Työnhakijan henkilötietojen keräys – mitä tietoja voidaan käsitellä?

Rekrytointitarpeen ilmetessä on työnantajan oltava tietoinen henkilötietojen keräämiseen, käsittelemiseen ja säilyttämiseen liittyvästä sääntelystä sekä siitä, mitä velvoitteita henkilötietojen käsitteleminen luo työnantajalle. Jotta työnantaja löytää oikean ehdokkaan tehtävään, on keskeistä kerätä tarpeeksi ja ennen kaikkea oikeita tietoja ehdokkaasta, jotta tämän soveltuvuus avoinna olevaan tehtävään voitaisiin arvioida. Työnantajana on helppo ahmia kaikki mahdolliset tiedot hakijasta, mutta vaikka se olisi mahdollista, kiusausta olisi syytä välttää monestakin syystä. Nykyinen lainsäädäntö asettaa tarkat rajat tietojen keräämiselle, eikä mitä tahansa tietoja missä tahansa laajuudessa saa kerätä edes työnhakijasta. Työnantajan on huomioitava yleinen tietosuoja-asetus (EU) 2016/679, sen kansallinen toimeenpano (tietosuojalaki 1050/2018) sekä laki henkilötietojen käsittelystä työelämässä (759/2004). Tämän lisäksi työnantajaa kehotetaan pitämään silmällä mm. Tietosuojavaltuutetun toimiston julkaisemia ohjeistuksia ja suosituksia.

Mikä henkilötieto on?

Ennen kuin pohdimme mitä tietoja työnantaja työnhakijoistaan voi kerätä, on syytä selventää mitä henkilötiedoilla tarkoitetaan. Lyhykäisyydessä henkilötiedoilla tarkoitetaan kaikenlaisia luonnolliseen (elossa olevaan) henkilöön yhdistettävissä olevia tietoja. Nimen, osoitteen ja henkilötunnuksen lisäksi henkilötietoina pidetään myös mm. kuvia ja ääninäytteitä. Jos käsillä olevasta tiedosta on siis mahdollista tunnistaa henkilö, on kyseessä henkilötieto, jonka käsitteleminen (myös kerääminen ja tallentaminen) edellyttää sovellettavan henkilötietosääntelyn noudattamista.

Rekrytoinnin yhteydessä tapahtuvan henkilötietokäsittelyn vaatimukset

Työnantaja saa Työelämän tietosuojalain mukaan ainoastaan käsitellä työsuhteen kannalta välttämättömiä henkilötietoja sekä tietoja, jotka vaikuttavat työsuhteen osapuolten oikeuksiin ja velvoitteisiin, liittyvät työsuhteen etuihin ja työtehtävien erityiseen luonteeseen. Tästä vaatimuksesta ei saa poiketa edes työntekijän suostumuksella. Välttämättömyys- ja suhteellisuusvaatimus löytyy myös tietosuoja-asetuksesta.

Työnantaja saa rekrytoinnin yhteydessä kysyä ainoastaan sellaisia tietoja, jotka ovat välttämättömiä hakijan osaamisen ja soveltuvuuden sekä sen arvioimiseksi, sopiiko työnhakija työyhteisöön. Mitä näihin tietoihin kussakin tapauksessa kuuluu, on arvioitava tapauskohtaisesti huomioiden mm. tehtävien laatu sekä työntekijältä edellytettävät vaatimukset.

Käsiteltävät tiedot tulee ensikädessä kerätä työnhakijalta ja usein nämä tiedot ovat myös riittäviä. On kuitenkin tapauksia, joissa tätä kautta saatavat tiedot eivät ole riittäviä ja joskus rekrytointi edellyttää esimerkiksi soveltuvuustestiä. Olemme alla käsitelleet muutamaa kompastuskiveä, joihin työnantaja helposti osuu juuri henkilötietojen keräämisen yhteydessä. Olemme lopuksi myös kuvailleet rekrytoinnin yhteydessä tapahtuvan henkilötietokäsittelyn yleisvaatimuksia.

