DataVie logo
Blog -> 12 viga töötajate värbamisel GDPR-i vaates

12 viga töötajate värbamisel GDPR-i vaates

Piia Laks-Järve, Kaisi Udumäe · 15. jaan 2024

Kui nn mees-ja-koer-tüüpi ettevõtted välja jätta, siis eelduslikult ei ole ühtegi ettevõtet, kes ei puutuks oma igapäeva tegevuses kokku uute töötajate värbamisega. Teadlikkus, läbipaistvus, järjepidevus (dokumenteerimine) ja turvalisus võiksid olla iga ettevõtte baasväärtused. Niisamuti moodustub neist andmekaitseline hügieen. Viimane on muutumas järjest olulisemaks mõõdupuuks ihaldusväärsema tööandja kuvandis.

Värbamistarkvara Recrur asutaja Marit Alaväli on võtnud oma südameasjaks tõsta ka üleüldist värbamise kvaliteeti Eestis ning seekord on fookusesse võetud andmekaitse, kuna kandidaatide andmete väärtustamine annab tööturul eelise talentide leidmisel. Andmekaitseteenust pakkuva DataVie asutaja ning andmekaitsespetsialist Piia Laks-Järve koondas Recruri palvel kokku peamised andmekaitselised kitsaskohad värbamisprotsessis:

  1. Puudub värbamisprotsess. Unustame korraks bürokraatliku termini “protsess” ja vaatame selle tegelikku sisu ja eesmärki. Ettevõtte, kel on värbamine algusest lõpuni põhjalikult läbi mõeldud, alustades ametikoha profiili kirjeldusest ja töökuulutuse tekstist, lõpetades eitava vastuse andmisega, mõistab, et esmamuljet saab jätta vaid ühe korra. Kahjuks on tänini liigagi sage olukord, kus kandideerijad panustavad oma aega n-ö nulltagasisidega mutiauku. Enamik meist on paraku seda negatiivset tunnet kogenud ning just kokku lepitud protsessid aitavad tagada kvaliteetse värbamise ning ühes sellega loovad eelduse GDPR nõuete paremaks tagamiseks. 

  2. Puudub ülevaade andmetöötlusest. Selleks, et omada ülevaadet värbamisel kogutavatest isikuandmetest ja nende töötlemisest on vajalik (ka seadus nõuab seda ning Andmekaitse Inspektsioon võib selle igal hetkel välja küsida) andmetöötlus kaardistada. Juba töökuulutuses palutud isikuandmed kandideerimiseks (nt kasvõi CV-s esitatud telefoninumber) on isikuandmete kogumine, millest võib kandideerijal tekkida hulk jätkuküsimusi: kuhu andmed lähevad, kes neile ligi saab, kuhu salvestatakse, kui kaua säilitatakse jne. Kaardistatud andmetöötlus just need vastused annabki ja/või toob välja, kus on puudujäägid. Lühidalt tekib teadlikkus ning vastavalt sellele võimalus olukorda parendada. Näiteks selgub, et kogutud andmetele pole määratud säilitustähtaegu. Viimane pole mõistlik mitmest aspektist – kui seadusele mittevastavus välja jätta, siis pole ju mõistlik lõputult digiprügi kuhjata või suurendada andmekogumeid ning seega tõsta riski küberrünnakute ja andmelekete suuruse osas. 

  3. Õigustatud huvi analüüs(id) on tegemata. Andmetöötluse ülevaates tuleb määrata ka andmete kogumise õiguslik alus. Värbamisel on selleks enamasti “õigustatud huvi”. Õigustatud huvi alusel andmete töötlemiseks on aga vajalik läbi viia õigustatud huvi analüüs, kus kaalutakse mõlema osapoole (värbaja ehk ettevõte ja kandideerija kui andmesubjekt) huve ning kirjeldatakse andmekogumise plusse ja miinuseid. Kokkuvõttes annab analüüs vastuse, kas tööandja huvid kaaluvad ülesse kandideerija huvid või põhiõigused ja vabadused. Näiteks lasteaiakasvataja värbamisel tundub pigem õigustatud karistusregistrist andmeid pärida, kuid maksevõimepäring laotöötaja osas ei pruugi olla õigustatud. Seega ka kõikvõimalikud taustakontrollid peaksid olema põhjendatud ja õigustatud lähtuvalt ametikohast ja selle spetsiifikast. Tööandja peab olema valmis, et vastav analüüs küsitakse välja kandideerija või Andmekaitse Inspektsiooni poolt.

