Rekrytointiin ja työsuhteen solmimiseen liittyy suuria tunteita – innostusta uudesta työpaikasta tai kollegasta taikka pettymystä siitä, että jälleen kerran saa viestin ”valitettavasti valintamme ei tällä kertaa kohdistunut sinuun”. Tunteet ja juridiikka nivoutuvat usein yhteen: mitä paremmin hakija tuntee tulevansa kohdelluksi, niin sitä harvemmin rekrytointi johtaa riitaan. Hyvä hakijakokemus on siis myös juridisten riskien minimointia!

Alla muutamia keskeisiä asioita, joita rekrytointiprosessissa tulee juridisesti huomioida.

Työpaikkailmoitus

Yhdenvertaisuuslain mukaan ketään ei saa syrjiä iän, etnisen tai kansallisen alkuperän, kansalaisuuden, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden, sukupuolisen suuntautumisen tai muun henkilöön liittyvän syyn perusteella. Tasa-arvolain mukaan työpaikkaa ei saa ilmoittaa vain joko naisten tai miesten haettavaksi, jollei tähän ole työn tai tehtävän laadusta johtuvaa painavaa ja hyväksyttävää syytä. Kiellettyä olisi hakea IT-tukihenkilöksi miestä tai edellyttää siivoojalta täydellistä suomen kielen suullista ja kirjallista hallintaa. Sallittua sen sijaan olisi edellyttää mallin työtä hakevalta valokuvaa sekä edellyttää uutistenlukijalta täydellistä suomen kielen suullista ja kirjallista hallintaa.  

Työpaikkailmoituksen sanamuotoja valittaessa ja erityisesti hyperkohdennettua digitaalista työpaikkamainontaa käytettäessä olisi hyvä kriittisesti tarkastella sitä, johtaako sanamuodot tai kohdentaminen olemassa olevien stereotypioiden vahvistumiseen vai monimuotoisuuden lisääntymiseen.

Hakulomakkeet

Hakulomakkeita laadittaessa tulisi pyrkiä ohjaamaan työnhakijaa antamaan vain avoimen työtehtävän kannalta tarpeellisia tietoja. Lisäksi tulee huolehtia tietosuoja-asetuksen mukaisesta läpinäkyvästä informoinnista eli esimerkiksi linkittää hakulomakkeessa rekrytointia koskevaan tietosuojaselosteeseen. Tietosuojaselosteessa tulee kuvata mm. rekisterinpitäjän identiteetti, käsiteltävät tietoryhmät ja tietolähteet, tietojen käsittelytarkoitukset, perusteet ja säilytysaika sekä rekisteröidyn oikeudet.

Tiedonhaku

Tietosuoja-asetus ei aseta rajoitteita eri tietolähteiden käytölle edellyttäen, että henkilötietojen käsittelyn yleisiä periaatteita, kuten tarpeellisuus- ja minimointiperiaatteita sekä informointivelvoitteita, noudatetaan. Suomalaisen työelämän tietosuojalain mukaan henkilötietoja saa kuitenkin kerätä ensi sijassa vain työnhakijalta itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työnhakijalta itseltään, työnhakijalta on hankittava suostumus tietojen keräämiseen. Tietosuojavaltuutettu on esimerkiksi suhtautunut kielteisesti työnhakijan googlaamiseen.

Työhaastattelu

Työnhakijalta voidaan kysyä vain haettavan työn kannalta tarpeellisia tietoja. Haastattelussa tulisi keskittyä selvittämään hakijan ammatillisia edellytyksiä työkokemuksen, koulutuksen ja ydinosaamisen osalta. Kysymysten esittäminen perhetilanteesta, poliittisesta vakaumuksesta, sukupuolisesta suuntautumisesta tai vastaavista arkaluonteisista aiheista voi johtaa syrjintäepäilyyn. Ole siis tarkkana kysymysten muotoilun kanssa: esimerkiksi sen sijaan, että kysyisit, onko hakijalla lapsia voit tiedustella sitä, pystyykö hakija työtehtävien edellyttämin tavoin matkustamaan ulkomaille säännöllisesti.