Henkilö- ja soveltuvuusarviointitestit

Etenkin ns. avainhenkilöitä rekrytoidessa työnantajalla voi olla perusteltu syy pyytää työnhakijaa suorittamaan eri soveltuvuusarviointitestejä työnhakijan soveltuvuuden puolueettoman arvioinnin toteuttamiseksi. Tällaisia testejä saadaan teettää vain jos työnhakija tähän suostuu. Testien ainoa tarkoitus on oltava hakijan soveltuvuuden arviointi kyseistä tehtävää varten ja mahdollisen koulutus- tai kehitystarpeen tunnistaminen. Työnantaja ei voi käyttää samaa testiä kaikkiin toimiin, vaan testien on oltava tarkoitettu soveltuvuuden arvioimiseksi juuri kyseisen tehtäv. Testien laajuus ja sisältö perustuu siis vaatimuksiin, joita eri ammattiryhmiltä ja tehtäviltä voidaan edellyttää.

Mikäli työnantaja päättää käyttää henkilö- ja soveltuvuusarviointitestejä, tulee näiden sisältöä ja muotoilua arvioida kriittisesti sekä selvittää millä perusteilla testiä käytetään suositusten antamiseksi. Sekä työnantajan että  hakijan etujen turvaamiseksi on ensisijaisen tärkeää käyttää luotettavaa ja asianmukaista toimijaa. Mahdollisten testien tulokset tulee antaa työnhakijalle tiedoksi. Muista kuitenkin, ettei rekrytointipäätöstä tule tai saa, perustaa ainoastaan henkilö- ja soveltuvuusarviointitestien tuloksiin, vaa päätöksen tulee aina perustua kokonaisarviointiin.

Sosiaalinen media

Some on tänä päivänä arjessa hyvin läsnä ja työnantaja voikin kokea kiusausta käydä katsomassa potentiaalisen uuden työntekijän some-profiileja arvioidakseen, miten henkilö soveltuisi yrityskulttuuriin. Myös somen käyttöön liittyy kompastuskiviä. Mikäli työnantajan tarkoituksena on kerätä tietoja sosiaalisesta mediasta, tulee työntekijällä olla tähän työnhakijan suostumus. Työnantaja ei siis itse saa käydä selvittämässä rekrytointipäätökseen vaikuttavia tietoja hakijasta somesta.

Suostumuksen lisäksi työnantajan on lisäksi huomioitava yllä mainitut välttämättömyys- ja suhteellisuusvaatimukset. Mikäli somesta löytyvät tiedot eivät ole välttämättömiä, ei näitä työnhakijan suostumuksesta huolimatta saa kerätä tai käyttää päätöksen perusteena.

Terveystiedot

Erityisen arkaluontoisia tietoja, kuten terveystietoja, saa ainoastaan kerätä ja käsitellä tiettyjen vaatimusten täyttyessä. Tällaisina edellytyksinä voidaan pitää toimen asettamat erityisvaatimukset, esimerkiksi toimeen kuuluva vaarallisten aineiden käsittely tai muiden terveyden kannalta tärkeä tehtävä. Terveystilanteen selvittäminen voi myös olla oleellista esimerkiksi kuljettajien rekrytoinnin kohdalla. Myös tässä työnantajan on huomioitava välttämättömyys- ja suhteellisuusvaatimukset.

Huumetestaus

Työnantaja voi joissain tapauksissa pyytää työnhakijaa näyttämään huumetestauksen tulos työnantajalle. Tämä on sallittua vain, mikäli työnhakijaa rekrytoidaan tehtäviin, joissa vaaditaan erityistä huolellisuutta ja luotettavuutta, hyvää reagointikykyä tai mikäli työnhakija päätyy tekemään töitä alaikäisten kanssa.

Jotta työnhakija voidaan passittaahuumetestaukseen, hänen on annettava siihen suostumuksensa  ja hänelle on kerrottava, miksi testi tehdään. Testauksen tulosta ei saa lähettää työnantajalle, vaan työnhakija saa itse päättää mikäli hän antaa tuloksen työnantajalle tiedoksi.

Työnantajan on oltava tietoinen sääntelystä joka koskee huumetestausta ja testausmenettelyä. Huomaa, että testauksesta ja sen menettelyedellytyksistä säädellään melko laajasti Työelämän tietosuojalain lisäksi työterveydenhuoltolaissa (2001/1383) sekä valtioneuvoston asetuksessa huumausainetestien tekemisestä (2005/218).

