CV ja GDPR - tietosuoja-asetus työnhaussa
Kirjoittaja Johanna Puustinen, Sisällöntuottaja • Viimeksi päivitetty 6. marraskuuta 2024

CV ja GDPR - tietosuoja-asetus työnhaussa

EU:n yleinen tietosuoja-asetus eli GDPR tuli voimaan vuonna 2018, ja lähestulkoon kaikki ovat törmänneet siihen tavalla tai toisella. Mutta mitä se tarkoittaa työnhaun yhteydessä, ja etenkin CV:n suhteen? Ansioluettelossa on usein paljon henkilötietoja, joten se on luonnollisesti tietosuoja-asetuksen piirissä. Kokosimme tähän artikkeliin tietopaketin siitä, kuinka GDPR vaikuttaa CV:een.

Aloita tästä

Kilpailu työmarkkinoilla on kovaa, ja usein on niin, että työnhakijan asemassa ollessa huomio kohdistuu työpaikan - tai edes työhaastattelukutsun - saamiseen. Tätä varten moni käyttääkin huomattavasti aikaa CV:n eli curriculum vitaen hiomiseen. Harva tulee kuitenkin ajatelleeksi, että työnhakijana sinulla on tiettyjä oikeuksia, ja esimerkiksi henkilötietojesi käsittelyä on säännelty hyvinkin tarkasti laissa. Henkilötietojen käsittelyä koskeva laki, tai tarkkaan sanoen asetus, on suomeksi nimeltään Euroopan unionin yleinen tietosuoja-asetus. Englanniksi sen nimi on General Data Protection Regulation eli GDPR.

Mikä on GDPR?

Saatat muistaa toukokuun 2018, kun sähköpostilaatikot kävivät kuumina kun lähestulkoon kaikki yritykset tiedottivat heidän tietosuojakäytännöistään. Koko EU:n laajuinen tietosuoja-asetus eli GDPR tuli voimaan ja kaikissa maissa samaan aikaan, ja sen vaikutukset ulottuvat kaikkialle missä käsitellään henkilötietoja, mukaan lukien markkinointi, myynti, kanta-asiakasohjelmat ja luonnollisesti myös rekrytointi. Yritykset ovat näissä tilanteissa niin kutsuttuja rekisterinpitäjiä, olipa rekisterin tarkoitus kanta-asiakasohjelma, rekrytointi tai markkinointi.

GDPR:n tavoitteena oli lisätä kansalaisten oikeuksia määrätä heihin liittyvistä tiedoistaan, niiden käsittelystä ja antaa myös mahdollisuus määrätä tietojen poistaminen tietyissä tilanteissa. Sen lisäksi GDPR asettaa henkilötietoja käsitteleville yrityksille paljon erilaisia velvollisuuksia, kuten velvollisuus ilmoittaa tietosuojaviranomaisille tilanteista, joissa henkilötietoja on joutunut vääriin käsiin. Yritykset voivat myös joutua maksamaan huomattavia sakkoja tietosuoja-asetuksen rikkomisesta.

Mitä ovat henkilötiedot?

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön.

Henkilötietoja ovat esimerkiksi seuraavat tiedot:

Tästä voi siis päätellä, että esimerkiksi CV:ssä on paljon henkilötietoja, joiden käsittelyä yleinen tietosuoja-asetus määrittelee. Sen sijaan, että GDPR:ssä olisi määritelty joka ikinen asia, joka on henkilötieto yksinään tai yhdistettynä toiseen tietoon - tämä olisi käytännössä mahdoton tehtävä - asetuksessa on määritelty tietojenkäsittelyn keskeiset periaatteet:

  • Mitä tietoja voidaan käsitellä ja millä ehdoilla
  • Tietojenkäsittelyn tarkoitus
  • Kuinka kauan tietoja pitää ja saa säilyttää
  • Mitä tietoja on annettava henkilölle, josta tietoa kerätään
  • Kuinka paljon tietoja voidaan kerätä

Miten GDPR vaikuttaa rekrytointiin?