Valintapäätös

Työnantajalla on oikeus valita tehtävään parhaaksi katsomansa henkilö. Hakijaa ei saa kuitenkaan syrjäyttää esimerkiksi raskauden tai seksuaalisen suuntautumisen tai muulla epäasiallisella perusteella. Kun työnhakijoina on sekä naisia että miehiä, työnantajan on tehtävä ansiovertailu. Soveltuvuus tai sopivuus voi olla hyväksyttävä syy valita tehtävään vähemmän ansioitunut hakija, mutta tärkeää on, että työnantaja osoittaa tosiasiallisesti punninneensa valituksi tulleen ja valitsematta jääneen kykyjä ja ominaisuuksia keskenään. Määrittele siis etukäteen valintakriteerit, joita voi käyttää ansiovertailun ja soveltuvuuden arvioinnin pohjana, ja mm. kirjaa testeihin tai haastatteluihin liittyvät huomiot hakijan ominaisuuksista. Muista, että ominaisuuksien, joihin valinnassa vedotaan, tulee olla merkityksellisiä haettavana olevan tehtävän hoitamisen kannalta.

Blogi toteutettu yhteistyössä Rekrytointiakatemian kanssa, https://www.rekrytointiakatemia.fi/juridiikka/rekrytoinnin-juridiset-sudenkuopat/

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Saksalainen verkkokauppa, Fashion ID, integroi verkkosivustolleen Facebookin tykkäysnapin. Käytännössä verkkosivun kävijän tietoja, kuten tietoa selaimesta ja IP-osoitteesta, välitetään Facebookille, vaikka nappia ei painaisi. Kun dataa käsiteltiin ilman, että Fashion ID:n verkkosivun käyttäjä asiasta tiesi tai siihen suostui, asia päätyi Euroopan unionin tuomioistuimen käsiteltäväksi.

Tuomioistuimen heinäkuun lopulla antaman ratkaisun mukaan Fashion ID on tietosuoja-asetuksen tarkoittama yhteisrekisterinpitäjä Facebookin kanssa siltä osin kuin dataa kerätään ja välitetään Facebookille sen verkkosivuston kautta. Sen ei kuitenkaan tarvitse ottaa vastuuta datan myöhemmästä käsittelystä Facebookin osalta – siitä vastaa yksin Facebook.

Tuomioistuin edellyttää, että Fashion ID informoi sen sivuston käyttäjiä datan keruusta ja välittämisestä Facebookille sillä hetkellä, kun dataa kerätään eli käytännössä välittömästi verkkosivuston avaamisen yhteydessä.

Tuomioistuin jätti avoimeksi sen, vaatiiko verkkosivustolle integroitujen liitännäisten käyttö käyttäjän suostumuksen vai voisiko se perustua muuhun tietosuoja-asetuksen mahdollistamaan käsittelyperusteeseen, kuten oikeutettuun etuun. Tämä merkittävä kysymys jäi saksalaisen tuomioistuimen pohdittavaksi. Tuomioistuin kuitenkin totesi, että jos käsittely perustuu suostumukseen, tulee verkkosivuston pyytää etukäteinen suostumus siltä osin kuin se on yhteisrekisterinpitäjä (datan keruu ja välittäminen Facebookille). Jos taas käsittely perustuisi oikeutettuun etuun, tulisi sekä Fashion ID:n että Facebookin täyttää edellytykset eli käsittelyn tulee olla tarpeen oikeutetun edun saavuttamiseksi ja ns. tasapainotestillä tulee varmistaa, etteivät rekisteröidyn edut ja oikeudet syrjäytä ko. oikeutettua etua. Tämä voi käytännössä olla hyvin vaikea tehtävä.