Muut todistukset

Yllä mainittujen todistusten ja testien lisäksi työnantajalla voi myös olla tarvetta pyytää turvaselvitys, varmistaa ettei henkilöllä ole rikollista taustaa sekä hankkia hakijan luottotiedot. Näiden tietojen pyytämisestä säädetään työelämän tietosuojalaissa, rikosrekisterilaissa (1993/770), rikosrekisteriasetuksessa (1993/772) sekä laissa lasten kanssa työskentelevien rikostaustan selvittämisestä (2002/504).

GDPR-aikakauden menettelyohjeet  ja henkilötietojen säilytys

GDPR:n myötä myös työnantajaan kohdistuvat vaatimukset henkilötietojen käsittelystä aina rekrytoinnista työsuhteen päättymiseen ovat lisääntyneet. Käsittelyn perusvaatimus on laillinen peruste. Rekrytoinnin kohdalla perusteena käytetään usein suostumusta – tämä siitä huolimatta, että työnantajalla lain mukaan on oikeus pyytää ja saada selvityksiä ja todistuksia. Kun käsittelyperusteena käytetään suostumusta, tarkoittaa se myös mahdollistaa peruuttaa suostumus, mikä omalta osaltaan vaatii työnantajilta toimivia prosesseja. Työnantajan on myös varmistuttava siitä, että hakija (ja myöhemmin työntekijä) saa tietoa henkilötietojensa käsittelystä.

Rekisteröidylle on kerrottava miten henkilötietoja kerätään, miten ja missä laajuudessa niitä käsitellään, missä tietoja säilytetään ja mitä oikeuksia rekisteröidyllä henkilötietojen käsittelyn osalta on. Tällaisia oikeuksia ovat esimerkiksi oikeus korjata tiedot, oikeus saada tiedot poistetuksi, oikeus tulla unohdetuksi ja oikeus tietojen siirtoon. Työnhakijalle on myös kerrottava miten henkilötietoja käsitellään ja miten kauan näitä tietoja säilytetään.

Työnantajan on lisäksi varmistettava, että henkilötietojen kanssa työskentelevä on perehdytetty henkilötietojen käsittelyn osalta ja että työpaikalla noudatetaan tarpeellisia teknisiä ja organisatorisia toimenpiteitä. Henkilöstön ja työnhakijoiden henkilötietojen on myös tärkeää, että tietoihin pääsy on rajoitettua.

Henkilötiedot tulee lähtökohtaisesti tuhota kun niiden säilyttämiselle ei enää ole perusteita. Työnantajan voi kuitenkin olla syytä säilyttää myös ei-valittujen työnhakijoiden tietoja, mikäli valinta myöhemmin riitautettaisiin tai hakija nostaisi kanteen esimerkiksi syrjinnän vuoksi. Joskus tietojen säilyttäminen voi olla toisaalta myös hakijan etujen mukaista – työnantaja voi myöhemmin olla häneen yhteydessä, mikäli työnantajalla olisikin juuri hänelle sopiva tehtävä. Hakijan henkilötietojen säilyttämisen osalta on tärkeä kommunikoida hakijalle miten ja kuinka kauan tietoja säilytetään sekä ilmoittaa, mitä oikeuksia rekisteröidyllä tältä osin on.

Lopuksi

Työnantajan on pidettävä kieli keskellä suuta rekrytointiprosessia suunniteltaessa ja toteutettaessa -ajat jolloin työnantaja pystyi vapaasti pyytämään kaikenlaisia tietoa ovat menneen talven lumia.

Tänäpäivänä työnantajan edellytetään tarkasti suunnittelevan rekrytointejaan ja mitä tietoja päätöksen tueksi tarvitaan. Suostumuksen lisäksi työnantajan on varmistettava, että välttämättömyys- ja suhteellisuusvaatimukset täyttyvät ottaen huomioon rekrytoinnin kohteena oleva tehtävä ja, että työnantajalla on oikeus kerätä tiedot sekä perustaa valinta kyseisiin tietoihin. Työnantajan on lisäksi varmistuttava siitä, että työnantajan sisäiset prosessit ovat ajan tasalla ja että työnhakijalle annetaan hänelle kuuluva tieto.

Sofia Saarikko-Byholm

Senior Associate
+358 20 527 4015