GDPR-vaatimustenmukaisuus rekrytoinnissa tarkoittaa, että työnantaja ja rekrytoija käsittelevät työnhakijoiden henkilötietoja EU:n yleisen tietosuoja-asetuksen mukaisesti. Käytännössä tämä kattaa sen, mitä tietoja kerätään, miten niitä säilytetään, kuinka kauan niitä säilytetään ja miten hakijalle kerrotaan hänen tietojensa käytöstä. GDPR rekrytoinnissa koskee jokaista organisaatiota, joka vastaanottaa hakemuksia EU:ssa asuvilta henkilöiltä.
Puutteellinen tietosuoja rekrytoinnissa altistaa sinut merkittäville sanktioille
Rekrytointiprosessissa kertyy nopeasti suuri määrä arkaluonteisia henkilötietoja: nimiä, osoitteita, ansioluetteloita ja joskus jopa terveystietoja. Jos näitä tietoja säilytetään ilman selkeää perustetta tai hakijalle ei kerrota, miten hänen tietojaan käytetään, rikotaan GDPR:ää. Tietosuojaviranomainen voi määrätä sakkoja, jotka voivat nousta jopa neljään prosenttiin yrityksen vuotuisesta liikevaihdosta. Konkreettinen korjausaskel on tarkistaa, onko jokaiselle tiedonkeruulle olemassa dokumentoitu oikeusperuste ja onko hakijoille annettu selkeä tietosuojailmoitus hakuprosessin alussa.
Vanhentunut hakijarekisteri on tietosuojariski, jota ei huomata ennen kuin on liian myöhäistä
Monessa organisaatiossa hakijoiden tietoja kertyy vuosien ajan sähköposteihin, taulukkolaskentatiedostoihin ja rekrytointijärjestelmiin ilman, että kukaan tarkistaa, ovatko tiedot enää tarpeellisia. GDPR edellyttää, että henkilötietoja säilytetään vain niin kauan kuin siihen on peruste. Vanhentunut hakijarekisteri ei ole vain hallinnollinen ongelma, vaan aktiivinen riski, joka voi johtaa tietomurtoon tai valvontaviranomaisen tutkintaan. Käytännön korjaus alkaa säilytysaikaperiaatteen määrittämisestä: päätä etukäteen, milloin tiedot poistetaan, ja automatisoi prosessi mahdollisuuksien mukaan.
Mitä GDPR-vaatimustenmukaisuus tarkoittaa rekrytoinnissa?
GDPR-vaatimustenmukaisuus rekrytoinnissa tarkoittaa, että työnhakijoiden henkilötietoja käsitellään lainmukaisesti, läpinäkyvästi ja tarkoituksenmukaisesti. Se sisältää oikeusperusteen määrittämisen tiedonkeruulle, hakijan informoinnin, tietojen suojaamisen sekä hakijan oikeuksien kunnioittamisen koko rekrytointiprosessin ajan.
Rekrytoinnissa GDPR HR -näkökulmasta koskee erityisesti kolmea vaihetta: hakemuksen vastaanottamista, hakijoiden arviointia ja tietojen säilyttämistä prosessin jälkeen. Jokaisessa vaiheessa on omat vaatimuksensa siitä, miten henkilötietoja saa käsitellä.
Keskeinen periaate on tietojen minimointi: kerätään vain se, mitä rekrytointipäätöksen tekemiseen oikeasti tarvitaan. Tämä tarkoittaa, että esimerkiksi hakijan siviilisäädyn tai uskonnon kysyminen ilman perusteltua syytä on GDPR:n vastaista.
Miksi GDPR-vaatimustenmukaisuus on tärkeää rekrytointiprosessissa?
GDPR-vaatimustenmukaisuus rekrytointiprosessissa on tärkeää, koska rekrytointi tuottaa poikkeuksellisen paljon henkilötietoja lyhyessä ajassa. Jokainen hakija luovuttaa arkaluonteisia tietoja itsestään, ja heillä on lain mukainen oikeus tietää, miten näitä tietoja käytetään. Laiminlyönnit voivat johtaa sakkoihin, mainevahinkoihin ja hakijoiden luottamuksen menettämiseen.
Tietosuoja rekrytoinnissa on myös työnantajabrändin kysymys. Hakija, joka kokee, että hänen tietojaan on käsitelty huolimattomasti tai epäselvästi, ei todennäköisesti hae uudelleen tai suosittele työnantajaa muille. Rekrytointiprosessi on usein ensimmäinen konkreettinen kokemus, jonka hakija saa organisaation toimintakulttuurista.
Lisäksi rekrytointi on ala, jossa tietomurrot ovat erityisen haitallisia. Hakijarekistereissä voi olla satoja tai tuhansia henkilöiden tietoja, joita ei ole julkistettu muualla. Jos nämä tiedot päätyvät vääriin käsiin, seuraukset voivat olla vakavia sekä hakijoille että organisaatiolle.
Mitä henkilötietoja rekrytoija saa kerätä työnhakijalta?
Rekrytoija saa kerätä henkilötietoja, jotka ovat välttämättömiä rekrytointipäätöksen tekemiseksi. Tyypillisesti tähän kuuluvat nimi, yhteystiedot, koulutus- ja työhistoria sekä tehtävään liittyvät taidot ja pätevyydet. Tiedot, jotka eivät suoraan liity työn suorittamiseen, eivät kuulu rekrytointiprosessiin.
