Rekrytoija & GDPR – mitä sinun tulee ottaa huomioon?

Käsittelen työssäni suorahakukonsulttina päivittäin henkilötietoja, joten tänä keväänä voimaan tuleva EU:n laajuinen tietosuoja- eli GDPR-asetus tulee vaikuttamaan omaankin työhöni. Olemme keskustelleet kollegoideni kanssa paljon tietoturva-asetuksen tuomista muutoksista ja erityisesti sen tuomista uudistuksista suorahakuprosessiimme sekä toimintatapoihin. Kokosin tähän muistilistan, joka tiivistää yhteen tietoturva-asetuksen keskeisimmät asiat erityisesti yritysten henkilöstöhallinnon ja rekrytointiyritysten toiminnan tueksi.

Rekrytoi GDPR:n mukaisesti

Henkilötietojen hallinnointi tiukentuu tietosuoja-asetuksen myötä merkittävästi ja tällä on tietysti oma vaikutuksensa yritysten rekrytointiprosesseihin. Jos olet rekrytoija, mieti, millaisia kaikkia viestintävälineitä käytät päivän aikana? Veikkaan, että listalle mahtuvat niin sähköposti, puhelin, pikaviestimet kuin rekrytoinnin tietojärjestelmäkin, ehkä jopa useampi sellainen. Viestit sekä yrityksen sisällä kuin työnhakijoiden ja kolmansien osapuolten kanssa – mukana saattaa olla esimerkiksi rekrytointi- ja suorahaku- tai psykologin palveluita tarjoavia yrityksiä.

Isoin haaste rekrytoinnin näkökulmasta tulevat olemaan yritysten selkeä viestintä työnhakijoille ja -hakijoiden antamat suostumukset. Monikaan rekrytoiva yritys ei miellä itseään vielä henkilötietoja ylläpitäväksi rekisteriyritykseksi, vaikka rekrytoivalla yrityksellä on vastuu rekisterinpitäjänä viestiä mahdollisimman selkeästi työnhakijoille, miten henkilötietoja hyödynnetään. Työnhakijoilta on myös saatava suostumus henkilötietojen käsittelyyn, tallentamiseen ja niiden säilyttämiseen, jos tietoja käytetään muihinkin avoimiin paikkoihin.

Lisäksi yritysten tulee kiinnittää entistä tarkemmin huomiota siihen, että vain asianomaisilla henkilöillä on pääsy henkilötietoihin. Ei myöskään kannata unohtaa sitä, että yrityksen käyttämien palveluntarjoajien tulee noudattaa tietoturva-asetusta.

Rajoitettu pääsy tietoihin

Kenellä yrityksessä on pääsy kerättyihin henkilötietoihin? Henkilötiedoilla tarkoitetaan siis tässä yhteydessä nimen ja osoitteen lisäksi haastattelumuistiinpanoja sekä suosittelijoiden antamia tietoja. Esimerkiksi rekrytointiprosessia hoitavalla HR-koordinaattorilla ja täytettävän tehtävän tulevalla esimiehellä voi olla pääsy henkilötietoihin.

Periaatteessa muu yrityksen henkilöstö voidaan rajata ulkopuolelle. Tällainen tietojen rajoittaminen vaatii käytössä olevilta tietojärjestelmiltä erilaisia käyttöoikeustasoja. Rekrytointiprosessin aikana on tärkeää tietää kuka tietoja käsittelee. Myös lokitiedot ovat tarpeen; tietojen käsittelystä jää selkeä merkintä.

Montaa saattaa yllättää se, että työnhakijan suostumuksen henkilötietojen käsittelyyn tulee aina olla hakijalta päin proaktiivinen valinta. Työnhakija ei voi automaattisesti suostua henkilötietojen käsittelemiseen ja tallentamiseen ainoastaan jättämällä hakemuksen häntä kiinnostavaan työtehtävään. Aina on käytävä ilmi, että työnhakija on lukenut rekisteriä koskevat ehdot ja antanut niihin suostumuksensa. Tässä kohtaa piilee vaaranpaikka erityisesti niillä yrityksillä, jotka ovat käyttäneet sähköpostia hakemusten keruuseen – dokumentoinnin esittäminen on hankalaa.

Työnhakijoiden suostumus henkilötietojen käsittelyyn ja tallentamiseen ei tarkoita pelkästään sitä, että yritys on viestinyt rekisteriä koskevat ehdot hakijoille. Yrityksellä on nimittäin velvollisuus ja vastuu todistaa, mitä työnhakijalle on viestitty, kun hän on suostumuksensa antanut. Lisäksi on pystyttävä näyttämään millä tavoin tai missä muodossa työnhakijan on suostumuksensa yritykselle antanut.

