Hakijoiden suostumus – rekrytoi GDPR:n mukaisesti

GDPR:n (General Data Protection Regulation), suomeksi EU:n tietosuoja-asetuksen, astuessa voimaan tulevat säännöt tiukentumaan työnhakijoiden henkilötietojen hallinnointiin liittyen. Hakijoiden antama suostumus ja yritysten selkeä kommunikaatio hakijoille tulevat olemaan uuden lainsäädännön keskiössä. Jotta Sinä rekrytoisit oikein ja GDPR:n mukaisesti, olemme tiivistäneet mitä hakijoiden suostumus pitää sisällään ja mitä hakijoille kuuluu kommunikoida.

Hakijoiden suostumus – rekrytoi GDPR:n mukaisesti

Rekrytoiva yritys

Miksi kiinnittää huomiota GDPR:ään? Yritys, jonka prosessit eivät ole linjassa GDPR:n kanssa, joutuvat maksamaan tuntuvat sakot yrityksen koosta riippumatta. Sakon suuruus voi olla enimmillään 4 prosenttia yrityksen edellisen vuoden maailmanlaajuisesta liikevaihdosta tai vaihtoehtoisesti 20 miljoonaa euroa, kumpi vaan johtaa korkeampaan summaan.

Uusi tietosuoja-asetus pitää sisällään tiukemmat vaatimukset henkilötietojen säilyttämiseen ja käsittelemiseen liittyen. Sinulla/teillä täytyy siksi olla selkeät, harkitut ja toimivat tiedonhallintaprosessit. Rekrytoiva yritys, joka käsittelee hakijatietoja on vastuussa henkilötietorekisteristä (rekisterinpitäjä).

Kommunikointi työnhankijalle

Rekrytoivan yrityksen vastuu rekisterinpitäjänä on kommunikoida, miten henkilötietoja hyödynnetään. Hakijoilta on siis saatava suostumus tietojen keräämiseen, tallentamiseen ja säilyttämiseen.

Huom!

  • On kommunikoitava selkeästi
  • Hakija saa tiedon siitä, mitä tietoja kerätään ja miten niitä käsitellään
  • Mahdolliset kolmannet osapuolet tulee mainita
  • Hakijan tulee olla tietoinen oikeuksistaan tietojen poistamiseen, suostumuksen perumiseen ja tietojen muokkaamiseen liittyen
  • Ehtojen/selosteiden tulee olla selkeät ja helposti luettavissa, jotta hakija ne myös ymmärtää

Kannattaa myös ladata laatimamme muistilista GDPR:ään ja suostumukseen liittyen tästä.

Hakijoiden henkilötiedot

Henkilötiedolla tarkoitetaan henkilön ominaisuuksia tai elinolosuhteita kuvaavia merkintöjä, jotka voidaan tunnistaa häntä koskeviksi. Henkilötietoja ovat mm. nimi, puhelinnumero, kotiosoite, sähköpostiosoite tai hakijan muu jättämä tieto hakuprosessin aikana. Jopa haastattelumuistiinpanot ja suosittelijoiden antamat tiedot voidaan luokitella henkilötiedoiksi.

Henkilötiedot, joita ei saa kerätä

Tietyt henkilötiedot ovat arkaluontoisia, eikä niitä siksi saa kerätä. Tällaisia tietoja ovat mm. rotu, poliittiset vakaumukset, uskonto, seksuaalinen suuntautuminen, biometrinen data tai vaikkapa etnisyys. Yleisesti ottaen ei ole myöskään sallittua kysyä kuuluuko hakija johonkin ammattiliittoon

Suostumuksen pyytäminen

GDPR:n yhteydessä suostumuksesta on kyse siitä, miten rekisterinpitäjä on saanut luvan käsitellä henkilötietoja. Suostumuksen tulee olla hakijalta proaktiivinen valinta. Kun hakija jättää hakemuksensa omine tietoineen tulee hänen itse ilmoittaa suostumuksestaan. Toisin sanoen hakija ei voi automaattisesti suostua henkilötietojen tallentamiseen ja käsittelemiseen pelkästään jättämällä hakemuksen. Tulee käydä ilmi, että hakija on lukenut ehdot ja antanut suostumuksensa erikseen. Tämä saattaa aiheuttaa harmaita hiuksia yrityksille, jotka tänä päivänä vastaanottavat hakemukset sähköpostiin, sillä suostumuksen dokumentoinnin esittäminen saattaa olla hankalaa.