GDPR kieltää erityisten henkilötietoryhmien keräämisen ilman erityistä perustetta. Näihin kuuluvat esimerkiksi terveystiedot, etninen alkuperä, poliittiset mielipiteet ja uskonnollinen vakaumus. Jos tehtävä edellyttää tiettyä terveydentilaa, kuten raskaan kaluston kuljettajan näkökykyvaatimuksia, tiedot voidaan kerätä, mutta vain, jos siihen on selkeä oikeusperuste.
Hakijan suostumus ei ole ainoa oikeusperuste henkilötietojen keräämiseen rekrytoinnissa. Rekrytoija voi vedota myös oikeutettuun etuun tai sopimuksen solmimiseen liittyvään tarpeeseen. Suostumukseen perustuvassa keräämisessä on kuitenkin muistettava, että hakijalla on oikeus peruuttaa suostumuksensa milloin tahansa.
Kuinka kauan rekrytointitietoja saa säilyttää GDPR:n mukaan?
GDPR ei määrää tarkkaa säilytysaikaa rekrytointitiedoille, mutta tietoja saa säilyttää vain niin kauan kuin siihen on olemassa perusteltu syy. Käytännössä valitsematta jääneiden hakijoiden tiedot tulisi poistaa muutaman kuukauden kuluessa rekrytointiprosessin päättymisestä, ellei hakija ole antanut suostumustaan pidempään säilytykseen.
Valitun hakijan tiedot säilytetään työsuhteen ajan ja sen jälkeen työ- ja sopimusoikeudellisten velvoitteiden mukaisesti, yleensä useita vuosia. Tässäkin on kuitenkin tärkeää dokumentoida, miksi tietoja säilytetään ja mihin asti.
Hyvä käytäntö on pyytää valitsematta jääneiltä hakijoilta nimenomainen suostumus tietojensa säilyttämiseen tulevia rekrytointeja varten. Suostumuksen tulee olla vapaaehtoinen, tietoon perustuva ja helposti peruutettavissa. Jos hakija ei anna suostumusta, tiedot poistetaan prosessin päätyttyä.
Miten rekrytointiprosessi tehdään GDPR-vaatimusten mukaiseksi?
GDPR-vaatimusten mukainen rekrytointiprosessi rakennetaan varmistamalla, että jokaisella tiedonkeruun vaiheella on oikeusperuste, hakijat saavat selkeän tietosuojailmoituksen, tietoja käytetään vain ilmoitettuun tarkoitukseen ja ne poistetaan sovitun aikataulun mukaisesti.
Käytännön toimenpiteet voidaan jäsentää näin:
- Laadi tietosuojailmoitus, joka kertoo hakijalle, mitä tietoja kerätään, miksi, kuinka kauan ja kuka niitä käsittelee.
- Määrittele oikeusperuste jokaiselle tiedonkeruuvaiheelle ennen prosessin käynnistämistä.
- Rajoita pääsy hakijatietoihin vain niille henkilöille, jotka osallistuvat rekrytointipäätökseen.
- Aseta säilytysajat ja varmista, että tiedot poistetaan tai anonymisoidaan aikataulun mukaisesti.
- Dokumentoi prosessit, jotta pystyt osoittamaan vaatimustenmukaisuuden tarvittaessa.
Rekrytointijärjestelmän valinnalla on suuri merkitys. Moderni rekrytointialusta, kuten Moneypennyn rekrytointiominaisuudet, voi auttaa hallitsemaan hakijatietoja järjestelmällisesti ja vähentää manuaalisten prosessien aiheuttamia tietosuojariskejä.
Mitä virheitä rekrytoijat tekevät GDPR:n kanssa?
Yleisimmät GDPR-virheet rekrytoinnissa liittyvät tietosuojailmoituksen puuttumiseen, liialliseen tiedonkeruuseen, epäselviin säilytysaikoihin ja siihen, että hakijatietoja jaetaan organisaation sisällä ilman tarvetta. Nämä virheet ovat usein tahattomia, mutta ne ovat silti lain vastaisia.
Erityisen yleinen ongelma on se, että hakijoiden tietoja säilytetään ”varmuuden vuoksi” ilman, että kukaan on päättänyt, milloin ne poistetaan. Tästä muodostuu ajan myötä laaja rekisteri, jonka hallinta on vaikeaa ja jonka tietoturva on heikko.
Toinen toistuva virhe on suostumuksen pyytäminen tilanteessa, jossa se ei oikeasti ole vapaaehtoinen. Jos hakijan on pakko antaa suostumus tietojensa käyttöön voidakseen jättää hakemuksen, suostumus ei täytä GDPR:n vaatimuksia. Oikeusperuste on tällöin valittava muualta, yleensä sopimuksen solmimisesta tai oikeutetusta edusta.
Jos haluat varmistaa, että rekrytointiprosessisi täyttää tietosuojavaatimukset, ota yhteyttä Moneypennyn tiimiin ja kartoitetaan yhdessä, miten prosessejasi voidaan kehittää.