Henkilötietojen käsittely HR-osastolla GDPR:n voimaantulon jälkeen

Palvelus

Työntekijöitä koskevien tietojen keruun myötä henkilötietojen suojasta on tullut jokaiselle työnantajalle olennaista. Sitä ei edellytä vain ammattitaidolla, vaan myös lakisäännöksillä, jotka antavat yrittäjälle henkilötietojen ylläpitäjän roolin. 25.5.2018 astuivat voimaan GDPR ja uusi henkilötietojen suojalaki, jotka asettavat uusia velvoitteita rekisterinpitäjille. Mitä työnantajien tulisi muistaa? Miltä henkilötietojen käsittely näyttää? Keskustelemme alla.

Työnantaja henkilötietojen ylläpitäjänä

Keräämällä työntekijöiden ja työnhakijoiden tietoja työnantaja toimii henkilötietojen ylläpitäjänä, joten pykälän mukaan. Henkilötietojen suojasta 29. elokuuta 1997 annetun lain 36 §:n mukaan on velvollinen:

1) soveltaa teknisiä ja organisatorisia toimenpiteitä käsiteltävien henkilötietojen suojaamisen varmistamiseksi uhkien ja suojattujen tietoluokkien mukaisesti ja erityisesti tietojen suojaamiseksi luvattomalta pääsyltä, luvattomalta poistamiselta ja lain vastaiselta käsittelyltä, sekä muuttaminen, katoaminen, vahingoittuminen tai tuhoutuminen;

2) säilyttää asiakirjat, joissa kuvataan tietojenkäsittelytapa ja henkilötietojen suojan turvaavat toimenpiteet.

Perustuu artikkeliin. Edellä mainitun lain 36a §:n mukaan rekisterinpitäjän toimivaltaan kuuluu tietoturvavastaavan nimeäminen. Mikäli tietoturvavastaavan nimeäminen epäonnistuu, hänen tehtävänsä hoitaa tietosuojavastaava. Näitä tehtäviä ovat:

1) varmistaa henkilötietojen suojaa koskevien säännösten noudattaminen, erityisesti:

a) tarkistaa, onko henkilötietojen käsittelyssä henkilötietojen suojaa koskevia säännöksiä noudatettu, ja laatia asiasta selvitys rekisterinpitäjälle,

b) valvoa 11 §:ssä tarkoitettua tietojenkäsittelytapaa kuvaavan dokumentaation kehittämistä ja päivittämistä. 36 sek. 2 ja siinä annettujen sääntöjen noudattaminen,

c) varmistaa, että henkilötietojen käsittelyyn valtuutetut henkilöt perehtyvät henkilötietojen suojaa koskeviin säännöksiin;

2) rekisterin pitäminen rekisterinpitäjän käsittelemistä tiedostoista.

Henkilötietojen oikeudellinen käsittely HR-osastolla

Art. 6 GDPR:n mukaan henkilötietojen käsittely on laillista, kun seuraavat ehdot täyttyvät:

1. rekisteröity on antanut suostumuksensa tietojen käsittelyyn;

2.Tietojen käsittely on tarpeen:

  • sopimuksen täytäntöönpano tai toimenpiteiden toteuttaminen ennen sen tekemistä;

  • lakisääteisen velvoitteen täyttäminen;

  • rekisteröidyn tai muun luonnollisen henkilön elintärkeiden etujen suojaaminen;

  • yleisen edun mukaisen tehtävän suorittaminen tai julkista valtaa käytettäessä;

  • oikeutetuista eduista johtuviin tarkoituksiin.

Tästä syystä tehtävään hakijoiden tulee ilmoittaa suostumuksensa henkilötietojen käsittelyyn rekrytointiprosessissa.

On syytä korostaa, että GDPR-asetus otti käyttöön minimalismin periaatteen, jonka mukaan henkilötietojen käsittely on sallittua siinä laajuudessa kuin se on tarpeen. Henkilötietojen kerääminen "ennakolta" on kielletty.

Tästä syystä työnantaja ei voi rekrytoinnin päätyttyä säilyttää sen henkilön CV:tä, jota hän ei tämän vuoksi palkannut. CV-tietokannan rakentamista mahdollista rekrytointia varten ei voida hyväksyä. Työnantaja voi käyttää saatua CV:tä jatkossa, jos ehdokas on siihen suostunut. Rekisteröity päättää, kuinka kauan HR-osasto voi käyttää tietoja.

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Esimerkki 1.

Työnantaja ilmoitti rekrytoinnista tehtävään. Hakija vastasi työpaikkailmoitukseen lähettämällä CV:n, mutta ei antanut suostumustaan ​​henkilötietojen käyttöön ja käsittelyyn rekrytointitarkoituksiin. Pitääkö työnantajan tällaisessa tilanteessa tuhota hakijan rekrytointiasiakirjat huomioimatta niitä?

Art. Työlain 221 §:n 1 momentin mukaan työnantajalla on oikeus vaatia työnhakijalta henkilötietoja, mukaan lukien:

1) etunimi (nimet) ja sukunimi;

2) vanhempien nimet;

3) syntymäaika;

4) asuinpaikka (kirjeenvaihtoosoite);

5) koulutus;

6) aikaisemman työsuhteen kulku.

