CTA Paikka
CTA Paikka

Henkilötiedot rekryssä – mitä tietoja työnantaja saa kerätä työnhakijasta?

Työnantajalla on lähtökohtainen vastuu työntekijöiden tietosuojan toteutumisesta ja yksityisyyden säilymisestä. Vastuu ulottuu myös rekrytointiin. Kuitenkin työnantajalla on myös ymmärrettävä intressi selvittää työtä hakevien
henkilöiden tietoja ja taustoja. Tässä artikkelissa luodaan katsaus siihen, mitä tietoja työnantaja saa työnhakijoista kerätä ja millä ehdoin.
8.1.2021 Tarja Anunti Kuva iStock

Jokaisen henkilöstöhallinnossa työskentelevän sekä rekrytointiin osallistuvan on tärkeää tuntea tietosuojasääntely ja valvoa osaltaan sitä, että hakijoiden henkilötietoja käsitellään vaatimusten mukaisesti. Vaikka rekrytointiprosessi ja sitä koskevien henkilötietojen käsittely olisi ulkoistettu muulle taholle, on työnantajana toimiva yritys aina viime kädessä vastuussa tietosuojan toteutumisesta ja rekrytoinnin lainmukaisuudesta kokonaisuudessaan.

On hyvä huomata, ettei tietosuojaa koskeva sääntely ole ainoa oikeudellinen lähtökohta lainmukaiseen rekrytointiprosessiin ja sen kuluessa käsiteltäviin henkilöä koskeviin tietoihin. Työnhakijan henkilöön liittyvien tietojen selvittämistä rajoittaa myös muun muassa yhdenvertaisuuden vaatimus ja syrjinnän kielto.

Rekrytoinnissa henkilötietojen kokonaisuus muodostuu paitsi henkilön tunnistamistiedoista, kuten nimestä ja yhteystiedoista, myös kaikista niistä muista tiedoista, joita työnhakijasta saadaan ja selvitetään esimerkiksi hakemuksen, ansioluettelon, haastattelun ja suosittelijoiden kautta.

Työnantajalla on osoitusvelvollisuus

Tärkeimmät rekrytoinnissa huomioitavat tietosuojasäädökset ovat työelämän tietosuojalaki (759/2004), EU:n yleinen tietosuoja-asetus eli GDPR (EU 2016/679) ja tietosuojalaki (1050/2018). Yksityisyyden suojasta säädellään Suomessa myös perustuslaissa (731/1999), jonka 10 §:n mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu.

GDPR-asetus toi voimaan tullessaan vuonna 2018 aiempaa tietosuojasääntelyä täsmällisempiä velvoitteita työnantajalle ja oikeuksia työnhakijalle. Pääpiirteissään sääntely kuitenkin vastaa jo aiemmin voimassaollutta. Työnhakijalla on oikeus paitsi antaa suostumuksensa henkilötietojen käsittelyyn myös tietää, mitä tietoja hänestä kerätään ja miksi, miten ja kuinka pitkään tietoja säilytetään, mihin tietoja käytetään ja kenellä on pääsy kyseisiin tietoihin. Lisäksi hakijalla on oikeus kerättyjen tietojen korjaamiseen, keräyssuostumuksen peruuttamiseen ja kerättyjen tietojen poistamiseen.

GDPR:n keskeinen työnantajaa velvoittava periaate on osoitusvelvollisuus. Rekrytoivan yrityksen tulee pystyä ensiksikin osoittamaan, että rekrytointiin liittyviä henkilötietoja käsitellään lainmukaisesti.

Rekrytoivan yrityksen tulee pystyä ensiksikin osoittamaan, että rekrytointiin liittyviä henkilötietoja käsitellään lainmukaisesti.

Toiseksi yrityksen on osoitettava, että rekrytoinnissa käytetyt toimintatavat sekä järjestelmät mahdollistavat tietojen turvallisen käsittelyn ja sen, etteivät tiedot päädy kolmansien osapuolten tietoon tai tule muuten ilmaistuksi sivullisille. Kolmanneksi on voitava myös näyttää, että kerättäville tiedoille on työhön liittyvä peruste ja työnhakijan antama lupa.

Työnhakijalta tarvitaan aktiivinen suostumus

Jokainen henkilötietoja käsittelevä organisaatio katsotaan GDPR-asetuksen mukaiseksi rekisterinpitäjäksi, joka ylläpitää henkilörekisteriä. Rekrytointiprosessissa rekisterinpitäjä on lähtökohtaisesti se organisaatio, jonka lukuun rekrytointia tehdään.

Henkilörekisteri voi rekrytointiprosessissa – ja muutoinkin – muodostua, vaikkei sellaista erikseen ja tarkoituksellisesti luotaisi. Sellainen syntyy esimerkiksi sähköpostiin saapuneista työhakemuksista, jotka sisältävät henkilöiden tunnistetietoja.

