REKRYTOINNIN TIETOSUOJA: Hakijatietojen kerääminen

Kirjoittaja

Jarl-Johan Héde | Paragraaffi

Artikkelit30.4.2018

Henkilötietojen keräämisen laajuutta arvioidaan aina suhteessa siihen käyttötarkoitukseen, johon niitä kerätään. Hakijatietojen keräämisen laajuus määräytyy siis yksittäisessä tapauksessa haettavan tehtävän asettamien vaatimusten mukaan.

Käyttötarkoitussidonnaisuus – mitä tietoja voi kerätä? 

Henkilötietojen keräämisen laajuutta arvioidaan aina suhteessa siihen käyttötarkoitukseen, johon niitä kerätään. Hakijatietojen keräämisen laajuus määräytyy siis yksittäisessä tapauksessa haettavan tehtävän asettamien vaatimusten mukaan. Rekrytointi vaatii kokonaisvaltaista ymmärrystä hakijan kompetenssista sekä persoonasta ja rekrytoivalla yrityksellä voidaankin katsoa olevan perusteet varsin laajaan tietojen keräämiseen. Poikkeuksen tekevät kuitenkin arkaluontoiset eli erityiset henkilötiedot kuten etninen alkuperä, ammattiliiton jäsenyys tai terveystiedot. Nämä tietoryhmät nauttivat erityistä suojaa, joka Suomessa on perinteisesti ollut vieläpä niin vahva, ettei sitä voida rekisteröidyn nimenomaisella suostumuksellakaan ohittaa, muuten kuin hyvin rajatuin poikkeuksin.  

Käyttötarkoitussidonnaisuuden lisäksi tietojen keräämistä voidaan arvioida minimoinnin periaatteen näkökulmasta. Hakijatietojen sitominen edellä mainittuun käyttötarkoitukseen asettaa jo asialliset rajat kerättäville tiedoille. Tietojen minimoinnin periaatteesta taas seuraa, että näissäkään rajoissa tietoa ei voi kerätä laajemmin kuin mitä käyttötarkoituksen kannalta on tarpeen. Esimerkkinä voidaan pitää vaikkapa opintoja koskevia tietoja. Käyttötarkoitussidonnaisuuden osalta voidaan todeta, että tietyn koulutustason tai -menestyksen toteaminen on tarpeen, kun etsitään tehtävään sopivaa hakijaa. Minimoinnin näkökulmasta taas voidaan kysyä, riittääkö korkeakoulututkinnon osoittava tutkintotodistus vai tarvitaanko mukaan opintosuoritusote? Edelleen voidaanko perusteltuna pitää myös ylioppilaskirjoitusten todistuksen lähettämistä tai jopa peruskoulun päättötodistuksen? Vastaus kaikkeen lienee myöntävä, mikäli tiedoilla on oikeasti merkitystä hakuprosessissa. 

Suostumus hakijatietojen käsittelyn perusteena 

Rekrytointi edellyttää hakijaa koskevien tietojen keräämistä – nimellisesti siis henkilötietojen keräämistä. Rekrytointia varten hakijatietoja kerätään lähes yksinomaan hakijan oman suostumuksen perusteella ts. hakija lähettää tietonsa itse rekrytoivalle yritykselle hakuprosessiin osallistumiseksi. Tavanomainen ja vakiintunut lähestyminen alalla on, että hakijan lähettäessä itse hakemuksensa ja ansioluettelon, hän antaa samalla suostumuksen niiden käsittelyyn rekrytointiprosessissa. Tähän tulee uuden asetuksen myötä huomattava muutos. 

Miten suostumus voidaan antaa? 

Olennaisin hakijatietojen keräämiseen vaikuttava muutos koskee suostumuksen antamista. Suostumuksen osalta voidaan kiinnittää ensinnäkin huomiota sen antamisen tapaan. Lupa hakijatietojen käsittelyyn voidaan antaa kirjallisesti ml. sähköinen suostumus tai suullisesti. Suullinen suostumuksen antaminen muodostuu luonnollisesti haasteeksi, kun annettu suostumus täytyy olla myöhemmin näytettävissä. Suostumuksen täytyy olla myös aktiivisin toimin tehty tietoinen valinta ja hakijan on täytynyt antaa se ennen tietojen käsittelyyn ryhtymistä. 

Tietoisen suostumuksen vaatimuksesta johtuu, ettei hakijan tekemä lähettämistoimi, jossa hän jättää hakijatietonsa yritykselle, riitä enää suostumukseksi. Asetuksessa nimenomaisesti esitetään, että vaikeneminen ei riitä suostumukseksi tarkoitetulla tavalla, vaikka tietojen lähettäminen itsessään olisi aktiivinen toimi. Näin ollen samassa yhteydessä tulisi pystyä antamaan käsittelyyn suostumus. Tyypillisesti suostumus tietoyhteiskunnassa annetaan hyödyntämällä tick-boxia, joka tulee ruksia ennen hakemuksen lähettämistä ja tämä on varsin validi tapa saada suostumus käsittelylle. Huomionarvoista kuitenkin on, että aktiivinen suostuminen edellyttää, että tällainen tick-box ei voi olla valmiiksi ruksittu, vaan hakijan tulee tehdä se omatoimisesti. Suostumus voidaan toki antaa millä tahansa muullakin verrattavissa olevalla tavalla. 

