Ähvardavad hiigeltrahvid sunnivad ettevõtjat värbamisprotsessis ettevaatlik olema
Iga ettevõtte jaoks on kvaliteetne inimressurss oluline. Üha enam võetakse ettevõtete värbamisprotsesside läbiviimisel appi erinevad tehnoloogilised lahendused, sealhulgas ka erinevad isiksuse- ja muud testid, mida nimetatakse automatiseeritud andmete töötlemiseks kuivõrd teatud tulemuse (mitte)saavutamisel jäetakse vaadeldav isik lihtsalt kõrvale.
Oluline on aga silmas pidada, et alates 25.05.2018 otsekohalduv uus isikuandmete kaitse üldmäärus (GDPR), (1) mis asendab senise isikuandmete kaitse seaduse, seab sellisele automatiseeritud andmete töötlemisele omad piirangud. Alljärgnevalt selgitame, kuidas nn värbamisprotsessi läbiviimisel õiguspäraselt käituda.
Mis on profiilianalüüs?
Olgu etteruttavalt öeldud, et GDPR, sarnaselt ka praegu kehtivale isikuandmete kaitse seadusele, üldiselt keelab automaatsete otsuse tegemise ilma andmesubjekti osaluseta. Sealjuures ei ole isikuandmete kaitse seaduses ega selle aluseks olnud isikuandmete kaitse direktiivis automatiseeritud töötlemist ega profiilianalüüsi sõnaselgelt defineeritud.
GDPR-i mõttes tähendab profiilianalüüs ükskõik millist automatiseeritud viisil isikuandmete töötlemist, eelkõige aga sellist, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide ja muu sellisega. Sisuliselt on just see selline info, mida tööandja uut töötajat värvates teada tahaks ning mille kogumine toimub ettevõttes reeglina automatiseeritud viisil.
Kuidas töötajate teavet korrektselt analüüsida?
Enne konkreetse isiku kohta profiilianalüüsi tegemist peab ettevõtja veenduma, et profileeritavale oleks edastatud teave profiilianalüüsi tegemise kohta ning teave kasutatava loogika ja selle kohta, milline on isiku jaoks sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed.
GDPR näeb andmesubjektile ette sõnaselge õiguse, et tema kohta ei võetaks vastu otsust, mis põhineb üksnes andmete automatiseeritud töötlusel. See ei tähenda seda, et andmesubjektil oleks õigus nõuda teistsugust hindamist, vaid pigem andmesubjekti õigust nõuda ka inimfaktori kaasamist tema võimekuse hindamisel, samuti õigust nõuda põhjendusi enda kohta tehtud hinnangu kohta.
Loomulikult näeb GDPR ülaltoodud reeglist ette erandid. Selleks on (a) tingimus, et automatiseeritud töötlus on lepingu sõlmimiseks või täitmiseks vajalik; (b) automatiseeritud töötlus on lubatud töötleja liikmesriigi või liidu õigusega; (c) automatiseeritud töötlus põhineb andmesubjekti selgesõnalisel nõusolekul. Oluline on aga see, et igal juhul peab profileeritaval isikul jääma õigus saada kontaktisikult põhjendusi ning automaatne otsus vaidlustada.
Esmapilgul tundub, et automatiseeritud töötlemine võikski langeda esimese erandi alla. Siinkohal tuleb aga tähele panna, et rõhuasetus langeb sõnale „vajalik“. Kuigi lihtne ja kiire oleks laekunud CV-d või online-testid läbi lasta mõnest selleks ette nähtud programmist, tuleb endale aru anda, kas tegemist on ka õigusliku tagajärje saabumiseks vajaliku toiminguga, seejuures ei saa tööandja mugavust paraku vajalikuks aspektiks pidada. Juhul, kui automatiseeritud profileerimise vajalikkust ei ole võimalik põhjendada, siis ilmselt ei saa seda kommunikeerida ka profileeritavatele.
Eraldi aspekt, milles ettevõtjal tuleb veenduda, on see, et kogutud andmeid säilitatakse ja töödeldakse õiguspäraselt. GDPR lubab andmeid töödelda vaid senikaua, kuni see vajalik on. Töökonkurssi ebaõnnestumisel soovivad mõned tööandjad kandidaatide info ikkagi alles jätta tulevikuvajaduse tarbeks, kuid oluline on rõhutada, et see saab toimuda üksnes kandideerinud isiku nõusolekul. Kui sellist nõusolekut ei ole, tuleb kogutud andmed kustutada, või kui nende säilitamine on oluline ettevõtte statistika jaoks, siis asendada nimed koodide või pseudonüümidega.
Kokkuvõtteks
„Usalda-ja kontrolli“- põhimõte on nurgakiviks iga ettevõtmise õnnestumisel. 25. maiks 2018 peab kõigi ettevõtjate tegevus olema GDPR-ga kooskõlas. Peamine soovitus ettevõtjatele on vaadata oma ettevõttes toimuvat andmete töötlemist tervikuna, st kaardistada täielikult, milliseid toiminguid ettevõte isikuandmete töötlemisel teeb. Selline kontroll on ettevõttele äärmiselt oluline, kuivõrd lisaks muule sätestab GDPR ka tohutult suured trahvimäärad. Et võimalikest pahandustest hoiduda, võiks ettevõtja järgida viit reeglit:
- Kontrollida, kas ettevõte teeb või kavatseb teha profiilianalüüse;
- Selgitada välja, mis on selliste profiilianalüüside eesmärk ning alus;
- Kui profiilianalüüside tegemine on ettevõttes sage instrument, tuleb üle vaadata nende tegemise juhised ja eeskirjad;
- Selgitada välja, kas ettevõtte töötajad on teadlikud ettevõtte kohustustest, mis laienevad profiilianalüüside tegemisele;
- Probleemide tekkimisel konsulteerida teemat valdava professionaalse õigusnõustajaga.
Loodetavasti oli eelolev lühike ülevaade abiks GDPR selgitamisel ning toodud praktiliste soovituste abil saab mitmeid probleeme ennetada.
Mari Anne Valberg, jurist, Advokaadibüroo GLIKMAN ALVIN
(1) EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2016/679, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta, Arvutivõrgus kättesaadav.