Jotta rekisterinpitäjä voi tallentaa tietoja henkilörekisteriin, on sillä oltava henkilön antama aktiivinen suostumus tietojen keräämiseen. Ennen GDPR-asetusta työnhakijan on perinteisesti katsottu antaneen luvan henkilötietojensa käsittelyyn esimerkiksi silloin, kun hän on toimittanut työhakemuksensa
ja ansioluettelonsa sähköpostitse. Tällainen toiminta ei lähtökohtaisesti riitä uuden sääntelyn mukaiseksi suostumukseksi. GDPR-asetuksen mukaan vaikeneminen ei ole suostumus.

Suostumuksen tulisi olla paitsi aktiivinen myös yksilöity eli sisältää kaikki ne käyttötarkoitukset, joissa hakijan tietoja tullaan käsittelemään ja osoitettavissa eli myöhemmin näytettävissä annetuksi. Suostumuksesta on myös ilmettävä se, mille taholle hakija on antanut luvan henkilötietojensa käsittelyyn.

Tiedot kerätään ensisijaisesti hakijalta itseltään. Jos työnantaja kerää tietoja muista lähteistä, on hakijan saatava tähän erillinen suostumus ja hakijalle kerrottava tietojen keräämisestä. Esimerkiksi hakijaa koskevien tietojen etsiminen hakukoneen avulla ei lähtökohtaisesti täytä tietosuojasääntelyn kriteerejä.

Tietojen on oltava työsuhteen kannalta tarpeellisia

Rekrytoinnin yhteydessä tapahtuvaan työnhakijoiden tiedon keräämiseen on tärkeä perussääntö: kerättävän tiedon minimointi. Hakijalta on syytä pyytää ja kerätä vain sellaista tietoa, joka on käyttötarkoituksen eli käynnissä olevan rekrytoinnin kannalta olennaista ja vain siinä laajuudessa, mikä on tarpeen. Työnhakijan on oltava tietoinen siitä, että tietojen antaminen on lähtökohtaisesti vapaaehtoista.

Vähintään 20 henkeä työllistäviä yrityksiä velvoittaa yhteistoimintalain (334/2007) 15 §:n säännös, jonka mukaan se, mitä tietoja työnhakijoista kerätään työhönoton yhteydessä, kuuluu yhteistoiminnassa käsiteltäväksi. Tietojen keräämisen on siis oltava suunnitelmallista toimintaa, jolle on luotu yleiset raamit, joita sitten sovelletaan yksittäisissä rekrytointitilanteissa.

Työelämän tietosuojalain 3 § asettaa kerättäville tiedoille tarpeellisuusvaatimuksen, josta ei voi poiketa työnhakijan suostumuksella. Sen mukaan työnantaja saa käsitellä vain välittömästi työsuhteen kannalta tarpeellisia henkilötietoja. Tällaiset tiedot ovat niitä, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai johtuvat työtehtävien erityisluonteesta. Työnhakijalta hakuilmoituksessa, lomakkeella tai haastattelussa kysyttävät kysymykset on rajattava koskemaan ainoastaan niitä tietoja, jotka liittyvät olennaisesti haettavan työtehtävän hoitamiseen ja ilmoitettuihin
hakukriteereihin.

Tarpeellisuuden punninta on tapauskohtaista. Esimerkiksi hakijan terveydentilaa koskevia tietoja ei tule tiedustella yksityiskohtaisesti vaan kysyä ainoastaan, onko hakijan terveydentilassa sellaista, mikä rajoittaisi häntä hoitamasta haettavia työtehtäviä. Toisaalta vaikka tieto hakijan perhesuhteista ei useimmissa tapauksissa kuulu tarpeellisiin tietoihin, voi esimerkiksi sellaisissa tehtävissä, joihin liittyy ulkomaankomennuksia, työnantajan olla syytä tietää hakijan perhesuhteista tarvittavien järjestelyjen vuoksi.

Huomioi kielletyt syrjintäperusteet

Rajan kerättäville tiedoille asettaa tietosuojasääntelyn ohella myös muu sääntely, kuten yhdenvertaisuuden vaatimus ja syrjinnän kielto. Oikeuskäytäntö on osoittanut, että esimerkiksi haastattelutilanteen sanomisten ja kysymysten tulkitsemiselle syrjinnäksi on matala kynnys. Syrjinnän toteaminen ei edellytä työnantajan tahallisuutta tai tuottamusta.

Oikeuskäytäntö on osoittanut, että esimerkiksi haastattelutilanteen sanomisten ja kysymysten tulkitsemiselle syrjinnäksi on matala kynnys.

