GDPR rekrytoinnissa tarkoittaa sitä, että rekrytoijien on käsiteltävä kandidaattien henkilötietoja laillisesti, läpinäkyvästi ja tarkoituksenmukaisesti. Vuonna 2026 tietosuojavaatimukset eivät ole muuttuneet perusperiaatteiltaan, mutta valvonta on tiukentunut ja työnhakijat ovat entistä tietoisempia oikeuksistaan. Rekrytoijan on tiedettävä, mitä tietoja saa kerätä, kuinka kauan niitä saa säilyttää ja miten hakijoille kerrotaan tietojen käsittelystä.
Puutteellinen tietosuojakäytäntö rekrytoinnissa voi johtaa kalliisiin seuraamuksiin
Monet rekrytoijat ja HR-ammattilaiset käsittelevät kandidaattien tietoja rutiininomaisesti ilman selkeää, dokumentoitua prosessia. Tämä on riski, jota ei kannata aliarvioida: tietosuojaviranomainen voi määrätä merkittäviä sakkoja jo yksittäisestä laiminlyönnistä, ja mainehaitta työnantajabrändille voi olla sakkoja pitkäaikaisempi ongelma. Konkreettinen korjaava toimenpide on laatia rekrytointiprosessia varten kirjallinen tietosuojaseloste ja varmistaa, että kaikki rekrytointiin osallistuvat tuntevat sen sisällön.
Vanhentunut kandidaattidata kuormittaa prosessia ja altistaa tietosuojarikkomuksille
Rekrytointijärjestelmiin kertyy helposti vuosien varrelta hakijaprofiileja, joiden säilyttämiselle ei enää ole laillista perustetta. Tämä ei ole vain hallinnollinen ongelma: jos tietomurto tapahtuu ja järjestelmässä on tietoja, joita ei olisi enää pitänyt säilyttää, vastuu on rekrytoivalla organisaatiolla. Ratkaisu on ottaa käyttöön systemaattinen tietojen poistamisaikataulu ja automatisoida muistutukset vanhenevista tiedoista osaksi rekrytointityökalua.
Mitä GDPR tarkoittaa rekrytoinnissa käytännössä?
GDPR rekrytoinnissa tarkoittaa, että kandidaatin henkilötietoja saa kerätä ja käsitellä vain rekrytointitarkoituksessa, laillisella perusteella ja hakijalle läpinäkyvästi. Rekrytoija toimii rekisterinpitäjänä ja vastaa siitä, että tietojen käsittely täyttää EU:n yleisen tietosuoja-asetuksen vaatimukset koko prosessin ajan.
Käytännössä tämä tarkoittaa useita konkreettisia velvoitteita. Rekrytoijalla on oltava selkeä oikeusperuste tietojen käsittelylle. Rekrytoinnissa yleisin peruste on oikeutettu etu tai sopimuksen täytäntöönpano, mutta joissakin tilanteissa tarvitaan hakijan nimenomainen suostumus. Suostumus on tietosuojan kannalta haasteellinen peruste, koska se on voitava peruuttaa milloin tahansa ilman seurauksia.
Rekrytoijalla on myös velvollisuus minimoida kerättävien tietojen määrä. Tietoja saa kerätä vain sen verran kuin on välttämätöntä kyseisen tehtävän täyttämiseksi. Lisäksi organisaation on pidettävä kirjaa käsittelytoimista, jos se käsittelee tietoja säännöllisesti tai laajamittaisesti.
Mitkä henkilötiedot rekrytoija saa kerätä kandidaatilta?
Rekrytoija saa kerätä tietoja, jotka ovat välttämättömiä avoimen tehtävän arvioimiseksi. Tyypillisesti tähän kuuluvat nimi, yhteystiedot, työkokemus, koulutus ja hakijan itse toimittamat dokumentit, kuten CV ja hakemus. Arkaluonteisia tietoja, kuten terveystietoja tai poliittisia mielipiteitä, ei saa kerätä ilman erityistä perustetta.
Tietojen minimoinnin periaate on keskeinen. Jos tieto ei suoraan auta arvioimaan hakijan soveltuvuutta tehtävään, sen keräämiselle on vaikea löytää laillista perustetta. Esimerkiksi hakijan siviilisäädyllä tai iällä ei ole merkitystä useimmissa rekrytoinneissa, joten niitä ei tule kysyä.
Rekrytoija voi kerätä myös työnäytteitä, suosituksia ja testituloksia, kun ne liittyvät suoraan tehtävään. Sosiaalisen median profiilien tarkastelu on harmaata aluetta: julkisesti saatavilla olevan ammatillisen profiilin, kuten LinkedIn-profiilin, tarkastelu on yleensä hyväksyttävää, mutta yksityisluonteisten tietojen etsiminen ei ole.