  4. Kopeerid teise sarnase ettevõtte privaatsusteateid. Privaatsusteadete koostamine ja avaldamine on samuti seadusega ettenähtud kohustus, mis annabki kandideerijale üksikasjalikud vastused, kuidas tema andmeid värbamise käigus töödeldakse: mis eesmärgil, mis õiguslikul alusel, mis andmeid kogutakse ja töödeldakse, kellele edastatakse, kaua säilitatakse jne. Selguse ja läbipaistvuse tagamiseks on mõistlik teha eraldi privaatsusteated värbamisele. Teadmatusest tundub heaks lahenduseks teha copy-paste teise sarnase ettevõtte privaatsusteadetest ja neid kosmeetiliselt kohandada. Kuid selline teguviis pole asjakohane, sest privaatsusteated põhinevad justnimelt eelnevalt välja toodud andmetöötluse ülevaatel (vt punkt 2), mis on igal ettevõttel pigem unikaalne.

  5. Töökuulutuses puudub viide privaatsusteadetele. Korrektne on juba töökuulutusse lisada link või viide privaatsusteadetele. See tagab selle, et kandideerijal on võimalik enne oma andmete edastamist tutvuda isikuandmete töötlemise tingimustega. Näiteks kui ettevõte teostab värbamise raames taustakontrolli, siis vastav info on privaatsusteadetes ning kandideerija oskab sellega arvestada. Kindlasti on privaatsusteadete olemasolu kandideerijatele ka vihje võimaliku tööandja andmekaitselisest küpsusest ning töökultuurist tervikuna.

  6. Usud oma värbamispartneri kinnitust „vastan GDPR-le”, selles ise veendumata. Alustame lihtsast näitest, hiljutise Asper Biogene andmelekke näitel oli Asperil 42 partnerit, kes suure tõenäosusega olid nn vastutavad andmetöötlejad ning Asper ise volitatud andmetöötleja ehk geenitestide tellimuse täitja. Patsient/klient/andmesubjekt usaldas oma andmed meditsiiniasutusele, kellele Asper teostas geeniteste ehk tegi nn alltöövõttu. Tekib küsimus, kas nimetatud 42 partnerit teadsid kuidas Asper Biogene niivõrd tundlike andmeid töötles. St kui ettevõte kasutab värbamisprotsessis personaliagentuuri abi või hoopis mõnda tarkvar, siis tuleb vastutaval töötlejal veenduda, et tema partner vastab samuti GDPR nõuetele.

  7. Puudub andmekaitseleping värbamisagentuuri või -tarkvara pakkuva ettevõttega. Andmekaitselepingud reguleerivad partnerlussuhte ning annavad mõlemale osapoolele nii õigusselguse kui ka teadlikkuse ootustes GDPR nõuete täitmise osas. Andmekaitselepingu puudumisel vastutab rikkumise eest andmete vastutav töötleja.

  8. Unustad, et oled andnud tähtajatuid ligipääse isikuandmetele. Ettevõttes võib olla turvapoliitika puudulik – protsessid pole paigas, turvameetmed on läbimõtlemata ning dokumenteerimata. Näiteks antakse ligipääs (sh isikuandmetele) oma partnerile värbamisagentuurist, kuid see jääb protsessiliselt ja tehniliselt reguleerimata. Harvad ei ole juhused, kus koostööleping partneriga on läbi, kuid ligipääsud on eemaldamata.