Näin ollen haastattelijan on hyvä valmistautua haastattelutilanteeseen huolellisesti käymällä läpi ne kysymykset, joita haastateltavalta on hyvä kysyä ja ne, jotka ovat kiellettyjen listalla. Haastateltavalta ei kannata udella tietoja, jotka liittyvät yhdenvertaisuuslain (1325/2014) 3 luvun 8 §:ssä lueteltuihin kiellettyihin syrjintäperusteisiin, kuten ikään, alkuperään, kansalaisuuteen, uskontoon, poliittiseen toimintaan, seksuaaliseen suuntautumiseen tai muuhun kiinteästi henkilöön, hänen osaamiseensa tai koulutustaustaansa liittyvään seikkaan.

On kuitenkin loputtomasti hyviä kysymyksiä, jotka ovat täysin sallittuja ja perusteltuja haastattelussa. Sellaiset voivat liittyä esimerkiksi työnhakijan motivaatioon, työelämätaitoihin ja luonteenpiirteisiin. Haastattelun lisäksi työnantaja voi käyttää soveltuvuusarvioinnissa erilaisia tehtäviä, testejä ja simulaatioita. Myös niiden on täytettävä syrjimättömyyden kriteerit ja työelämän tietosuojalain 13 §:ssa asetut vaatimukset menetelmien luotettavuudesta.

Lisäselvitykset työtehtävän ja turvallisuustarpeen mukaan

Jos haettu työtehtävä ja organisaation turvallisuustarve sitä edellyttävät, työtehtävään valitusta voidaan hänen luotettavuutensa selvittämiseksi kerätä laajempia tietoja, kuten luottotietojen tarkistus, huumausainetesti, rikostaustan selvitys tai turvallisuusselvitys. Kyseisistä selvityksistä ja niiden edellytyksistä säädetään tarkemmin työelämän tietosuojalain ohella muun muassa luottotietolaissa (527/2007), rikosrekisterilaissa (770/1993) ja turvallisuusselvityslaissa (726/2014).

Henkilöluottotietojen tarve voi tulla kysymykseen esimerkiksi asiakasyritysten tai oman yhtiön maksuliikennettä hoitavan kirjanpitäjän tehtävään valitulta. Työelämän tietosuojalain 5 a §:n mukaan työnantajalla on oikeus tarkistaa tehtävään valitun henkilöluottotiedot, kun työtehtävä edellyttää erityistä luotettavuutta ja sen olennaisena osana on käsitellä merkittävää määrää rahaa tai sen hoitamiseksi työntekijälle annetaan pääsy tietojärjestelmiin, joiden avulla voidaan siirtää työnantajan tai
tämän asiakkaan varoja tai muuttaa niihin liittyviä tietoja.

Niin ikään huumausainetestin teettäminen on nähty perusteltuna kirjanpitotehtäviin valitulta tämän suostumuksella. Työelämän tietosuojalain 7 §:n mukaan työnantaja voi ottaa huumausainetestiä koskevan todistuksen vastaan silloin, kun työtehtävät edellyttävät tarkkuutta, luotettavuutta, itsenäistä harkintakykyä tai hyvää reagointikykyä. Näiden lisäksi jonkin pykälässä listatun edellytyksen tulee täyttyä. Kirjanpitotehtävissä kysymykseen voivat tulla kohdat 5 ja 6, jotka koskevat työtehtävissä saatujen tietojen suojaa, liikesalaisuuksia ja työnantajalle tai tämän asiakkaalle aiheutuvia vähäistä suurempia taloudellisia vahinkoja.

Rekisterinpitäjä ja tietojen käsittelijä yhteisvastuussa

Kuten todettu, rekisterinpitäjä eli rekrytoija on viime kädessä vastuussa työnhakijan henkilötietojen käsittelyn lainmukaisuudesta. Tietojen käsittelijä on myös yhteisvastuussa rekisteröidylle mahdollisesti aiheutuneesta vahingosta ja sen korvaamisesta.

Tietosuojasääntelyn rikkomisesta voi vahingonkorvausten ohella seurata GDPR-asetuksen mukainen hallinnollinen seuraamusmaksu. Erillisistä hyvityksistä ja rangaistuksista henkilötietojen käsittelyyn sekä syrjintään liittyen säädetään yhdenvertaisuuslaissa, tasa-arvolaissa (609/1986), työelämän tietosuojalaissa, tietosuojalaissa ja rikoslaissa (39/1889).

Tarja Anunti luennoi ensi kesänä Taloushallintoliiton kesäpäivillä tilitoimistojen rekrytoinnin käytännöistä ja juridiikasta. Seuraa ilmoittelua.

Asiantuntijana
Tarja Anunti lakiasiantuntija, HR & talous, Linnunmaa Lex Oy
Katso kaikki