On harmillista, ettei tuomioistuin ottanut tarkemmin kantaa käsittelyperusteeseen, mutta joka tapauksessa mielenkiintoista on nähdä, miten käsittelyperustetta koskeva arviointi tehdään. Käytännössähän tykkäysnapin toimintalogiikka on pitkälti sama kuin evästeillä ja, kuten kerroin edellisessä blogitekstissäni, esimerkiksi UK:n tietosuojaviranomaisen ICO:n kanta on, että evästeiden avulla kerättyjen tietojen myöhempi käyttö olisi perustettava suostumukseen, eikä oikeutettu etu olisi tähän soveltuva käsittelyperuste. Tällainen rinnastus vaikuttaisi loogiselta, mutta jää nyt vastaisen tuomioistuinkäytännön varaan.

Mielenkiintoista ratkaisussa on myös se, voiko tulkintaa jaetusta yhteisrekisterinpitäjän vastuusta laajentaa koskemaan myös adtech-toimialaa yleisesti. Tällä hetkellä useat adtech-palveluntarjoajat nimeävät itsensä itsenäisiksi rekisterinpitäjiksi julkaisijan ohella (”co-controller”, ei lainsäädännön viittaama yhteisrekisterinpitäjä, ”joint controller”), vaikka eittämättä osa käsittelystä tapahtuu siten, että sekä verkkosivuston julkaisija että adtech-firma määrittävät datan käsittelyn tarkoitukset ja keinot. Ratkaisulla voi siis olla merkittäviä vaikutuksia sopimussuhteisiin yhteisöliitännäisten käytön ohella.

Verkkosivuston julkaisijana tee ainakin nämä:

• Päivitä verkkosivustosi tietosuojaseloste, ja kuvaa siellä yhteisöliitännäisten, kuten Facebookin tykkäysnapin datankeruu ja siihen liittyvä datan välittäminen kolmannelle osapuolelle, kuten Facebookille. Kerro, että olet yhteisrekisterinpitäjä Facebookin kanssa. Muista, että jo aiemmin on katsottu, että julkaisija on yhteisrekisterinpitäjä Facebookissa olevan fanisivunsa osalta.

• Valmistaudu tekemään ”keskinäinen järjestely” Facebookin kanssa yhteisrekisterinpitäjyydestä. Tästä järjestelystä – joka on useimmiten sopimus yhteisrekisterinpitäjyydestä – on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla. Oletettavaa on, että Facebook julkaisee tämän järjestelyn tekstit pian sivustollaan.

• Seuraa markkinakäytäntöä ja mahdollisia viranomaissuosituksia tai -ratkaisuja muiden yhteisöliitännäisten, kuten Twitterin, LinkedInin tai Pinterestin, osalta. On mahdollista, että käyttäjän tulisi kirjautua sisään sosiaalisen median tililleen tai tehdä jokin muu aktiviinen toimenpide, jolla hän hyväksyy datan keruun ja välittämisen julkaisijan sivuston kautta sosiaalisen median yritykselle.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Eurooppalaiset tietosuojaviranomaiset ovat kesän aikana kiinnittäneet erityistä huomiota adtech-toimialaan ja nimenneet sen erääksi painopistealueekseen.

Iso-Britannian tietosuojaviranomainen, ICO, julkaisi kesäkuussa raportin digimainonnan reaaliaikaisesta ostamisesta ja myynnistä, ns. real-time biddingistä. ICO on huolissaan erityisten tietoryhmien, kuten terveydentilan, etnisen alkuperän tai seksuaalisen suuntautumisen, käsittelystä sekä tiedon jakamisesta ohjelmallisen mainonnan ketjussa mahdollisesti satojen toimijoiden kesken. ICO:n Simon McDougall toi raportin julkaisun jälkeen antamassa puheessaan selvästi esiin sen, että adtech-toimialan tulee ottaa pää pensaasta ja muuttaa toimintatapojaan yksityisyydensuojan kunnioittamiseksi ja tietosuoja-asetuksen noudattamiseksi.