  9. Saadad suures mahus isikuandmeid meili teel. Ettevõtetel ja personaliosakondadel, kel pole kasutusel värbamistarkvara võib tekkida mahukaid Exceleid kandideerinute isikuandmetega, mida jagatakse ettevõttesiseselt justnimelt meili teel. Kui mõne isikukoodi vms saatmine e-posti teel ei ole väga riskantne, siis suures mahus isikuandmeid ei ole mõistlik sedasi vahendada. Siin on lahenduseks nt värbamistarkvara, krüpteerimine või turvakettad piiratud ligipääsudega. Keegi pole selle eest kaitstud, et tähelepanematusest läheb meil valele inimesele – nt kui ettevõttes on tööl mitu sama eesnimega töötajat ja meilisüsteem pakub mõnda tähte sisestades automaatselt võimalikud adressaadid välja.

  10. Küsid tagasisidet eelmiselt tööandjalt töötaja nõusolekuta. Arusaadavalt on kiusatus uurida kandideerija tausta ka eelmiselt tööandjalt, mis on üldtuntud, kuid ajapuudusel tihti alakasutatud praktika. Tuleb aga teada, et vastav tegevus eeldab nii kandideerija kui eelneva tööandja kontaktisiku nõusolekut. Siinkohal on vajalik markeerida, et kui CV-sse on lisatud soovitajad, siis peaks ka kandideerijal olema vastav nõusolek soovitajalt.

  11. Sa ei soovi või pole võimeline väljastama kandideerijale tema kohta kogutud andmeid. Õiguslikult on kõik selge – kandideerijal on õigus küsida ja talle tuleb väljastada kõik tema kohta värbamisel kogutud andmed. Alustades kandideerimiseks vajaliku kontaktinfoga, lõpetades taustakontrolli vastuse või ka märkmetega, mida vestluse käigus personalispetsialist oma tööarvutis teeb. Kandideerijal on õigus ka teada, mis registritesse taustakontrolli käigus päringuid tehti ning mis vastused sealt saabusid. Kandideerijale ei saa ju tulla üllatusena, et teda on nt kriminaalkorras karistatud varguse eest, ometigi näib, et antud infot pigem proovitakse inimese enda eest “varjata”. 

  12. Säilitad kandideerijate andmeid tähtajatult, st kauem kui aasta. Seadus annab tööandjale õigustuse säilitada kandideerinute andmeid kuni aasta. Eelkõige tuleneb see vajadus võimalikest vaidlustusjuhtumitest, mis annab tööandjale võimaluse ennast n-ö kaitsta. Huvi hoida andmeid kauem kui aasta tuleneb aga eelkõige tööandjate soovist säilitada tugevate kandidaatide andmeid, kellega saaks kontakteeruda uue sobiva positsiooni avanedes. Harvem ka sarikandideerijate märgistamiseks, kuid nn musta nimekirja koostamine pole lubatud asjakohase õigustatud huvi analüüsita. Kokkuvõttes võib kandideerinute andmeid säilitada ka kauem kui aasta, kuid selleks tuleb võtta inimese nõusolek, soovitavalt taasesitatavas vormis. Samuti peab tagama inimesele võimaluse iga ajal oma nõusolek tagasi võtta, misjärel tuleb andmed kustutada.

Marit Alaväli on veendunud, et värbamine kujundab esmamulje ettevõttest ning tegelikkuses on see esimene ja lahutamatu osa töötaja elukaarest ja tööandja mainest. Isegi kui konkurssidel on enamasti kohti vaid ühele, siis üks nutikas värbaja ning tööandja mõistab, et valituks mitte osutunud kandidaadid võivad olla võimsaks tööriistaks tulevikus. DataVie asutaja ning andmekaitsespetsialist Piia Laks-Järve hinnangul tuleks värvata nii, et ka mittevalituks osutunud meenutaksid konkurssi hea sõnaga ning tooksid konkursi professionaalsuse ka andmekaitse seisukohast teistele eeskujuks.

 

Artikkel ilmus Äripäevas