DATASKYDDSBESKRIVNING FÖR PERSONAL- OCH LÖNEFÖRVALTNINGEN
DATASKYDDSBESKRIVNING FÖR PERSONAL- OCH LÖNEFÖRVALTNINGEN
Uppdaterad 19.5.2021
1. Personuppgiftsansvarig
HYKS-instituutti Oy (FO-nummer: 0872967-2)
Xxxxxxxxxxxxxxx 000, PB 710, 00029 HUS
(“HUCS-institutet”, “vi”, “personuppgiftsansvarig”)
2. Den personuppgiftsansvariges ansvars- och kontaktperson
Ekonomichef Xxxxx Xxxxxxx Xxxxxxxxxxxxxxx 000, XX 710, 00029 HUS ext-minna.aromaki[at]xxx.xx
Ansvars- och kontaktpersonen har till uppgift att se till att behandlingsåtgärderna planeras och genomförs i enlighet med bestämmelserna och föreskrifterna tillsammans med dataskyddsombudet vid HUS.
Dataskyddsombud är HUS-koncernens dataskyddsombud: HUS Centralregistratur
PB 200, 00029 HUS
3. Allmänt
I denna dataskyddsbeskrivning redogörs för hur vi behandlar våra anställdas, tjänstemäns och arbetssökandes (”registrerade”) personuppgifter. Därtill beskrivs förutsättningarna för och omfattningen av behandlingen av personuppgifter. Det som konstateras i denna dataskyddsbeskrivning beträffande behandlingen av personuppgifter för arbetstagare i anställningsförhållande tillämpas i tillämpliga delar också på behandlingen av personuppgifter för personer i arbetsavtalsförhållande samt för arbetssökande.
På behandlingen av de anställdas personuppgifter tillämpas bestämmelserna i Europeiska unionens allmänna dataskyddsförordning (2016/679, ”dataskyddsförordningen”) och dataskyddslagen (1050/2018) som är tillämpliga som allmänna lagar och andra tillämpliga speciallagar, inklusive lagen om integritetsskydd i arbetslivet (759/2004) och lagen om tjänster inom elektronisk kommunikation (917/2014) (tillsammans ”tillämplig lagstiftning”).
4. Syftet med och rättsgrunden för behandlingen av personuppgifter
Syftet med behandlingen av personuppgifter är att hantera ärenden som gäller anställningsförhållandena för HUCS-institutets personal, såsom fastställande av anställningsförhållandenas innehåll och villkor och andra skyldigheter som är ålagda arbetsgivaren, såsom ordnande av företagshälsovård, uppföljning av arbetstid och frånvaro samt åtgärder i anslutning till avslutande av anställningsförhållanden och kommunikation med de anställda. De registrerades personuppgifter behandlas särskilt för följande syften:
• Rekrytering
• Förvaltning och ledning av arbetskraften, såsom hantering och ledning av arbetsuppgifter, planering av arbetskraften, karriärutveckling och befordran, åtgärder i samband med att anställningsförhållandet upphör samt planering och hanteringen av personalutbildningen;
• Aktuell hantering av person-, anställnings- och löneuppgifter under anställningsförhållandet för upprätthållande av anställningsförhållandet och för beräkning av lönen samt uppfyllande av arkiveringskraven för uppgifter som behövs i fråga om avslutade anställningsförhållanden;
• Uppfyllande av lagstadgade skyldigheter utifrån t.ex. kraven i arbets-, försäkrings- och skattelagstiftningen samt myndighetsrapportering eller svar på myndigheternas begäranden om information eller andra krav;
• Säkerställande av att arbetsgivarens anvisningar följs, utredning av misstänkta missbruk;
• Förvaltning av arbetsredskap, säkerställande av arbetarskyddet och passerkontroll
• Kommunikation med anställda och tredje parter, såsom befintliga eller potentiella affärspartner, kunder eller leverantörer.
Det bör finnas en laglig grund för behandling av personuppgifter som baserar sig på dataskyddsförordningen. Den behandling av personuppgifter som vi utför baserar sig beroende på behandlingsåtgärden på
• ett arbetsavtal mellan oss och den registrerade;
• lagstiftning som förpliktar oss;
• lagstiftning som är tillämplig på den registrerades samtycke, eller
• ett berättigat intresse för oss eller tredje part (såsom nuvarande eller framtida affärspartner, tjänsteleverantörer och kunder).