ICO myös uudisti evästeohjeistuksensa. Ohjeistuksen mukaan evästeiden asettaminen edellyttää käyttäjän antamaa vapaaehtoista suostumusta, ts. verkkosivustolle pääsyä ei voisi asettaa ehdolliseksi sille, että käyttäjä antaa suostumuksensa evästeiden asettamiseen (ns. cookie wall). ICO myös näyttäisi suhtautuvan kielteisesti siihen tulkintaan, että evästeillä kerätyn datan myöhempi käyttö esimerkiksi profilointiin tai mainonnan kohdentamiseen voisi perustua suostumuksen sijaan toiseen tietosuoja-asetuksen mahdollistamaan käsittelyperusteeseen, kuten oikeutettuun etuun.

Ranskan tietosuojaviranomainen, CNIL, julkaisi kesäkuussa toimintasuunnitelman kohdennetun mainonnan osalta todeten samalla, että sen vuonna 2013 julkaisema ohjeistus evästeistä ei tietosuoja-asetuksen voimaantultua ole enää pätevä. Heinäkuussa julkaistun uuden evästeohjeistuksen mukaan evästeiden asettaminen edellyttää suostumusta, joka on annettu aktiivisin toimenpitein esimerkiksi nappia painamalla, ei esimerkiksi verkkosivuston käyttöä jatkamalla tai selainasetusten avulla. Suostumuksen tulee perustua riittävään informaatioon (mukaan lukien rekisterinpitäjien identiteetti sekä evästeiden käyttötarkoitukset) ja se pitää voida antaa jokaista käyttötarkoitusta varten erikseen. Lisäksi suostumus pitää pystyä myöhemmin todentamaan ja olla käyttäjän helposti peruutettavissa. Evästeiden elinkaari on rajattava korkeintaan 13 kuukauteen. Ohjeistusta tullaan myöhemmin tarkentamaan käytännönläheisin esimerkein.

CNIL ja ICO ovat pitkälti yhdenmukaisia kannanotoissaan, mutta esimerkiksi analytiikkaevästeiden osalta ICO suosittaa perusteeksi suostumusta, kun taas CNIL pitää analytiikkaevästeiden rajattua käsittelyä sallittuna, jos käyttäjälle annetaan riittävät tiedot niiden käytöstä ja mahdollisuus niiden käytön vastustamiseen.

Digitaalisen mainonnan etujärjestö, IAB Europe, on kannanotossaan kertonut tukevansa tietosuojaviranomaisten työtä ja jatkavansa koko toimialan kattavan yhteisen suostumustenhallintamekanismin, Transparency and Consent Frameworkin, kehittämistä.

Koska kohdennetun mainonnan ekosysteemi edellyttää toimijoilta yhteistyötä ja tietosuoja-asetus tähtää lainsäädännön ja täytäntöönpanon harmonisointiin, myös suomalaisten yritysten kannattaa seurata niin toimialan yhteisten suostumusmekanismien kehittämistä kuin eurooppalaisten tietosuojaviranomaisten ohjeistuksia ja ratkaisuja. Parhaillaan on käynnissä muun muassa Irlannin tietosuojaviranomaisen tutkinta Googlea kohtaan. Myös Suomessa voidaan odottaa ensimmäisiä ratkaisuja, kun tietosuojavaltuutetusta ja apulaistietosuojavaltuutetuista koostuva seuraamuskollegio aloittaa työnsä tänään.

Seurannan lisäksi on myös syytä ryhtyä toimeen: digimainontaa harjoittavien yritysten kannattaa tutkia kriittisesti muun muassa datan jakamisen käytäntöjään, käyttämiään kumppaneita sekä kuluttajille annettua informaatiota. Tietosuoja-asetuksen dokumentointivelvoitteiden johdosta olisi myös syytä kirjata yhteistyö kumppanien kanssa sopimusten muotoon sekä laatia – kokemustemme mukaan pahasti laiminlyötyjä – tietosuojaa koskevia vaikutustenarviointeja. Autamme tässä työssä mielellämme.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.