Kuinka kauan kandidaattien tietoja saa säilyttää rekrytoinnin jälkeen?
GDPR ei määrää tarkkaa säilytysaikaa rekrytointitiedoille, mutta tiedot on poistettava, kun niiden säilyttämiselle ei enää ole perustetta. Käytännössä rekrytointiprosessiin liittyviä tietoja voidaan säilyttää yleensä kuudesta kahteentoista kuukauteen prosessin päättymisen jälkeen, ellei hakija ole antanut suostumustaan pidempään säilyttämiseen.
Valitun kandidaatin tietoja voidaan säilyttää työsuhteen ajan ja sen jälkeen työ- ja sosiaalioikeudellisten velvoitteiden edellyttämän ajan. Hylättyjen hakijoiden tietojen säilyttämiselle tarvitaan erillinen peruste, kuten hakijan antama suostumus tulla kontaktoiduksi tulevissa rekrytoinneissa.
Organisaation on kirjattava säilytysajat tietosuojaselosteeseen ja noudatettava niitä johdonmukaisesti. Automaattiset muistutukset tai poistorutiinit ovat käytännöllinen tapa varmistaa, ettei vanhentunutta dataa kerry järjestelmiin.
Miten kandidaatille kerrotaan tietojen käsittelystä lainmukaisesti?
Kandidaatille on annettava tietosuojailmoitus ennen tietojen keräämistä tai viimeistään sen yhteydessä. Ilmoituksen on kerrottava selkeällä kielellä, mitä tietoja kerätään, miksi, kuinka kauan niitä säilytetään, kuka vastaa käsittelystä ja mitkä ovat hakijan oikeudet.
Tietosuojailmoitus voidaan toimittaa esimerkiksi hakemuksen yhteydessä linkkinä tai erillisenä dokumenttina. Olennaista on, että se on helposti löydettävissä ja ymmärrettävissä. Lakitekstimäinen kieliasu ei täytä GDPR:n läpinäkyvyysvaatimusta, jos hakija ei käytännössä ymmärrä lukemaansa.
Jos rekrytointiprosessin aikana käsittelytarkoitus muuttuu, esimerkiksi jos hakijan tietoja halutaan säilyttää tulevia rekrytointeja varten, hakijalle on kerrottava tästä erikseen ja pyydettävä suostumus.
Mitä oikeuksia työnhakijalla on omiin tietoihinsa?
Työnhakijalla on GDPR:n mukainen oikeus tarkastaa omat tietonsa, pyytää niiden oikaisemista tai poistamista, rajoittaa käsittelyä ja vastustaa tietojensa käsittelyä. Nämä oikeudet koskevat kaikkia rekrytointiprosessin vaiheita, myös tilannetta, jossa haku on jo päättynyt.
Rekrytoijan on vastattava tarkastuspyyntöön kuukauden kuluessa. Jos hakija pyytää tietojensa poistamista eikä säilyttämiselle ole laillista perustetta, tiedot on poistettava. Rekrytoija ei voi kieltäytyä poistopyynnöstä vedoten siihen, että tiedot ovat ”vain arkistossa”.
Työnhakijalla on myös oikeus saada tietonsa siirrettyä toiselle rekisterinpitäjälle, jos käsittely perustuu suostumukseen tai sopimukseen. Tämä oikeus on käytännössä merkityksellinen erityisesti tilanteissa, joissa hakija haluaa siirtää profiilinsa toiseen palveluun.
Miten tekoälytyökalut vaikuttavat kandidaattitietojen tietosuojaan?
Tekoälytyökalut rekrytoinnissa lisäävät tietosuojavelvoitteita, koska automaattinen päätöksenteko on GDPR:ssä erityisasemassa. Jos tekoäly tekee tai vaikuttaa merkittävästi hakijaa koskevaan päätökseen, hakijalla on oikeus saada selitys päätöksen logiikasta ja pyytää ihmisen suorittamaa uudelleenarviointia.
Rekrytoivan organisaation on varmistettava, että tekoälytyökalun tarjoaja käsittelee kandidaattien tietoja GDPR:n mukaisesti. Tämä edellyttää kirjallista tietojenkäsittelysopimusta alihankkijan kanssa. Sopimuksessa on määriteltävä, mitä tietoja käsitellään, missä ne sijaitsevat ja miten tietoturva on järjestetty.
Vastuullisesti rakennetut rekrytointitekoälyratkaisut, kuten Moneypennyn rekrytointiominaisuudet, on suunniteltu niin, että rekrytoija tekee aina lopullisen päätöksen. Tämä on tietosuojan kannalta keskeinen periaate: tekoäly tukee arviointia, mutta ihminen vastaa ratkaisusta. Jos haluat tietää enemmän siitä, miten tietosuoja on huomioitu palvelussa, ota yhteyttä ja kysy lisää.