Exempel på berättigade intressen är t.ex. säkerställande och utveckling av lokalsäkerheten, informationssäkerheten och säkerheten i datanäten, skydd av HUCS-institutets egendom, förebyggande och utredning av bedrägerier och missbruk av informationssystem och utrustning som HUCS-institutet ställer till förfogande för de anställda samt intern utredning vid missbruk eller andra misstankar om förseelse eller brott.
5. Personuppgifter som behandlas
Vi kan behandla följande personuppgifter som är direkt nödvändiga med tanke på de anställdas anställningsförhållanden och som hänför sig till skötseln av rättigheterna och skyldigheterna för parterna i anställningsförhållandet eller till de förmåner som vi erbjuder de anställda eller som behandlas på grund av att de anställdas arbetsuppgifter är av särskild karaktär:
• Bas- och kontaktuppgifter, såsom för- och efternamn, hemadress, födelsetid, personbeteckning, kön, personalnummer, kontaktuppgifter för nära anhöriga; telefonnummer och e-postadress
• Basuppgifter i anslutning till anställningsförhållandet (och i tillämpliga delar jobbsökningen), såsom arbetsansökan och andra uppgifter i jobbsökningsprocessen (bl.a. språkkunskaper), start- och slutdatum för anställningen, arbetsavtal och villkoren
i avtalet, arbetsuppgifternas innehåll och titel, uppgifter om arbetstagarens försäkring, uppgifter om anställningsförhållandets upphörande och arbetsintyg;
• Uppgifter om löneutbetalning och andra kompensationer, såsom bankförbindelse, penninglön och andra belöningssätt och förmåner, uppgifter om arbetsresor, restider och resmål, uppgifter om skatter och arbetsgivaravgifter;
• Uppgifter som hänför sig till arbetsuppgifterna, skötseln av dem, utvecklingen i arbetet och arbetstidsuppföljningen, såsom uppgifter som hänför sig till utvecklingssamtal, uppgifter om förtroendeuppdrag, semestrar samt eventuell annan avtalad frånvaro (bl.a. studie- och sabbatsledighet);
• Uppgifter om lämplighet för arbetet, såsom uppgifter om kompetens, uppgifter om utbildning, uppgifter om person- och lämplighetstester, uppgifter i straff- eller kreditupplysningsregister i den utsträckning som tillämplig lagstiftning tillåter eller förutsätter att sådana uppgifter behandlas;
• Uppgifter om arbetsverktyg, såsom arbetstagarens e-postadress och telefonnummer, användarrättigheter som beviljats arbetstagaren samt användarnamn och lösenord för HUCS-institutets elektroniska system och register, identifikationsuppgifter för arbetstagarens arbetsverktyg, såsom datorer och mobila enheter samt passerkort, nycklar eller liknande;
• Uppgifter som samlats in med hjälp av teknisk övervakning, såsom logguppgifter om användningen av HUCS-institutets system, uppgifter om passerkontroll och passerkontrollregistreringar samt uppgifter om kameraövervakning och upptagningar från kameraövervakning.
Dessutom kan vi behandla ändringsuppgifterna för alla de typer av uppgifter som räknas upp ovan.
Utöver de personuppgifter som anges ovan kan vi behandla uppgifter som hör till särskilda kategorier av personuppgifter, dvs. känsliga uppgifter, på följande sätt:
• Medlemskap i fackförbund till exempel för betalning av medlemsavgifter;
• Uppgifter om hälsotillstånd, såsom sjukfrånvaro, men endast inom ramen för tillämplig lagstiftning för följande ändamål: administration och betalning av ersättningar, hantering av arbetskraft (t.ex. planering av arbetskraftsbehov vid sjukfrånvaro) och iakttagande av tillämplig lagstiftning och arbetsrelaterade krav samt läkarintyg eller läkarutlåtande om arbetstagaren eller annan information om arbetstagarens hälsotillstånd eller arbetsförmåga i särskilda fall, i den utsträckning sådan behandling av uppgifter särskilt regleras i lagen om integritetsskydd i arbetslivet eller i annan tillämplig lagstiftning;
• Uppgifter om olycksfall i arbetet, i den utsträckning som tillämplig lagstiftning tillåter eller kräver att sådana uppgifter behandlas, för administration och betalning av ersättningar (t.ex. försäkringsersättning) och för iakttagande av tillämplig lagstiftning och arbetsrelaterade krav (t.ex. arbetarskydd, rapporteringsskyldigheter);
• Uppgifter om föräldraledighet och vårdledighet för hantering av arbetskraften och uppfyllande av kraven i tillämplig lagstiftning; eller
• Intyg över narkotikatest eller uppgifter som antecknats i intyget i den utsträckning som tillämplig lagstiftning tillåter behandling av sådana uppgifter för bedömning av arbetstagarens arbetsförmåga eller funktionsförmåga.