Edellä esitetystä johtuu, ettei hakemuksen lähettäminen sähköpostitse enää vastaa yksityisyyden suojan asettamia vaatimuksia. Lähettäessä hakemus sähköpostilla, ei ole ole mahdollisuutta antaa suostumusta käsittelyyn. Suostumuksen voi toki antaa sähköpostin välityksellä, mutta suostumuksen sisällölle asetettavat vaatimukset vaikeuttavat tätä, kuten myöhemmin huomataan. Edelleen oma ratkaistava kysymyksensä on hakijalle asetuksen mukaan annettavat käsittelyä koskevat tiedot, jotka normaalisti voidaan sisällyttää esimerkiksi tietosuojaselosteeseen, mikä normaalikäytännössä kuitataan luetuksi suostumuksen antamisen yhteydessä. Tällaista selostetta lienee vaikea sisällyttää sähköpostilla annettavaan suostumukseen. 

Yksilöity ja yksiselitteinen suostumus – mitä suostumuksen pitää sisältää? 

Suostumus käsittelyperusteena liittyy läheisesti aiemmin käsiteltyyn käyttötarkoitussidonnaisuuteen. Hakija antaa luvan tietojensa käsittelyyn nimenomaiseen käyttötarkoitukseen. Tästä johtuu, että mikäli hakijatietoja käytetään useampaan kuin yhteen tarkoitukseen, täytyy jokaiseen näihin olla suostumus. Hakijatietoja voidaan ensisijaisesti kerätä tietyn työtehtävän täyttämiseksi. Hakijatietoja halutaan kuitenkin käyttää myöhemmin myös muiden hakujen yhteydessä tai vastaavasti markkinointiin. Hakijan tulee antaa suostumus kaikkiin näihin käyttötarkoituksiin, mikä tulee huomioida suostumuslauseketta muotoillessa tai tarvittaessa pyytää kaikkia suostumuksia erikseen. 

Suostumuksen sisällölle asetetaan myös muita vaatimuksia. Kun hakija antaa suostumuksen, on ensinnäkin käytävä ilmi, kenelle suostumusta ollaan antamassa. Toisin sanoen rekisterinpitäjän henkilöllisyys täytyy olla hakijan tiedossa, jotta suostumus voidaan katsoa tietoisesti annetuksi. Asia on yksiselitteinen, kun rekisterinpitäjä ja rekrytoiva yritys ovat sama taho eli, kun yritys rekrytoi itse. Asia on toinen, kun käytetään esimerkiksi suorahakua ja rekisterinpitäjä on suorahakupalvelua tarjoava yritys. Tyypillisessä suorahaussahan palvelua tarjoava rekrytointiyritys luovuttaa long tai short listin asiakkaalle, jolloin asetuksen näkökulmasta siirretään tietoa rekisterinpitäjältä kolmannelle. Tämä voi myös rajatussa laajuudessa tapahtua oikeutetun edun nojalla eli ilman rekisteröidyn suostumusta, mutta tätä kysymystä käsitellään lähemmin seuraavassa osassa. 

Mikäli rekisterinpitäjällä on tiedossa, että hakijatietoja luovutetaan rekisteristä, on siitä läpinäkyvän käsittelyn periaatteen perusteella syytä vähintäänkin ilmoittaa. Yksiselitteisin tapa lienee kuitenkin pyytää luovuttamiseen suostumusta heti aluksi, jolloin hakija saa varmasti tiedon siitä, että hänen lähettämänsä tiedot voidaan siirtää eteenpäin käsittelytarkoituksen laajuudessa. 

Viisi pointtia hakijatietojen keräämisestä 

✓ Käyttötarkoitus; Määrittele mihin tarkoitukseen tietoa tarvitaan 

✓ Tietojen minimointi; Pyydä hakijalta vain tietoja, jotka ovat rekrytoinnin kannalta tarpeellisia 

 ✓ Aktiivinen suostumus; Järjestä hakijatietojen kerääminen niin, että hakijalla on mahdollisuus antaa käsittelyä varten suostumus 

✓ Yksilöity suostumus; Sisällytä suostumukseen kaikki käyttötarkoitukset, joissa hakijan tietoja käsitellään selkeästi ja ymmärrettävästi 

✓ Suostumusten tallentaminen; Huolehdi, että suostumus voidaan tarvittaessa myöhemmin osoittaa 

▬ Tietojen täsmällisyyden vaatimus?