Kui nn mees-ja-koer-tüüpi ettevõtted välja jätta, siis eelduslikult ei ole ühtegi ettevõtet, kes ei puutuks oma igapäeva tegevuses kokku uute töötajate värbamisega. Teadlikkus, läbipaistvus, järjepidevus (dokumenteerimine) ja turvalisus võiksid olla iga ettevõtte baasväärtused. Niisamuti moodustub neist andmekaitseline hügieen. Viimane on muutumas järjest olulisemaks mõõdupuuks ihaldusväärsema tööandja kuvandis.
Värbamistarkvara Recrur asutaja Marit Alaväli on võtnud oma südameasjaks tõsta ka üleüldist värbamise kvaliteeti Eestis ning seekord on fookusesse võetud andmekaitse, kuna kandidaatide andmete väärtustamine annab tööturul eelise talentide leidmisel. Andmekaitseteenust pakkuva DataVie asutaja ning andmekaitsespetsialist Piia Laks-Järve koondas Recruri palvel kokku peamised andmekaitselised kitsaskohad värbamisprotsessis.
1. Puudub värbamisprotsess. Unustame korraks bürokraatliku termini “protsess” ning vaatame selle tegelikku sisu ja eesmärki. Ettevõtte, kel on värbamine algusest lõpuni põhjalikult läbi mõeldud, alustades ametikoha profiili kirjeldusest ja töökuulutuse tekstist ning lõpetades eitava vastuse andmisega, mõistab, et esmamuljet saab jätta vaid ühe korra. Kahjuks on tänini liigagi sage olukord, kus kandideerijad panustavad oma aega n-ö nulltagasisidega mutiauku. Enamik meist on paraku seda negatiivset tunnet kogenud ning just kokku lepitud protsessid aitavad tagada kvaliteetse värbamise ja loovad ühes sellega eelduse GDPR-i nõuete paremaks tagamiseks.
2. Puudub ülevaade andmetöötlusest. Selleks, et omada ülevaadet värbamisel kogutavatest isikuandmetest ja nende töötlemisest, on vajalik (ka seadus nõuab seda ning Andmekaitse Inspektsioon võib selle igal hetkel välja küsida) andmetöötlus kaardistada. Juba töökuulutuses palutud isikuandmed kandideerimiseks (nt kas või CV-s esitatud telefoninumber) on isikuandmete kogumine, millest kandideerijal võib tekkida hulk jätkuküsimusi: kuhu andmed lähevad, kes neile ligi saab, kuhu salvestatakse, kui kaua säilitatakse jne.
Kaardistatud andmetöötlus just need vastused annabki ja/või toob välja, kus on puudujäägid. Lühidalt: tekib teadlikkus ja vastavalt sellele võimalus olukorda parendada. Näiteks selgub, et kogutud andmetele pole määratud säilitustähtaegu. Viimane pole mõistlik mitmest aspektist – kui seadusele mittevastavus välja jätta, siis pole ju mõistlik lõputult digiprügi kuhjata või suurendada andmekogumeid ning tõsta seega riski küberrünnakutele ja andmelekete suurusele.
3. Õigustatud huvi analüüs(id) on tegemata. Andmetöötluse ülevaates tuleb määrata ka andmete kogumise õiguslik alus, milleks värbamisel on enamasti õigustatud huvi. Õigustatud huvi alusel andmete töötlemiseks on aga vaja läbi viia õigustatud huvi analüüs, kus kaalutakse mõlema osapoole (värbaja ehk ettevõte ja kandideerija kui andmesubjekti) huve ning kirjeldatakse andmekogumise plusse ja miinuseid. Kokkuvõttes annab analüüs vastuse, kas tööandja huvid kaaluvad üles kandideerija huvid või põhiõigused ja vabadused.
Näiteks lasteaiaõpetajat värvates tundub pigem õigustatud karistusregistrist andmeid pärida, kuid maksevõimepäring laotöötaja kohta ei pruugi olla õigustatud. Seega peaksid ka kõikvõimalikud taustakontrollid olema põhjendatud ja õigustatud lähtuvalt ametikohast ja selle spetsiifikast. Tööandja peab olema valmis, et vastava analüüsi küsib välja kandideerija või Andmekaitse Inspektsioon.
4. Kopeerid teise sarnase ettevõtte privaatsusteateid. Privaatsusteadete koostamine ja avaldamine on samuti seadusega ettenähtud kohustus, mis annabki kandideerijale üksikasjalikud vastused, kuidas tema andmeid värbamise käigus töödeldakse: mis eesmärgil, mis õiguslikul alusel, mis andmeid kogutakse ja töödeldakse, kellele edastatakse, kui kaua säilitatakse jne. Selguse ja läbipaistvuse tagamiseks on mõistlik teha eraldi privaatsusteated värbamisele. Teadmatusest tundub heaks lahenduseks teha copy-paste teise sarnase ettevõtte privaatsusteadetest ja neid kosmeetiliselt kohandada. Kuid selline teguviis pole asjakohane, sest privaatsusteated põhinevad just nimelt eelnevalt välja toodud andmetöötluse ülevaatel (vt punkt 2), mis on igal ettevõttel pigem unikaalne.
5. Töökuulutuses puudub viide privaatsusteadetele. Korrektne on juba töökuulutusse lisada link või viide privaatsusteadetele. See tagab selle, et kandideerijal on võimalik enne oma andmete edastamist tutvuda isikuandmete töötlemise tingimustega. Näiteks kui ettevõte teeb värbamise raames taustakontrolli, siis vastav info on privaatsusteadetes ja kandideerija oskab sellega arvestada. Kindlasti on privaatsusteadete olemasolu kandideerijale ka vihje võimaliku tööandja andmekaitselisest küpsusest ja töökultuurist tervikuna.