Observera att arbetstagarens skyldighet att lämna personuppgifter delvis är en lagstadgad skyldighet och ett krav som grundar sig på det arbetsavtal som ingåtts med HUCS-institutet. Om vi inte lämnar ut personuppgifter kan det hindra oss från att sköta uppgifter och skyldigheter i anslutning till anställningsförhållandet, vilket kan leda till att anställningsförhållandet upphör.
6. Regelmässiga uppgiftskällor
I enlighet med lagen om integritetsskydd i arbetslivet samlas personuppgifter om den registrerade i princip in från den registrerade själv när anställningsförhållandet inleds och pågår. Uppgifter samlas dessutom in t.ex. från system där uppgifter som behandlas inom personal- och löneadministrationen (logguppgifter) lagras samt från andra godtagbara källor, såsom chefer, myndigheter (t.ex. skatteförvaltningen, FPA, utsökningsmyndigheten), andra tredje parter (t.ex. företagshälsovården) och/eller offentliga källor i enlighet med tillämplig lagstiftning. Den personuppgiftsansvarige kan dessutom skaffa personkredit- eller straffregisteruppgifter för att utreda den registrerades tillförlitlighet. Den registrerade informeras på förhand om inhämtandet av uppgifter om honom eller henne för att tillförlitligheten ska kunna utredas.
7. Regelmässigt utlämnande av uppgifter
Vi kan överföra personuppgifter för behandling på särskilt uppdrag till tredje part som producerar tjänster för oss, såsom löneadministrationstjänster, informationssystem-, programvaru- eller andra databehandlingstjänster. Vi har med alla utomstående personuppgiftsbiträden ingått ett avtal om behandling av uppgifter som uppfyller kraven i EU:s dataskyddsförordning och som säkerställer att behandlingen är lagenlig.
De registrerades personuppgifter får dessutom lämnas ut till myndigheter eller tredje parter med stöd av tillämplig lagstiftning eller beslut eller föreskrifter av domstolar eller myndigheter som är förpliktande för oss. Uppgifter lämnas i regel ut t.ex. till skatteförvaltningen, försäkringsbolag, Folkpensionsanstalten, pensionsanstalter, tillhandahållare av företagshälsovårdstjänster och fackförbund.
Personuppgifter får dessutom lämnas ut till moderbolaget samt i samband med överföringar av verksamhet enligt bestämmelserna om överlåtelse av rörelse till den mottagande organisationen samt till dennes rådgivare i fråga om den personal som överförs.
Uppgifter lämnas inte ut till tredje part för marknadsföringssyften.
8. Förvaringstid för uppgifter
Vi förvarar arbetstagarnas personuppgifter i enlighet med tillämplig lagstiftning endast så länge som det är nödvändigt för att syftet med behandlingen av personuppgifter ska uppnås. När vi inte längre behöver personuppgifter förstörs eller anonymiseras uppgifterna oåterkalleligt.
Det som sägs ovan gäller dock inte sådana personuppgifter som omfattas av lagstadgad förvaringstid som är förpliktande för oss. Personuppgifter som behandlas i samband med anställningsförhållandet omfattas av flera lagstadgade förvaringsskyldigheter som vi som arbetsgivare måste iaktta. Exempelvis för utfärdande av arbetsintyg ska basuppgifterna om
arbetstagaren och anställningsförhållandet förvaras i 10 år från det anställningsförhållandet upphörde.
Sådana personuppgifter om arbetstagare som inte omfattas av ovan nämnda förvaringstider enligt gällande lagstiftning raderas i regel 10 år efter det att arbetstagarens anställningsförhållande upphörde. Den allmänna vägledande förvaringstiden för arbetssökandes personuppgifter som vi iakttar är ett år från det att rekryteringsbeslutet fattades.
9. Överföring av uppgifter till områden utanför EU eller EES
Om vi överför personuppgifter till länder utanför EU- eller EES-området, säkerställer vi genom avtal eller andra lämpliga skyddsåtgärder att en tillräcklig skyddsnivå iakttas vid behandlingen av personuppgifterna. Du kan be om ytterligare information om gränsöverskridande överföringar av personuppgifter och om lämpliga skyddsåtgärder för sådana överföringar genom att kontakta den kontaktperson som nämns i punkt 2.
10. Principer för skydd av personuppgifter
Vid behandlingen av personuppgifter iakttas den omsorgsfullhet som dataskyddsförordningen kräver och uppgifterna skyddas på behörigt sätt. Personuppgifter är tillgängliga endast för de personer för vilkas arbetsuppgifter det är nödvändigt.