Mikäli yritys päivittää ehtojaan ja rekisteriselosteita, on tämä tieto viestittävä rekisterissä oleville henkilöille. Jos työnhakija pyytää, tulee hänelle tarjota tiedot siitä, mitä henkilötietoja hänestä on tallennettu järjestelmään ja mikäli mahdollista, tarjota itsenäinen tietojen päivittäminen ja poistaminen.

Työnhakijan henkilötietojen jakaminen ja säilyttäminen

Henkilötietojen jakamisella rekrytoinnissa tarkoitetaan esimerkiksi CV:n tai haastattelumuistiinpanojen jakamista yrityksen sisällä tai eteenpäin kolmansille osapuolille. Tällöin käsitellään samalla myös henkilötietoja. Esimerkiksi sähköpostin välityksellä eteenpäin jaettavat henkilötiedot on vaikea varmentaa käsitellyiksi tietoturva-asetuksen mukaisesti. Sähköpostipalvelimen tietoturva itsessään on jo heikko ja sähköpostin liitteenä olevia henkilötietoja sisältäviä dokumentteja käsitellään kirjavasti, virheiden mahdollisuus on suuri. Tietojen jakamista voi helpottaa tietojärjestelmien avulla, jolloin huoli CV:n ja muistiinpanojen harhailusta on huomattavasti pienempi kuin sähköpostia käytettäessä.

Teetkö kansainvälisiä rekrytointeja? EU/ETA-alueen ulkopuolelle tapahtuvaan tietojen siirtoon täytyy kiinnittää tarkempaa huomiota. Tietojen siirto on mahdollista vain, jos siihen liittyy erityinen peruste. Tyypillisesti tällaisissa tilanteissa on käytetty EU –komission hyväksymiä mallisopimuslausekkeita osana tietojenkäsittelysopimusta. Yrityksen rekisterinpitäjän tulee tietää ulkomaille suuntautuvista tietojen siirroista, jotta niistä voidaan tarvittaessa viestiä eteenpäin myös rekisteröidyille.

Oletko kerännyt hakijapankin? Mikäli järjestelmissäsi tai sähköpostissa lojuu eri ehdoin kerättyjä vanhoja työhakemuksia, niiden säilyttäminen on toukokuun 25. päivän jälkeen kielletty. Tällaiset tiedot tulee poistaa tai päivittää uusin suostumuksin. Helpoin tapa varmistaa hakijapankin ajantasaisuus lienee se, että pyydät työnhakijoita lähettämään hakemuksen uudelleen ja pyytää samalla lukemaan sekä hyväksymään rekisterin uudet päivitetyt ehdot.

Muistilista rekrytointien parissa työskenteleville – näin vältät kriittiset sudenkuopat

1. Tarkasta, että käytössä olevat tietojärjestelmät tukevat GDPR-asetuksen tuomia muutoksia. Muista lisäksi selvittää toimittajien tietoturvantaso.

2. Kerro työnhaun yhteydessä sekä sivustolla muutenkin mahdollisimman selkeästi henkilötietojen käsittelystä ja tallentamisesta koskevista asioista. Työnhakijan on tiedettävä mitä tietoa kerätään ja miten sitä käsitellään ja kuinka kauan sitä aiotaan säilyttää. Mainitse myös kolmannet osapuolet, jotka saattaisivat käsitellä henkilötietoja. Viesti työnhakijalle tietojen muokkaus- ja poistamismahdollisuudesta.

3. Rajoita pääsy henkilötietoihin rekrytointiprosessin ulkopuolisilta henkilöiltä.

4. Ajattele uusiksi henkilötietojen jakaminen; turvallisin vaihtoehto tietojärjestelmän välityksellä. Vältä sähköpostia!

5. Pyydä lupa työnhakijoiden tietojen säilyttämiseen tulevia hakuja varten.

6. Tarkasta hakijapankki/avoimet hakemukset ja päivitä ajan tasalle uusin ehdoin.

7. Tyhjennä ja poista käytöstä yrityksen sähköpostiosoitteet, joita on käytetty rekrytoinneissa työhakemusten vastaanottamiseen esimerkiksi rekrytointi@yritysx.fi.

8. Kansainväliset rekrytointiprosessit ja henkilötietojen jakaminen EU/ETA-alueen ulkopuolelle; muista erityissäännökset!