Työnantajalla on oikeus käsitellä ehdokkaan henkilötietoja edellä mainitussa laajuudessa hänen suostumuksestaan ​​riippumatta. Henkilötietojen ylitarkastaja vahvisti tämän kannan huomauttaen, että "ehdokkaan suostumus hänen henkilötietojensa käsittelyyn ei ole välttämätön säännöksestä johtuvien tietojen laajuuden osalta. 22¹ KP. Tämä säännös on perusta sille, että mahdollinen työnantaja käsittelee työnhakijan henkilötietoja, mukaan lukien hänen nimensä (nimet) ja sukunimensä, vanhempien nimet, syntymäaika, asuinpaikka (postiosoite), koulutus ja aikaisemman työsuhteen kulku. Se on myös oikeusperusta art. 23 sek. Henkilötietojen suojasta 29. elokuuta 1997 annetun lain 1 kohta 2 (eli vuoden 2014 lakijulkaisu, kohta 1182 sellaisena kuin se on muutettuna). Toisaalta, jos työnhakija antaa rekrytointiasiakirjoissa enemmän tietoja kuin edellä mainitut lain säännökset edellyttävät, mahdollisen työnantajan suorittaman käsittelyn oikeusperusteena on kyseisen henkilön suostumus (eli 23 artiklan mukainen oikeusperusta). (1) (1) . Tällainen suostumus vaaditaan myös, jos tietoja ei käsitellä vain rekrytointitarkoituksiin, vaan myös esimerkiksi markkinointitarkoituksiin. Rekisteröidyn suostumuksella tarkoitetaan henkilötietojen suojasta annetun lain säännösten kannalta tahdonilmoitusta, jonka sisältö on suostumus henkilötietojen käsittelyyn ilmoitus; suostumusta ei saa implisiittisesti tai implisiittisesti sisältyä erisisältöisestä tahdonilmoituksesta. Henkilötietojen käsittelyn suostumuskaavan tulee muodostaa rekisteröidyn muista lausunnoista erillinen lausunto, ja sen sisällöstä tulee selvästi ilmoittaa, mihin tarkoitukseen, missä laajuudessa ja kuka käsittelee henkilötietoja. Suostumuksen vastaanottamisen yhteydessä tulee taata valinnaisuus, eli ilmoituksen tekijän tulee pystyä antamaan suostumus tiettyihin toimiin tai olla ilmaisematta sitä” (GIODO-päätös 23.1.2015, DOLiS / DEC 41/15/5125).

GDPR-tietovelvollisuudet

Rekrytointiprosessissa henkilöstöosaston tulee myös varmistaa tiedonantovelvoitteiden asianmukainen täyttäminen.

Perustuu artikkeliin. GDPR 13 §:n mukaan rekisteröidylle annetaan henkilötietoja kerätessään seuraavat tiedot:

  • hänen henkilöllisyytensä ja yhteystietonsa sekä tarvittaessa hänen edustajansa henkilöllisyys- ja yhteystiedot;

  • tarvittaessa tietosuojavastaavan yhteystiedot;

  • henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperusta;

  • tiedot henkilötietojen vastaanottajista tai vastaanottajaryhmistä, jos sellaisia ​​on;

  • ajanjakso, jonka henkilötietoja säilytetään, ja jos tämä ei ole mahdollista, perusteet tämän ajanjakson määrittämiselle;

  • tiedot oikeudesta pyytää rekisterinpitäjältä pääsy rekisteröityä koskeviin henkilötietoihin, oikaisua, poistamista tai käsittelyn rajoittamista tai oikeudesta vastustaa käsittelyä sekä oikeudesta siirtää tietoja;

  • tiedot oikeudesta peruuttaa suostumus milloin tahansa vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen peruuttamista;

  • tiedot oikeudesta tehdä valitus valvontaviranomaiselle;

  • tieto siitä, onko henkilötietojen toimittaminen lakisääteinen tai sopimukseen perustuva vaatimus tai ehto sopimuksen tekemiselle ja onko rekisteröidyllä velvollisuus toimittaa ne ja mitkä ovat mahdolliset seuraukset tietojen toimittamatta jättämisestä.

Jos henkilötietoja käsitellään rekrytointiprosessin yhteydessä, nämä tiedot voidaan sisällyttää työpaikkailmoitukseen.

Esimerkki tietolausekkeesta

Henkilötietoja käsitellään yksilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen vapaasta liikkuvuudesta 27 päivänä huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 säännösten mukaisesti. , ja kumotaan direktiivi 95/46/EY (GDPR).

Jokainen rekrytointiin osallistuva ehdokas antaa tietonsa vapaaehtoisesti. Rekrytointiprosessiin ei voi osallistua ilman vaadittuja henkilötietoja.

Tietolausekemalli

Rekisterinpitäjä ja hänen yhteystietonsa: osoite, puhelinnumero, sähköpostiosoite:

Yhteystiedot tietosuojavastaavaan: osoite, puhelinnumero, sähköposti:

Tietojen käsittelyn tarkoitus: rekrytointi työtehtävään

Tietoa tietojen vastaanottajista: Henkilötietoja käsittelee vain Rekisterinpitäjä, eikä niitä luovuteta kolmansille osapuolille tai yhteisöille.

Tietojen säilytysaika: aika, joka tarvitaan rekrytointiin työpaikkaan

Ehdokkaan oikeudet:

oikeus pyytää rekisterinpitäjältä pääsy tietoihin, oikaista ne, poistaa tai rajoittaa käsittelyä, vastustaa näiden tietojen käsittelyä sekä oikeus siirtää tietoja; tätä koskeva pyyntö voidaan lähettää edellä mainittuun rekisterinpitäjän yhteysosoitteeseen,

oikeus tehdä valitus valvontaviranomaiselle,

Tietojenkäsittelyn oikeusperusta: art. 221 työlain yhteydessä vitsi. 6 sek. 1 lit. c GDPR

Muut tiedot: annetut tiedot eivät ole automaattisen päätöksenteon perusta; niitä ei myöskään profiloida

Huomio! Tietojen saaminen tarjottavan työn hakijasta Facebookista tai edelliseltä työnantajalta on sallittua vain hakijan suostumuksella.