Den fysiska och digitala datasäkerheten för de uppgifter som lagras elektroniskt och manuellt ska tryggas så att åtkomsten till uppgifterna begränsas endast till personer som på grund av sina arbetsuppgifter har rätt att behandla uppgifterna i fråga. Personerna i fråga har tystnadsplikt. Material som behandlas elektroniskt samlas in i databaser som är skyddade med lösenord, brandmurar och andra tekniska metoder. Alla manuellt behandlade personuppgifter förvaras i ett låst utrymme med begränsad åtkomst. Allt material förstörs på ett informationssäkert sätt.
11. Den registrerades rättigheter
Som registrerad har du följande rättigheter i anslutning till behandlingen av dina personuppgifter enligt dataskyddsförordningen:
• rätt att få uppgifter om behandlingen av dina personuppgifter;
• rätt att få tillgång till dina egna uppgifter och att kontrollera personuppgifter som gäller dig själv;
• rätt att begära rättelse av oriktiga eller felaktiga uppgifter och att komplettera uppgifterna;
• rätt att begära radering av dina personuppgifter;
• rätt att återkalla ditt samtycke och motsätta dig behandlingen av dina personuppgifter till den del behandlingen baserar sig på ditt samtycke;
• rätt att motsätta sig behandling av dina personuppgifter på grund av en särskild personlig situation till den del behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges berättigade intresse;
• rätt att få dina personuppgifter i maskinläsbar form och överföra dem till en annan personuppgiftsansvarig, förutsatt att du själv har lämnat personuppgifterna till den personuppgiftsansvarige, att den personuppgiftsansvarige behandlar
personuppgifterna i fråga med stöd av ett avtal eller ett samtycke från den registrerade och att behandlingen sker automatiskt; samt
• rätt att kräva att behandlingen av dina personuppgifter begränsas.
Du kan utöva dina ovannämnda rättigheter genom att skicka en skriftlig begäran om detta per post eller e-post till den kontaktperson som nämns i punkt 2. Du kan göra begäran antingen fritt formulerat eller genom att använda den bifogade blanketten. Vi kan vid behov be dig precisera din begäran och verifiera din identitet innan begäran behandlas. Vi svarar i regel inom en månad från mottagandet av begäran. Observera att din begäran inte nödvändigtvis kan uppfyllas om det finns en sådan grund för vägran som anges i dataskyddsförordningen.
12. Rätt att överklaga hos tillsynsmyndigheten
Om du anser att dataskyddsförordningen inte har följts vid behandlingen av dina personuppgifter har du rätt att överklaga hos tillsynsmyndigheten i den medlemsstat där du har din permanenta bostad eller arbetsplats eller där det påstådda intrånget har skett.
I Finland är dataombudsmannen tillsynsmyndighet: Dataombudsmannens byrå
PB 800, 00531 Helsingfors tietosuoja[at]xx.xx xxxxx://xxxxxxxxxx.xx
BILAGA Inlämning av blanketten:
HYKS-instituutti PB 710
00029 HUS
Med denna blankett kan jag utöva de rättigheter som hänför sig till behandlingen av mina personuppgifter.
Jag vill: (kryssa för ett eller flera alternativ beroende på vilken rättighet du vill utöva)
☐ få information om behandlingen av mina personuppgifter;
☐ få tillgång till mina egna uppgifter och kontrollera de personuppgifter om mig som ni behandlar;
☐ kräva en korrigering av en inexakt och/eller felaktig personuppgift och/eller en komplettering av uppgifter;
☐ kräva att mina personuppgifter raderas;
☐ återkalla mitt samtycke och motsätta mig behandlingen av mina personuppgifter i den utsträckning behandlingen av mina personuppgifter grundar sig på ett samtycke som jag gett;
☐ motsätta mig behandlingen av mina personuppgifter enligt en särskild personlig grund som anknyter till min situation i den utsträckning grunden för behandlingen av mina personuppgifter är ert berättigade intresse;
☐ kräva att behandlingen av mina personuppgifter begränsas.
En mer detaljerad beskrivning av hur jag vill utöva mina rättigheter och vad min begäran grundar sig på:
Genom att underteckna denna blankett bekräftar jag valet jag gjort ovan.
Kontaktuppgifter (användningsändamålet är endast att vidta åtgärder som anknyter till mina rättigheter)
Hela namnet:
Personbeteckning (eller, om sådan saknas, födelsedatum): Gatuadress:
Postnummer och postort:
E-post:
Ort och datum: Underskrift: