DATASKYDDSBESKRIVNING AV PERSONREGISTRET
DATASKYDDSBESKRIVNING AV PERSONREGISTRET
1. Personuppgiftsansvarig
Lehto Group Oyj (2235443-2)
Xxxxxxxx 0 X, 00000 KEMPELE xxxxxxxxxxx@xxxxx.xx, tfn 020 320 000 (nedan ”den Personuppgiftsansvarige”)
2. Kontaktperson
Outi Kannuksela
Xxxxxxxxxxxxxxxx 0, 00000 VANDA xxxxxxxxxx@xxxxx.xx
3. Uppgifter som ingår i registret
Detta register kan innehålla uppgifter som hör till följande kategorier av uppgifter: den registrerades namn, födelsetid, adress,
e-postadress, telefonnummer, utbildning, avlagda kurser, kompetenser, examina, utvecklingssamtal, nyckelmål, befattning, uppgifter om lön, utbetalning av lön och förmåner av lönenatur, resebokningar, rese- och utgiftsuppgifter, uppgifter om den dagliga arbetstidsuppföljningen, videoövervakningsmaterial från byggarbetsplatser, semesteruppgifter, uppgifter och intyg över sjukfrånvaro och annan frånvaro samt eventuella andra uppgifter om anställningsförhållandet. Vad gäller arbetstagare som kommer från områden utanför EU och arbetar för en underleverantör förvaras en kopia av passet och uppehållstillståndet.
4. Syftet med och den rättsliga grunden för behandlingen av personuppgifter
Syftet med behandlingen av personuppgifter är att verkställa anställningsförhållandet mellan den Personuppgiftsansvarige och den registrerade och att administrera anknutna uppgifter. Om anställningsförhållandet är långvarigt, grundar sig behandlingen av personuppgifter på arbetsavtalet mellan den Personuppgiftsansvarige och arbetstagaren och efter att anställningsförhållandet upphört utgörs den rättsliga grunden av fullförande av den Personuppgiftsansvariges lagstadgade plikter (bl.a. bokföringslagen och arbetsavtalslagen).
Vad gäller arbetstagare som arbetar för underentreprenörer utgörs grunden för behandlingen av ett berättigat intresse hos den Personuppgiftsansvarige eller fullgörande av en lagstadgad plikt.
5. Mottagare av personuppgifter
Uppgifter om den registrerade behandlas bland annat av arbetstagare på den Personuppgiftsansvariges personal- och IT-avdelning och löneadministration, den registrerades chefer eller företrädare för dessa samt andra arbetstagare hos den Personuppgiftsansvarige, vars arbetsuppgifter fordrar behandling av de aktuella uppgifterna. Personuppgifter kan behandlas också av andra utomstående aktörer utifrån ett separat uppdrag av den Personuppgiftsansvarige (bl.a. videoövervakning av byggarbetsplatser) samt kontaktpersoner för systemleverantörer.
Den personuppgiftsansvarige har ingått ett dataskyddsavtal som uppfyller kraven i EU:s dataskyddsförordning med alla utomstående personuppgiftsbiträden. Med detta avtal säkerställs bland annat att uppgifterna är konfidentiella.
Vid behov kan uppgifter också överlåtas till myndigheter utifrån lagakraftvunna domar av domstolarna och föreskrifter som grundar sig på lagstiftningen.
6. Informationskällor
Personuppgifter som gäller den registrerade samlas i princip in av den registrerade själv då anställningsförhållandet börjar och slutar.
7. Förvaringstiden för personuppgifter
Den personuppgiftsansvarige förvarar personuppgifter enbart för det syfte för vilket de ursprungligen samlats in. Alla förvaringstider grundar sig på den gällande lagstiftningen. Till exempel är förvaringstiden för personuppgifter som behövs för att utfärda arbetsintyg 10 år från det att anställningsförhållandet upphört, medan förvaringstiden för uppgifter om eventuella arbetsolycksfall är 20 år från det att anställningsförhållandet upphört.
8. Rätten för den registrerade att göra en invändning mot behandling av personuppgifter
Den registrerade har alltid rätt att göra en invändning mot behandling av personuppgifter som anknyter till direktmarknadsföring. Om behandlingen grundar sig på ett annat berättigat intresse hos den Personuppgiftsansvarige, har den registrerade likaså alltid rätt att
göra en invändning mot behandlingen av personuppgifter utifrån en grund som anknyter till en personlig specifik situation.