Koska työnhakuun kuuluu paljon henkilötietoja, ovat vaikutukset rekrytointiin ja työnhakuun olleet selkeitä. GDPR on ensinnäkin lisännyt erilaisten rekrytointi-ohjelmistojen ja hakemusten seurantaohjelmien (applicant tracking system eli ATS) suosiota, sillä sähköpostin kautta kulkevat prosessit voivat olla yleisen tietosuoja-asetuksen näkökulmasta haastavia seuraavista syistä:

  • Esimerkiksi CV:n ja hakemuksen vastaanottaneen yrityksen voi olla vaikea dokumentoida kenen kanssa tietoja on jaettu.
  • Sähköpostin liitteenä lähetettyjen asiakirjojen tallentaminen omalle tietokoneelle ei myöskään ole GDPR:n puitteissa sallittua, joten moni yritys suosii ratkaisuja, joissa rekrytointiasiakirjat pysyvät selaimen kautta käytettävässä järjestelmässä.
  • Tietojen poistaminen voi jäädä tekemättä sähköpostitse tulleiden asiakirjojen kohdalla, puhumattakaan siitä että esimerkiksi työhakemus ja ansioluettelo poistettaisiin automaattisesti hakuprosessin päätyttyä, kuten se tietosuoja-asetuksen mukaisesti pitäisi tehdä.
  • Hakijalta on aina saatava kirjallinen suostumus henkilötietojen käsittelyyn, mikä voi jäädä tekemättä jos rekrytointiprosessi tapahtuu sähköpostin välityksellä.

Rekrytointijärjestelmät puolestaan mahdollistavat muun muassa käyttäjien rajoittamisen vain esimerkiksi HR-henkilöstöön ja rekrytoivaan esimieheen.

GDPR:n myötä yritysten rekrytointisivuille on myös useimmiten ilmestynyt selkeät kuvaukset siitä, kuinka työnhakijoiden henkilötietoja käsitellään, mihin tarkoitukseen ja mitä oikeuksia sinulla hakijana on. Käytännössä aina kun olet lähettämässä työhakemusta ja CV:tä, törmää tilanteeseen jossa sinulta pyydetään suostumusta tietojen käsittelyyn. Tietosuoja-asetus on laadittu siten, että henkilötietoja keräävän yhteisön on pystyttävä dokumentoimaan suostumus, joten tämän vuoksi se on useimmiten yksi pakollisista kohdista, jotka sinut pyydetään hyväksymään ennen asiakirjojen lähettämistä. Näin organisaatio pystyy dokumentoimaan, että olet antanut suostumuksesi henkilötietojen keräämiseen ja käsittelyyn.

Asiantuntijavinkki

Ennen kuin automaattisesti hyväksyt tietosuojaselosteen seuraavan kerran työtä hakiessasi, kannattaa lukaista läpi kuinka yritys käsittelee tietojasi. Et välttämättä halua työskennellä yrityksessä, joka ei kunnioita lakeja ja asetuksia.

CV:n säilyttäminen ja GDPR

Ennen yleisen tietosuoja-asetuksen tuloa oli tavallista, että yritykset yksinkertaisesti säilyttivät ansioluetteloita rekrytointiprosessin jälkeen myös niiltä hakijoilta, jotka eivät työpaikkaa saaneet. Jotkin yritykset ilmoittivat tästä erikseen, mutta käytännössä hakija ei voinut tietää kuinka kauan CV:tä säilytettiin hakuprosessin jälkeen.

Nykyisin GDPR määrää tiedot poistettavaksi heti, kun niille ei enää ole tarvetta. Voit siis olla melko varma siitä, että jos yritys noudattaa lakeja, ei ansioluettelosi jää heidän järjestelmiinsä seisomaan. Toisaalta, jotkin yritykset pyytävät erikseen luvan CV:n säilyttämiseen haun sulkeuduttua, etenkin jos yrityksellä on usein tarve rekrytoida. Tällöin on tavallista, että asiasta kysytään joko CV:tä lähetettäessä, tai haun sulkeuduttua. Voit itse päättää, haluatko että tietosi säilytetään.

