GDPR & rekrytointi – Miten rekrytoit laillisesti jatkossakin?

Mikä ihmeen GDPR? Lyhennelmä tulee sanoista General Data Protection Regulation. Asetuksen tarkoituksena on harmonisoida eri EU-maiden hajanaisia tietosuojakäytäntöjä.

Paljon tulee muuttumaan ja uuteen lainsäädäntöön kannattaa alkaa varautumaan jo hyvissä ajoin ennen toukokuuta. Alla neljä tärkeää pointtia, jotka sinun on vähintään hyvä tiedostaa.

1. Yrityksen pitää pystyä osoittamaan, missä ja kenellä henkilötietoja on hallussa.
2. Yrityksen pitää pystyä osoittamaan, mitä tietoja henkilöstä säilytetään, ja henkilöllä on oikeus tehdä tarkastuspyyntö koskien hänen omia tietojaan.
3. Henkilötietoja saavat nähdä ja käsitellä vain ne, joilla on oikea tarve niihin.
4. Rekisteröityjen (eli henkilöiden, joita henkilötiedot koskevat) tulee tiettyjen edellytysten täyttyessä saada pyydettäessä henkilötietonsa poistetuksi luotettavalla tavalla.
5. Yritys on velvollinen kouluttamaan työntekijänsä olemaan tietoinen GDPR:stä ja huolehtimaan, että sitä noudatetaan.

Sähköposti ei enää sovellu rekrytointiin

Uusi GDPR vaikuttaa voimakkaasti myös rekrytointiin. Ettehän 25.5.2018 alkaen rekrytoi enää vain sähköpostin varassa? Manuaalinen tietojen hallinta on työlästä tai jopa mahdotonta lain puitteissa.

Hakijoilla on muun muassa oikeus tulla unohdetuksi GDPR:n edellytysten täyttyessä. Tämä oikeus tulee sovellettavaksi esimerkiksi tilanteissa, joissa henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin, tai jos rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta.

Mikäli henkilötietoja, kuten esimerkiksi hakijatietoja säilytetään läppärillä tai printtiversioina, pitää yrityksen dokumentoida muun muassa se, missä ne kullakin ajanhetkellä ovat. Tämä on varsin mahdoton tehtävä. Jos esimerkiksi henkilötietoja sisältävä läppäri varastetaan, riskinä on, että yrityksen tulee tiedottaa henkilötietoihin kohdistuneesta tietoturvaloukkauksesta tietosuojaviranomaiselle – äärimmäisessä tapauksessa kaikille henkilöille, joiden tietoja läppärillä oli.

Kaiken tämän vuoksi on suositeltavaa ottaa käyttöön tietojärjestelmän käyttäjähallinta, jolla edistetään tietojen asianmukaista ja turvallista käsittelyä tietosuoja-asetuksen edellyttämällä tavalla. On kuitenkin hyvä huomata, että Tietosuoja-asetuksen vaatimusten täyttämiseen tarvitaan toki muitakin keinoja, joita on esimerkiksi henkilötietojen käsittelyn huolellinen dokumentointi.

Myös monet rekrytointijärjestelmät muuttuvat laittomiksi tai vähintään hankaliksi, mikäli niitä ei muuteta noudattamaan GDPR lainsäädäntöä. Jos esimerkiksi hakijoiden liitteitä ladataan omalle tietokoneelle, avaa se uuden paikan luottamuksellisen tiedon säilyttämiselle, henkilön tietokoneen kovalevylle. Myös tämä tiedonsäilytyspaikka pitäisi olla yrityksen seurannassa.

Työelämän tietosuojalaki tutuksi

GDPR lainsäädäntöön tutustuessa on hyvä pitää mielessä myös Työelämän tietosuojalaki ja sen nykytila. Tässä siitä muutama pointti:

• Työntekijöiden ja työnhakijoiden henkilötietojen käsittelystä säädetään myös yksityisyyden suojasta työelämässä annetussa laissa (759/2004, työelämän tietosuojalaki).
• Työelämän tietosuojalaki asettaa sekä työntekijöiden että työnhakijoiden henkilötietojen käsittelylle erityisvaatimuksia, joita tulee soveltaa tietosuoja-asetuksen ja muiden tietosuojan yleislakien ohella. Työelämän tietosuojalaki asettaa esimerkiksi tarpeellisuusvaatimuksen, jonka mukaan työnhakijoista voidaan käsitellä vain rekrytointiprosessin kannalta välittömästi tarpeellisia tietoja. Tästä vaatimuksesta ei voida poiketa edes työnhakijan suostumuksella.
• Työ- ja elinkeinoministeriön asettama työryhmä selvittää parhaillaan, miten tietosuoja-asetus vaikuttaa työelämän tietosuojalakiin, ja onko lakia tarpeen muuttaa asetuksen vaatimusten seurauksena. Työryhmän toimikausi päättyy maaliskuun 2018 lopussa.

TalentAdore VRA edistää GDPR-vaatimustenmukaisuutta

TalentAdoren rekrytointijärjestelmä hävittää ja anonymisoi henkilötiedot tilastointia varten tietyn ajan kuluessa hakijan viimeisestä kirjautumisesta ja tietojensa käytön hyväksymisestä.

• Rekrytointijärjestelmämme huolehtii lokitiedoista ja viestinnän säilyttämisestä yhdessä paikassa.
• Hakudokumentit säilyvät kätevästi luettavissa järjestelmässä. Ei latauksia omalle koneelle, joten ei myöskään viruksia tai muita tietoturvariskejä.
• Rekrytoijien välinen viestintä on mahdollista järjestelmän sisällä muistiinpanoilla ja merkinnöillä sähköpostiviestien sijaan (ei tietoturvaongelmaa). Näin myös rekrytoinnin lainmukaisuus voidaan todentaa myöhemmin, mikäli esimerkiksi hakija nostaa kanteen yritystä vastaan.

Talent Community on tulevaisuuden rekrytointia, jolla vältetään jatkuvat julkiset haut. Hakijat löydetään niiden sijaan ajan yli rakentuneesta yrityksen omasta verkostosta. Jos haluaa olla aivan varma, että GDPR tietosuoja-asetusta noudatetaan, on suositeltavaa pyytää Talent Communityn jäseniltä lupaa heidän tietojensa säilyttämiseen esimerkiksi vuoden välein.

Lähettämällä säännöllisiä lupa- ja päivityspyyntöjä Talent Communityn jäsenille parannetaan myös hakijoiden tietojen ajantasaisuutta sekä hakijoiden aktiivisuutta palvelussa. Ratkaisumme, Virtuaalinen rekrytointiassistentti hoitaa lupapyynnöt puolestasi.

Järjestimme GDPR:stä rekrytoinnissa myös aamiaisseminaarin 21.3.2018. Linkistä blogiin, jossa myös käytännön vinkkejä tapahtumasta!

Haluaisithan sairaanhoitajankin käyttävän aikaansa potilaisiin paperitöiden sijaan? Sama ajatus pätee rekrytoinnissa. Huokaise helpotuksesta ja anna meidän auttaa. Ratkaisumme avulla käytät aikasi tehokkaasti ja pystyt keskittymään oleellisempaan eli tarjoamaan upeita hakijakokemuksia ja rekrytoimaan oikeat, motivoituneet osaajat taloon.

Ota yhteyttä ja pyydä demo täältä!

Huom! Tämän blogitekstin on käynyt läpi ja tietojen oikeellisuuden on varmistanut yksi Suomen johtavista GDPR-asiantuntijoista.