9. Den registrerades övriga rättigheter
a. Rätten till tillgång till personuppgifter och rätten att korrigera uppgifter
Den registrerade har rätt att avgiftsfritt få en kopia av egna personuppgifter och kräva att den Personuppgiftsansvarige utan oskäligt dröjsmål rättar inexakta och felaktiga personuppgifter om den registrerade. Med beaktande av syftena för behandlingen av uppgifter, har den registrerade rätt att komplettera bristfälliga personuppgifter till exempel genom att lämna in en tilläggsutredning.
De registrerade kan också ganska och redigera en del av de personuppgifter som finns i de system till vilka de fått användarnamn.
b. Rätten att begränsa behandlingen
Den registrerade har rätt att begränsa behandlingen av uppgifter till enbart förvaring av uppgifter, om uppgifterna inte är korrekta, behandlingen är lagstridig och den registrerade inte vill att uppgifter raderas, den Personuppgiftsansvarige inte längre behöver uppgifterna för behandlingssyfte, men den registrerade behöver dem för fastställande, utövande eller försvar av rättsliga anspråk eller om den registrerade gjort en invändning mot behandling av personuppgifter som hör till ett berättigat intressen som grund för behandling genom att åberopa en personlig specifik situation i väntan på kontroll av om den Personuppgiftsansvariges berättigade grunder väger tyngre än den registrerades grunder.
c. Rätten att radera uppgifter
Den registrerade har rätt få uppgifter om honom eller henne raderade från registret bland annat då uppgifterna inte längre behövs för de ursprungliga syftena. Den registrerade har rätt att kräva att uppgifter raderas också då han eller hon utövat sin rätt att göra invändning enligt punkt 10 och ingen motiverad orsak föreligger för behandlingen eller då behandlingen varit lagstridig.
d. Rätten att återkalla ett samtycke
Om behandlingen grundar sig på ett samtycke har den registrerade rätt att återkalla ett samtycke när som helst under behandlingen.
e. Rätten att överföra uppgifter från ett system till ett annat
Den registrerade har rätt att få uppgifter som gäller honom eller henne överförda från ett system till ett annat bland annat då den rättsliga grunden för behandlingen utgörs av ett samtycke av den registrerade eller ett avtal och behandlingen utförs automatiskt.
f. Rätten att framföra klagomål till tillsynsmyndigheten
Den registrerade har också rätt att framföra klagomål till tillsynsmyndigheten om han eller hon anser att man i behandlingen av personuppgifter som gäller honom eller henne inte iakttagit bestämmelserna om dataskydd. I Finland fungerar Dataombudsmannen som tillsynsmyndighet (xxx.xxxxxxxxxx.xx). Detta begränsar dock inte den registrerades övriga administrativa prövningsförfaranden eller rättsskyddsmedel.
10. Tillgodoseende av den registrerades rättigheter
Den registrerade kan tillgodose sina rättigheter enligt punkterna 8 och 9 genom att sända en begäran om uppgifter till adressen xxxxxxxxxx@xxxxx.xx. Den personuppgiftsansvarige kan vid behov begära att den registrerade preciserar sin begäran skriftligen och bekräftar den registrerades identitet innan begäran behandlas. Den personuppgiftsansvarige kan vägra att tillmötesgå begäran utifrån en grund som föreskrivits i dataskyddsförordningen.
11. Eventuella risker förknippade med den registrerades rättigheter och friheter
Den Personuppgiftsansvarige och tillhandahållarna av system som anknyter till kund- och marknadsföringsregistret, vilka behandlar personuppgifter för den Personuppgiftsansvariges räkning, har förbundit sig att behandla och skydda personuppgifter enligt den gällande lagstiftningen.
Alla uppgifter som inkluderas i detta register förvaras konfidentiellt och tillgången till personuppgifter har begränsats till enbart de personer som är berättigade att inom ramen för deras arbetsuppgifter behandla de aktuella personuppgifterna. Dessa personer har tystnadsplikt. Datatrafikförbindelsen från användarens webbläsare till den Personuppgiftsansvariges server är krypterad. Det material
som behandlas elektroniskt samlas in i databaser som är skyddade med brandväggar, lösenord och andra former av tekniska metoder. Alla personuppgifter som behandlats manuellt förstörs på datasäkert sätt.
12. Överföring av uppgifter till områden utanför EU eller EES
Personuppgifter lämnas inte ut till områden utanför EU eller EES