Muista, että sinulla on aina oikeus pyytää tietojesi poistamista.

Mitä oikeuksia GDPR antaa sinulle hakijana?

Kun olet työnhakijana lähettänyt CV:si yritykselle, on sinulla joitakin oikeuksia joista on hyvä olla tietoinen:

  1. Oikeus saada pääsy tietoihin. Sinulla on hakijana oikeus pyytää kopio henkilötiedoista, jotka yrityksellä on sinusta. Näihin tietoihin sisältyy tieto siitä, kenelle kaikille tietojasi on luovutettu, sekä mikä on tietojen suunniteltu säilyttämisaika. Sen lisäksi, että sinulla on pääsy tietoihin, jotka olet itse työnantajalle antanut esimerkiksi CV:ssä ja työhakemuksessa, on sinulla oikeus päästä tietoihin jotka on kerätty muista lähteistä, esimerkiksi suosittelijoiden eli referenssien kautta.
  2. Tietojen oikaisu. Sinulla on oikeus vaatia tietojesi oikaisua, jos niihin liittyy epätarkkuuksia, virheitä tai tiedot ovat puutteellisia.
  3. Sinulla on oikeus tulla unohdetuksi (“right to be forgotten”). Käytännössä tämä tarkoittaa sitä, että sinulla on oikeus vaatia henkilötietojesi poistamista. Tämä voi tapahtua kesken työnhakuprosessin jos muutat mielesi ja vetäydyt hakuprosessista, tai haun sulkeuduttua. Oikeus tulla unohdetuksi kattaa ei ainoastaan ansioluettelosi, työhakemuksesi ja muut hakemuksen liitteet, vaan myös tietosi jotka työnantaja on voinut koota esimerkiksi Excel-arkkiin tai tiivistelmään työtä hakeneista kandidaateista.

Myös työhaastattelun aikana, ennen sitä tai sen jälkeen otetut muistiinpanot ovat henkilötietoja, jotka on poistettava sinun sinun niin pyydettäessä. Paras tapa toteuttaa henkilötietojen poistaminen on lähestyä yrityksen HR-vastaavaa ja viitata GDPR:n sinulle antamaan oikeuteen. Työnantajan on tällöin poistettava tietosi 30 päivän kuluessa.

Käytännössä lähes kaikki työnantajat kertovat näistä oikeuksista tietosuojaselosteesta, joka on saatavilla esimerkiksi yrityksen rekrytointisivuilla. GDPR:n puitteissa kansalaisilla on lisäksi oikeus vastustaa tietojen käsittelyä, mutta työnhaun yhteydessä tämä on harvoin oikeus, jota kenellekään tulee tarve käyttää.

Tietosuoja nostaa hakijan yksityisyys kunniaan

Yleinen tietosuoja-asetus on lisännyt etenkin rekrytoinnin parissa työskentelevien henkilöiden tietoisuutta henkilötietojen käsittelystä, vaikka työnhakijalle muutos ei ole ollutkaan kovin suuri. GDPR kuitenkin selittää sen, miksi harva yritys enää pyytää työhakemuksia ja ansioluetteloita suoraan sähköpostiin, vaan sen sijaan entistä useampi suosii rekrytointijärjestelmän käyttöä. Kun teet CV:si Jobseeker-palvelun avulla, on se helppo ladata pdf-muodossa mihin tahansa rekrytointijärjestelmään.

Jaa kautta:
Johanna Puustinen
Johanna Puustinen
Sisällöntuottaja
Johanna Puustinen on työelämään ja uraan intohimoisesti suhtautuva toimittajataustainen sisällöntuottaja, joka haluaa jakamalla omia kokemuksiaan ja parhaita käytäntöjä auttaa muita oikealle uralle ja unelmien työpaikkaan.

Ohita kilpailijat

Varmista, että työpaikkahakemuksesi erottuvat muiden hakijoiden hakemuksista.

Aloita tästä