6. Usud oma värbamispartneri kinnitust „vastan GDPR-ile”, selles ise veendumata. Alustame lihtsast näitest: hiljutise Asper Biogene andmelekke näitel oli Asperil 42 partnerit, kes suure tõenäosusega olid nn vastutavad andmetöötlejad ja Asper ise volitatud andmetöötleja ehk geenitestide tellimuse täitja. Patsient/klient/andmesubjekt usaldas oma andmed meditsiiniasutusele, kellele Asper tegi geeniteste ehk tegi nn alltöövõttu. Tekib küsimus, kas nimetatud 42 partnerit teadsid, kuidas Asper Biogene niivõrd tundlike andmeid töötles. St kui ettevõte kasutab värbamisprotsessis personaliagentuuri abi või hoopis mõnda tarkvara, siis tuleb vastutaval töötlejal veenduda, et tema partner vastab samuti GDPR-i nõuetele.
7. Puudub andmekaitseleping värbamisagentuuri või -tarkvara pakkuva ettevõttega. Andmekaitselepingud reguleerivad partnerlussuhte ja annavad mõlemale osapoolele nii õigusselguse kui ka teadlikkuse ootustes GDPR-i nõuete täitmise asjus. Andmekaitselepingu puudumisel vastutab rikkumise eest andmete vastutav töötleja.
8. Unustad, et oled andnud tähtajatuid ligipääse isikuandmetele. Ettevõttes võib olla turvapoliitika puudulik – protsessid pole paigas, turvameetmed on läbimõtlemata ja dokumenteerimata. Näiteks antakse ligipääs (sh isikuandmetele) oma partnerile värbamisagentuurist, kuid see jääb protsessiliselt ja tehniliselt reguleerimata. Harvad ei ole juhused, kus koostööleping partneriga on läbi, kuid ligipääsud on eemaldamata.
9. Saadad suures mahus isikuandmeid meili teel. Ettevõtetel ja personaliosakondadel, kel pole kasutusel värbamistarkvara, võib tekkida mahukaid Exceleid kandideerinute isikuandmetega, mida jagatakse ettevõttesiseselt just nimelt meili teel. Kui mõne isikukoodi vms saatmine e-posti teel ei ole väga riskantne, siis suures mahus isikuandmeid ei ole mõistlik sedasi vahendada. Siin on lahenduseks nt värbamistarkvara, krüpteerimine või turvakettad piiratud ligipääsudega. Keegi pole selle eest kaitstud, et tähelepanematusest läheb e-kiri valele inimesele – nt kui ettevõttes on tööl mitu sama eesnimega töötajat ja meilisüsteem pakub mõnda tähte sisestades automaatselt võimalikud adressaadid välja.
10. Küsid tagasisidet eelmiselt tööandjalt töötaja nõusolekuta. Arusaadavalt on kiusatus uurida kandideerija tausta ka eelmiselt tööandjalt, mis on üldtuntud, kuid ajapuudusel tihti alakasutatud praktika. Tuleb aga teada, et vastav tegevus eeldab nii kandideerija kui ka eelneva tööandja kontaktisiku nõusolekut. Siinkohal on vajalik markeerida, et kui CV-sse on lisatud soovitajad, siis peaks ka kandideerijal olema vastav nõusolek soovitajalt.
11. Sa ei soovi või pole võimeline väljastama kandideerijale tema kohta kogutud andmeid. Õiguslikult on kõik selge – kandideerijal on õigus küsida ja talle tuleb väljastada kõik tema kohta värbamisel kogutud andmed. Alustades kandideerimiseks vajaliku kontaktinfoga, lõpetades taustakontrolli vastuse või ka märkmetega, mida personalispetsialist vestluse käigus oma tööarvutis teeb. Kandideerijal on õigus ka teada, mis registritesse taustakontrolli käigus päringuid tehti ja mis vastused sealt saabusid. Kandideerijale ei saa ju tulla üllatusena, et teda on nt kriminaalkorras karistatud varguse eest, ometigi näib, et seda infot pigem proovitakse inimese enda eest n-ö varjata.
12. Säilitad kandideerijate andmeid tähtajatult, st kauem kui aasta. Seadus annab tööandjale õigustuse säilitada kandideerinute andmeid kuni aasta. Eelkõige tuleneb see vajadus võimalikest vaidlustusjuhtumitest, mis annab tööandjale võimaluse ennast n-ö kaitsta. Huvi hoida andmeid kauem kui aasta, tuleneb aga eelkõige tööandjate soovist säilitada tugevate kandidaatide andmeid, kellega saaks kontakteeruda uue sobiva positsiooni avanedes, harvem ka sarikandideerijate märgistamiseks, kuid nn musta nimekirja koostamine asjakohase õigustatud huvi analüüsita pole lubatud.
Kokkuvõttes võib kandideerinute andmeid säilitada ka kauem kui aasta, kuid selleks tuleb võtta inimese nõusolek, soovitavalt taasesitatavas vormis. Samuti peab tagama inimesele võimaluse iga ajal oma nõusolek tagasi võtta, misjärel tuleb andmed kustutada.
Marit Alaväli on veendunud, et värbamine kujundab esmamulje ettevõttest ning tegelikkuses on see esimene ja lahutamatu osa töötaja elukaarest ja tööandja mainest. Isegi kui konkurssidel on enamasti kohti vaid ühele, siis üks nutikas värbaja ja tööandja mõistab, et valituks mitte osutunud kandidaadid võivad olla võimas tööriist tulevikus. Piia Laks-Järve hinnangul tuleks värvata nii, et ka mittevalituks osutunud meenutaksid konkurssi hea sõnaga ja tooksid konkursi professionaalsuse ka andmekaitse seisukohast teistele eeskujuks.