Henkilötietojen käsittely rekrytointiyrityksissä : EU:n yleisen tietosuoja-asetuksen vaikutukset työnhakijan tietosuojaan rekrytoinnissa
Eskola, Matias (2020)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2020111190002
https://urn.fi/URN:NBN:fi-fe2020111190002
Tiivistelmä
Euroopan unionin alueella tuli vuonna 2018 voimaan jäsenmaita velvoittava yleinen tietosuoja-asetus (2016/679). Tietosuoja-asetuksen myötä kaikki henkilötietoja käsittelevät organisaatiot joutuvat arvioimaan tietosuojakäytäntöjään. Tässä tutkielmassa selvitettiin, miten tietosuoja on järjestetty rekrytointiyrityksissä työnhakijoiden oikeuksien toteutumiseksi tietosuoja-asetuksen voimaantulon jälkeen ja millaisia kokemuksia rekrytointiyrityksillä on tietosuoja-asetuksen vaikutuksista niiden toiminnalle.
Lähestymistavaksi valittiin laadullinen tutkimus. Empiirinen aineisto kerättiin teemahaastatteluina yhdeksästä rekrytointiyrityksestä. Teoreettinen osuus muodostuu ajankohtaisesta kirjallisuudesta, tutkimuksesta ja tietosuojalainsäädännöstä.
Tutkimustulosten perusteella voidaan todeta, että työnhakijoita informoitiin henkilötietojen käsittelystä tietosuoja-asetuksen mukaisesti, ja kaikilta hakijoilta pyydettiin kirjallinen suostumus henkilötietojen käsittelyyn. Tietosuojaan liittyvistä oikeuksista työnhakijaa informoitiin kirjallisessa suostumuksessa sekä viitattiin yrityksen tietosuojaselosteeseen. Tietosuoja miellettiin kuitenkin edelleen herkästi rekisterilähtöiseksi, vaikka tietosuoja-asetus perustuu riskiperusteiseen lähestymistapaan.
Rekrytointiyritykset olivat tietoisia johdon vastuusta henkilötietojen käsittelyssä. Tietosuojavastaavaa ei ollut nimetty yrityksissä kahta poikkeusta lukuun ottamatta. Rekrytointiyritysten tietojärjestelmät ja ohjeistukset oli muutettu suurelta osin tietosuoja-asetusta vastaaviksi. Henkilötietojen käsittelystä oli sovittu toimeksiantajan kanssa tietojenkäsittelysopimuksella. Tietoturvan parantamiseen oli selvästi kiinnitetty huomiota. Tietosuoja-asetuksen valvonnasta ja sanktioista oltiin rekrytointiyrityksissä tietoisia, vaikka niihin ei ollut juuri käytännössä törmätty. Haastatteluissa tuli esiin myös kriittisiä näkemyksiä henkilötietojen käsittelystä tietosuoja-asetuksen mukaisesti rekrytointialalla.
Tämän tutkimuksen tuloksia voi hyödyntää henkilötietojen käsittelyn kehittämisessä rekrytointitoiminnassa. Rekrytointiyritysten tulisi arvioida toimintaansa henkilötietojen käsittelyn riskienhallinnan näkökulmasta ja onko tietosuojaseloste riittävän yksiselitteinen informoinnin muoto, jolla vastataan moniin työnhakijan informointivelvoitteisiin. Tietosuoja-asetuksen edellyttämästä tietosuojan soveltamisesta ja dokumentaatiosta on tarpeen tehdä tutkimusta. Valvonnan toteutumista on syytä arvioida, jotta henkilötietojen käsittely on asetuksen tavoitteiden mukaista.
Lähestymistavaksi valittiin laadullinen tutkimus. Empiirinen aineisto kerättiin teemahaastatteluina yhdeksästä rekrytointiyrityksestä. Teoreettinen osuus muodostuu ajankohtaisesta kirjallisuudesta, tutkimuksesta ja tietosuojalainsäädännöstä.
Tutkimustulosten perusteella voidaan todeta, että työnhakijoita informoitiin henkilötietojen käsittelystä tietosuoja-asetuksen mukaisesti, ja kaikilta hakijoilta pyydettiin kirjallinen suostumus henkilötietojen käsittelyyn. Tietosuojaan liittyvistä oikeuksista työnhakijaa informoitiin kirjallisessa suostumuksessa sekä viitattiin yrityksen tietosuojaselosteeseen. Tietosuoja miellettiin kuitenkin edelleen herkästi rekisterilähtöiseksi, vaikka tietosuoja-asetus perustuu riskiperusteiseen lähestymistapaan.
Rekrytointiyritykset olivat tietoisia johdon vastuusta henkilötietojen käsittelyssä. Tietosuojavastaavaa ei ollut nimetty yrityksissä kahta poikkeusta lukuun ottamatta. Rekrytointiyritysten tietojärjestelmät ja ohjeistukset oli muutettu suurelta osin tietosuoja-asetusta vastaaviksi. Henkilötietojen käsittelystä oli sovittu toimeksiantajan kanssa tietojenkäsittelysopimuksella. Tietoturvan parantamiseen oli selvästi kiinnitetty huomiota. Tietosuoja-asetuksen valvonnasta ja sanktioista oltiin rekrytointiyrityksissä tietoisia, vaikka niihin ei ollut juuri käytännössä törmätty. Haastatteluissa tuli esiin myös kriittisiä näkemyksiä henkilötietojen käsittelystä tietosuoja-asetuksen mukaisesti rekrytointialalla.
Tämän tutkimuksen tuloksia voi hyödyntää henkilötietojen käsittelyn kehittämisessä rekrytointitoiminnassa. Rekrytointiyritysten tulisi arvioida toimintaansa henkilötietojen käsittelyn riskienhallinnan näkökulmasta ja onko tietosuojaseloste riittävän yksiselitteinen informoinnin muoto, jolla vastataan moniin työnhakijan informointivelvoitteisiin. Tietosuoja-asetuksen edellyttämästä tietosuojan soveltamisesta ja dokumentaatiosta on tarpeen tehdä tutkimusta. Valvonnan toteutumista on syytä arvioida, jotta henkilötietojen käsittely on asetuksen tavoitteiden mukaista.