Suostumusrekisterin ylläpito

Suostumus ei pelkästään tarkoita sitä, että kommunikoidaan ehdot hakijoille. Rekrytoivalla yrityksellä on myös vastuu ja velvollisuus pystyä todistamaan, mitä hakijalle on kommunikoitu hakemuksen jättövaiheessa, kun hakija on suostumuksensa antanut. Lisäksi yrityksen pitää pystyä näyttämään, millä tavoin/missä muodossa hakija on suostumuksensa antanut.

  • Pitää pystyä näyttämään milloin ja miten hakija on antanut suostumuksensa
  • Pitää olla rekisteri siitä, mitä suostumuksensa antaneelle hakijalle on kommunikoitu hakemuksen jättämisvaiheessa

Suostumuksen hallinnointi

Mikäli kerättävien tietojen sisältö muuttuu, tulee tämä tieto myös kommunikoida hakijoille päivittämällä ehtoja ja rekisteriselosteita. Yrityksen tulee myös mahdollistaa hakemusten päivittäminen, poistaminen tai tietojen korjaaminen.

Vanhentuneet tiedot

Hakijapankki vanhoilla hakemuksilla tai avoimilla hakemuksilla on syytä päivittää, kun uusi tietosuoja-asetus astuu voimaan (05/18). Hakijatietoja, joita on kerätty eri ehdoilla tietosuoja-asetuksen astuessa voimaan ei saa säilyttää. Toisin sanoen vanhentunut tieto tulee poistaa tai päivittää uusin suostumuksin. Yksi tapa varmistaa hakijapankki ajan tasalle on pyytää vanhoja hakijoita hakemaan uudestaan ja pyytää lukemaan hyväksymään päivitetyt ehdot ja selosteet.

Lisätietoa tietosuoja-asetuksesta

Mikäli haluat lukea lisää tietosuojauudistuksesta, voit lukea Tietosuojavaltuutetun tekemän oppaan siitä, miten valmistautua uuteen tietosuoja-asetukseen.

Muistathan ladata tekemämme muistilistan käyttöösi alta.

Lataa GDPR ja suostumus - muistilista

Me ReachMeellä teemme töitä, jotta asiakkaamme voivat tuntea olonsa turvallisiksi ja jotta heidän rekrytoinnit sujuvat GDPR – vaatimusten mukaisesti. Haluatko kuulla lisää ReachMeen rekrytointityökalusta ja miten voimme auttaa sinua ja yritystäsi rekrytoinneissa?

Varaa demo tai jätä yhteystietosi, niin olemme yhteydessä ja kerromme lisää!

Julkaistu 12.09.2017

Kategoriat: GDPR, Rekrytointityökalu

Rekrytointiblogi

ReachMeen blogista löydät kaiken minkä haluat ja tarvitset tietää rekrytoinnista. Opi lisää onnistuneiden urasivujen laatimisesta, ehdokkaiden houkuttelemisesta, työnantajamielikuvan työstämisestä sekä miten työpaikkailmoituksien luomien onnistuu parhaiten. Tämän lisäksi löydät myös tietoa rekrytointiprosessista, eri valintametodeista ja miten käytännössä toteutat onnistuneen rekrytoinnin.

Tilaa blogimme niin saat viimeisimmät julkaisumme suoraan sähköpostiisi.

Tilaa blogi sähköpostiisi

Suosituimmat blogit