Tietosuojariskien hallinta rekrytointiprosessissa
Salo, Hanna (2024)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2024051029134
https://urn.fi/URN:NBN:fi-fe2024051029134
Tiivistelmä
Jokaisella on oikeus henkilötietojensa suojaan. Henkilötietojen moninaistuneet käyttötarkoitukset sekä kehitys kohti verkostoitunutta tietoyhteiskuntaa uhkaavat kuitenkin tätä oikeutta. Lain ja liiketoiminnan välillä piileekin jatkuva jännite siitä, miten henkilötietoja tulisi käsitellä. Tutkielmassa yksityishenkilön oikeutta henkilötietojensa suojaan käsitellään rekrytointiprosessin viitekehyksessä: päätavoitteena tutkielmassa on luoda lainsäädännön vaatimusten mukaisia ja liike-elämän tarpeet täyttäviä toimintaehdotuksia rekrytointiprosessin tietosuojariskien hallintaan.
Oikeustieteellisen tutkimuksen metodinen pluralismi, tutkielman aihe, sekä talousoikeudelliselle tutkimukselle ominainen juridiikan ja liiketoiminnan yhdistäminen antavat tutkielmalle perustellun lähtökohdan hyödyntää tutkimusmetodeina sekä lainoppia että kvalitatiivista tutkimusmenetelmää. Lainoppia hyödynnetään rekrytointiprosessin tietosuojariskien tunnistamiseen ja riskienhallintakeinojen oikeudelliseen analysointiin. Oikeuslähteinä tutkielmassa toimii ensisijaisesti yleinen tietosuoja-asetus 2016/679 sekä toissijaisesti myös kansalliset säädökset ja oikeustapaukset. Puolistrukturoitujen haastatteluiden avulla tutkielmassa esitellään puolestaan kymmenen HR-alan ammattilaisen näkökulmia rekrytointiprosessin tietosuojariskeistä. Haastattelut tuovat tutkielmaan liike-elämän perspektiivejä: ne havainnollistavat, miten tietosuojariskit ja niiden hallintakeinot näyttäytyvät nykypäivänä organisaatioiden arjessa.
Tutkimustulokset ovat uutuusarvoltaan merkittäviä, sillä aikaisempi tutkimus on keskittynyt lähinnä tulkitsemaan ja systematisoimaan vaikeaselkoista tietosuojalainsäädäntöä ja sen asettamia velvollisuuksia. Tutkielmassa on sen sijaan pyritty pelkän lainopillisen tulkinnan ja systematisoinnin ohella myös ohjeistamaan liiketoimintaa – eli rekrytointiprosessin tietosuojariskien hallintaa – oikeudellisesta näkökulmasta. Tutkimustulokset osoittavat, että rekrytointiprosessin keskeisiä tietosuojariskejä ovat rekisteröidyn puutteellinen suostumus, henkilötietojen liiallinen keräys, sekä henkilötietojen poistamattomuus. Yhteensä kahdeksan keskeistä tietosuojariskiä tuodaan esille. Lisäksi tutkielmassa esitellään tietosuojariskeihin ajavaa tekijöitä, jotka on jaettu inhimillisiin, operatiivisiin, vilpillisiin ja strategisiin tekijöihin. Myös riskienhallintakeinoja rekrytointiprosessin tietosuojariskien hallintaan on tunnistettu kahdeksan kappaletta, ja niistä keskeisimpiä ovat muun muassa työntekijöiden tiedottaminen ja ohjaus, henkilötietojen johdonmukainen minimointi, sisäinen ja ulkoinen valvonta, sekä rekrytointijärjestelmän käyttöönotto.
Tietosuojariskien hallintakeinojen implementoinnin tueksi tutkielmassa esitellään lopuksi kansainvälisen ISO 31000 -riskienhallintastandardin mukaisia ohjeita siihen, kuinka organisaatiot voivat räätälöidä tietosuojariskien hallintakeinoja itselleen sopiviksi. Tässä yhteydessä esitellään myös riskienhallinnan vuosikello, joka voi auttaa organisaatioita tehostamaan ja keskittämään tietosuojariskiensä hallintaa. Tutkielman tulokset voivatkin olla jokaisen organisaation apuna rekrytointiprosessin tietosuojariskien tunnistamisessa ja hallitsemisessa.
Oikeustieteellisen tutkimuksen metodinen pluralismi, tutkielman aihe, sekä talousoikeudelliselle tutkimukselle ominainen juridiikan ja liiketoiminnan yhdistäminen antavat tutkielmalle perustellun lähtökohdan hyödyntää tutkimusmetodeina sekä lainoppia että kvalitatiivista tutkimusmenetelmää. Lainoppia hyödynnetään rekrytointiprosessin tietosuojariskien tunnistamiseen ja riskienhallintakeinojen oikeudelliseen analysointiin. Oikeuslähteinä tutkielmassa toimii ensisijaisesti yleinen tietosuoja-asetus 2016/679 sekä toissijaisesti myös kansalliset säädökset ja oikeustapaukset. Puolistrukturoitujen haastatteluiden avulla tutkielmassa esitellään puolestaan kymmenen HR-alan ammattilaisen näkökulmia rekrytointiprosessin tietosuojariskeistä. Haastattelut tuovat tutkielmaan liike-elämän perspektiivejä: ne havainnollistavat, miten tietosuojariskit ja niiden hallintakeinot näyttäytyvät nykypäivänä organisaatioiden arjessa.
Tutkimustulokset ovat uutuusarvoltaan merkittäviä, sillä aikaisempi tutkimus on keskittynyt lähinnä tulkitsemaan ja systematisoimaan vaikeaselkoista tietosuojalainsäädäntöä ja sen asettamia velvollisuuksia. Tutkielmassa on sen sijaan pyritty pelkän lainopillisen tulkinnan ja systematisoinnin ohella myös ohjeistamaan liiketoimintaa – eli rekrytointiprosessin tietosuojariskien hallintaa – oikeudellisesta näkökulmasta. Tutkimustulokset osoittavat, että rekrytointiprosessin keskeisiä tietosuojariskejä ovat rekisteröidyn puutteellinen suostumus, henkilötietojen liiallinen keräys, sekä henkilötietojen poistamattomuus. Yhteensä kahdeksan keskeistä tietosuojariskiä tuodaan esille. Lisäksi tutkielmassa esitellään tietosuojariskeihin ajavaa tekijöitä, jotka on jaettu inhimillisiin, operatiivisiin, vilpillisiin ja strategisiin tekijöihin. Myös riskienhallintakeinoja rekrytointiprosessin tietosuojariskien hallintaan on tunnistettu kahdeksan kappaletta, ja niistä keskeisimpiä ovat muun muassa työntekijöiden tiedottaminen ja ohjaus, henkilötietojen johdonmukainen minimointi, sisäinen ja ulkoinen valvonta, sekä rekrytointijärjestelmän käyttöönotto.
Tietosuojariskien hallintakeinojen implementoinnin tueksi tutkielmassa esitellään lopuksi kansainvälisen ISO 31000 -riskienhallintastandardin mukaisia ohjeita siihen, kuinka organisaatiot voivat räätälöidä tietosuojariskien hallintakeinoja itselleen sopiviksi. Tässä yhteydessä esitellään myös riskienhallinnan vuosikello, joka voi auttaa organisaatioita tehostamaan ja keskittämään tietosuojariskiensä hallintaa. Tutkielman tulokset voivatkin olla jokaisen organisaation apuna rekrytointiprosessin tietosuojariskien tunnistamisessa ja hallitsemisessa.