GDPR tietosuoja-asetus on kuuma aihe monella eri alalla tällä hetkellä. Merkittävä vaikutus sillä on myös rekrytointiin.

Aiheen kiinnostavuus tuli todistettua muutama viikko sitten, kun tapahtumamme: ”GDPR tietosuoja-asetuksen vaikutukset rekrytointiin” ilmoittautuminen tuli täyteen vain muutamassa päivässä.

Kuinka hyvin te olette yrityksessänne ottaneet huomioon rekrytointiin liittyvät GDPR-velvoitteet? Kysyimme tätä myös tilaisuuden osallistujilta, ja saimme keskiarvoksi 3,66 (asteikolla 1-5).

10 asiaa, jotka sinun tulisi tietää GDPR tietosuoja-asetuksesta

Noin 70 hengen porukalla kokoonnuimme Marian vanhaan sairaalaan keskiviikkoaamuna 21.3.2018 käsitelläksemme GDPR tietosuoja-asetusta rekrytoinnissa. Tupa oli siis varsin täysi!

Saimme kiitollisina ottaa ensin vastaan tapahtuman pääpuhujan Tobias Bräutigamin (Head of Data Protection Group, Bird & Bird) kertomaan meille ”10 asiaa, jotka tulisi tietää GDPR:stä”.

Event

Tunnissa saimme todella tuhdin tietopaketin, ja tässä alla vain muutamia huomioita Tobiaksen puheenvuorosta:

  • GDPR:ää sovelletaan kaikkeen liiketoiminnassa ja henkilöstöhallinnossa tapahtuvaan henkilötietojen käsittelyyn.
  • Muutoksia siihen, mitä tulee tehdä
    • Laajempi dokumentointivelvollisuus
    • Laajempi informointivelvollisuus
    • Tietosuojan sisällyttäminen yrityksen toimintaan kokonaisvaltaisesti
  • Panokset kovenevat: merkittävät sanktiot laiminlyönneistä
    • Jopa 20M€ tai 4 % maailmanlaajuisesta vuotuisesta liikevaihdosta
  • Henkilötiedot
    • Henkilötieto käsittää kaikki tunnistettuun tai tunnistettavissa olevaan henkilöön liittyvät tiedot
    • Henkilötieto käsittää kaikki tiedot, joista henkilö voidaan tunnistaa suoraan tai epäsuorasti
  • Henkilötietojen käsittely on lähtökohtaisesti täysin kiellettyä…paitsi jos sille on GDPR:n mukainen peruste!
  • Henkilötietoja voidaan käsitellä vain jos:
    • Rekisteröity on antanut suostumuksensa
    • Käsittely on välttämätöntä sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena, tai edeltävien toimenpiteiden toteuttamiseksi
    • Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi
    • Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
    • Käsittely on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi
    • Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjän julkisen vallan käyttämiseksi
    • Lisäksi mahdollisuus säätää kansallisesti myös muista perusteista.
  • Suostumukset
    • Suostumuksen tulee olla selvä ja aktiivinen Kirjallinen, sähköinen tai suullinen
    • Suostumus ei ole:
      • Hiljainen, oletettu tai tekemättä jättäminen
      • Valmiiksi rastitettu ruutu
      • Upotettu sopimusehtoihin (esim. yleisiin ehtoihin)
      • Ainoa vaihtoehto
    • Suostumus on pystyttävä osoittamaan jälkikäteen!

Oli todella mahtavaa saada paikalle alan huippuasiantuntija! Kiitos Tobias ja Bird & Bird.

GDPR tietosuoja-asetus käytännössä rekrytoinnissa

GDPR on meille TalentAdorella elintärkeä asia, ja olemme omassa rekrytointijärjestelmässämme ottaneet huomioon GDPR-vaatimukset. Pyrimme kaikin keinoin myös helpottamaan asiakkaidemme työtä, niin että he pystyvät rekrytoimaan jatkossakin vaivattomasti.

Lue täältä myös meidän aikaisempi blogipostaus aiheesta: GDPR & rekrytointi – Miten rekrytoit laillisesti jatkossakin

Toimitusjohtajamme Saku Valkama olikin juuri oikea henkilö kertomaan tarkemmin, mitä rekrytoinnissa tulee ottaa huomioon GDPR:n osalta, ihan konkreettisesti. Tässä muutama tärkeä pointti Sakun esityksestä:

  1. Kun hakija hakee
    • Hakijan tulee itse voida klikata (esim. rasti ruutuun), että hän hyväksyy rekisteriselosteen. Ruutu ei siis saa olla valmiiksi klikattuna aktiiviseksi. 
  2. Oikeus omiin tietoihin
    • Hakijalla on oikeus saada kopio omista henkilötiedoistaan (veloituksetta), ja hakijan niitä pyydettäessä, tulee tiedot toimittaa pääsääntöisesti 1 kuukauden kuluessa.
  3. Oikeus tulla unohdetuksi
    • Hakijan tiedot tulee poistaa maksimissaan yhden vuoden kuluttua hakijan tultua hylätyksi rekrytointiprosessissa (mikäli muuta ei ole sovittu, esimerkiksi hakijalta pyydetty lupa säilöä tiedot Talent Communityyn).
  4. Tietoturva
    • Sähköpostirekrytointia ei suositella tehtäväksi, sillä se vaarantaa hakijatietojen turvallisen käsittelyn. Esimerkiksi TalentAdoren rekrytointijärjestelmässä hakijan tietoja käsitellään pilvipalvelussa, eikä dokumentteja tarvitse ladata omalle tietokoneelle.
  5. Talent Community
    • Talent Community on tulevaisuuden rekrytointia. Hakijat löydetään ajan yli rakentuneesta yrityksen omasta verkostosta. Jos haluaa olla aivan varma, että GDPR tietosuoja-asetusta noudatetaan, on suositeltavaa pyytää Talent Communityn jäseniltä lupaa heidän tietojensa säilyttämiseen, esimerkiksi vuoden välein.

GDPR-vaatimukset tuottavat töitä

Tapahtuman lopuksi pääsimme ideoimaan, mitä tehdä konkreettisesti GDPR:n osalta. Jaoimme osallistujat pienempiin ryhmiin ja kehotimme jakamaan parhaita käytäntöjä sekä listaamaan, mitä tulee jatkossa tehdä mm. tässä aamiaistilaisuudessa saatujen tietojen valossa.

Workshopista nousi seuraavia asioita:

  • Sopimusten tarkistus & päivitys
  • Sidosryhmien käytäntöjen yhdenmukaistaminen
  • Oman tietokoneen “siivouspäivä” + säilytettävän tiedon minimointi
  • Tietosuojavastaavan nimittäminen
  • Koulutukset & tietoisuuden lisääminen koulutus jatkuvaa vuoropuhetta
  • Prosessien dokumentointi
    • Prosessikuvaus tehty – roolit & stepit selvät ja läpinäkyvästi viestitty
    • Prosessien uudelleen avaaminen & tarkastelu
  • Järjestelmän tuki
    • Automatisoitu tiedon poisto järjestelmästä
    • Luvan pyytäminen hakijoilta
    • Rajatut käyttöoikeudet

Onko teillä jo paneuduttu näihin? Jos ei, niin nyt on aika tarttua toimeen. Uusi lainsäädäntö astuu voimaan 25.5.2018.Iso kiitos kaikille osallistujille! Mahtavaa, että olitte mukana ja osallistuitte innokkaasti myös keskusteluun. Toivottavasti nähdään taas pian 😊

Rekrytointiterveisin,

Miira (Head of Marketing) & koko TalentAdoren tiimi

#modernirekry #rekrytointi #GDPR