat rekisteröidylle aiheutuneesta vahingosta yhteisvastuullisesti; riippumatta siitä mitä yritysten välillä on sovittu, hakija voi kohdistaa vaatimuksensa kumpaan tahansa. Rekrytoivan yrityksen, joka toimii rekisterinpitäjänä kannattaakin siis varmistua siitä, että käytössä oleva rekrytointimoduuli täyttää tietosuoja-asetuksen edellytykset. 

Rekisterinpitäjän ja käsittelijän välillä tehtävä henkilötietojen käsittelyä koskeva kirjallinen sopimus tulee myös pakolliseksi. Sopimukselle asetettavat vähimmäisvaatimukset asetetaan suoraan uudessa tietosuoja-asetuksessa. 

Seuraavassa osassa käsitellään hakijatietojen keräämistä ja seikkoja, mitä rekrytoivan yrityksen tulee siinä yhteydessä ottaa huomioon uuden asetuksen valossa. 

Hyödyllisiä linkkejä 

Tietosuoja-asetus
Henkilötietolaki
Henkilötietodirektiivi
Hallituksen esitys tietosuojalaiksi
TATTI -ryhmän mietintö (Oikeusministeriö 35/2017)
Miten valmistautua tietosuoja-asetukseen? (Oikeusministeriö 4/2017)
www.tietosuoja.fi
www.eugdpr.org