OP Gruppens rekryteringsregistret

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

Respektive arbetsgivarsammanslutning i OP Gruppen
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: HR-servicecenter
Telefon: 010 2524627
E-postadress: hr-palvelut(a)op.fi

I den här dataskyddsbeskrivningen redogörs för behandlingen av personuppgifter i respektive personuppgiftsansvariges (varje arbetsgivarsammanslutning i OP Gruppen) rekryteringsregister.

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja(a)op.fi

4. Registrets namn och registrerade

Rekryteringsregistret

Registrerade i registret är OP Gruppens interna och externa arbetssökande, som ansöker om arbetsplatser som lediganslagits av en personuppgiftsansvarig. Sökanden kan spara sina grunddata i rekryteringssystemet, varvid de utgör en öppen ansökan. Om personen efter det riktar sin ansökan till en ledig plats och fyller i de tilläggsfrågor som gäller arbetsuppgiften, utgör det en uppgiftsbestämd ansökan. I regel är det den sökande själv som riktar sin ansökan till en viss uppgift, men med sökandens samtycke kan också en rekryteringsexpert göra det.

Registret omfattar också, enligt lagringsperioder som fastställts i förväg, uppgifter om de arbetssökande som deltagit i avslutade ansökningsprocesser och som inte blivit valda till lediga platser.

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

Ändamålen med behandlingen

Det huvudsakliga ändamålet med behandlingen av personuppgifter är att samla in de uppgifter om de registrerade som behövs för att välja en arbetstagare. Uppgifter samlas in endast i den omfattning som krävs för att genomföra rekryteringen.

Till ändamålen med personuppgifterna hör:

  • behandling av sådana personuppgifter som krävs för att tillsätta lediga platser från det att ansökan lämnas in till det att en arbetstagare eller arbetstagare väljs (dvs. att genomföra rekryteringsprocessen), inklusive bedömning av sökandena och underrättande av sökandena om valen
  • ingående av arbetsavtal med den eller de arbetstagare som valts
  • insamling av statistikuppgifter i rekryteringsprocesser
  • användning av uppgifter i informationsändamål, till exempel annonsering av lediga platser samt OP Gruppens evenemang
  • arbetsrättsliga rättigheter och skyldigheter

Rättsliga grunder för behandlingen

Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.

Rättslig grund Exempel
Åtgärder som föregår ingående av avtal I registret behandlas personuppgifter för att ingå ett arbetsavtal med en arbetssökande som blivit vald.
Den personuppgiftsansvariges eller en tredje parts berättigade intressen Den personuppgiftsansvarige har berättigat intresse att behandla de arbetssökandes personuppgifter för att genomföra en rekryteringsprocess. Den registrerade har en saklig anknytning till den personuppgiftsansvarige på basis av den registrerades ansökan.

På den här grunden kan den personuppgiftsansvarige behandla personuppgifter också för att påvisa att de lagstadgade skyldigheterna i anslutning till valet av arbetstagare har uppfyllts samt för att uppgöra, framställa eller försvara rättsliga anspråk.

Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.
Samtycke Samtycke fungerar som behandlingsgrund i registret till exempel då den personuppgiftsansvarige ber registrerade delta i vissa utvärderingar i anslutning till en rekrytering eller ber en registrerad om tillstånd att utföra nödvändiga bakgrundsutredningar.

Med den registrerades samtycke kan en öppen ansökan som den registrerade har lämnat användas för att bland de ansökningar som gjorts i rekryteringssystemet söka lämpliga kandidater för lediga arbetsuppgifter.

6. Kategorier av personuppgifter

Kategori av personuppgifter Kategorins datainnehåll
Grunddata Personens grunddata som allmänt behandlas i ansökningsskedet

Namn
Kontaktinformation (adress, e-postadress och telefonnummer)

Grunddata som därutöver behandlas för en person som valts till en arbetsuppgift

Närmare uppgifter för arbetsavtalet, såsom personbeteckning/födelsetid, alla förnamn, medborgarskap och kön
Samtycken Den registrerades samtycken till eventuella personbedömningar och nödvändiga bakgrundsutredningar

Den registrerades samtycke till användning av en öppen ansökan i flera rekryteringsprocesser
Transaktionsuppgifter i anslutning till rekrytering Uppgifter och transaktioner i anslutning till skötseln av rekryteringsprocessen, såsom uppgifter om en eventuell anställningsintervju
Bakgrundsuppgifter Typiska bakgrundsuppgifter som behandlas är:
 
  • uppgifter om utbildning och examina
  • tidigare arbetserfarenhet
  • språkkunskap
  • kompetenser
  • CV och följebrev samt eventuella andra bilagor
  • LinkedIn-profil
Intressen Arbetsuppgifter som den registrerade är intresserad av och deras förläggningsorter
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) För de registrerade som har lämnat in en arbetsansökan på webbplatsen lagras information om den webbplats som har lett dem till OPs rekryteringssida. Till de uppgifter som samlas in hör till exempel IP-adressen.
Inspelningar och innehåll i meddelanden Uppgifter om kommunikation mellan den personuppgiftsansvarige och den registrerade

Under rekryteringsprocessen samlas/produceras inspelningar bland annat beträffande följande funktioner: utvärderingsenkäter och videointervjuer.
Tekniska identifieringsuppgifter Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter

7. Mottagare och kategorier av mottagare av personuppgifter

Mottagare av uppgifter

Insamlade personuppgifter kan lämnas ut inom OP Gruppen eller till utomstående parter baserat på samtycke av den registrerade.

Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning.

Överföring av uppgifter till underleverantörer

Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter. En del av de underleverantörer som anlitas är andra företag i OP Gruppen, en del är rekryteringspartner utanför gruppen.

Internationella överföringar av uppgifter

Den personuppgiftsansvarige överför i regel inte uppgifter i det här registret utanför EU/EES. Om uppgifter ändå i enskilda fall skulle överföras utanför EU/EES, tillämpar den personuppgiftsansvarige alltid överföringsmekanismer som tillåts enligt lagstiftningen, såsom standardavtalsklausuler enligt dataskyddslagstiftningen, med vilka man garanterar ett lämpligt skydd för personuppgifterna.

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Den personuppgiftsansvarige lagrar ansökningsspecifika uppgifter 24 månader räknat från det att ansökan har avslutats/antagningsbeslutet har fattats.

Den personuppgiftsansvarige anonymiserar uppgifterna efter lagringsperiodens slut så att enskilda personer inte kan identifieras utifrån uppgifterna.

En sökande utanför OP Gruppen kan själv ta bort sin ansökarprofil i rekryteringssystemet vid önskad tidpunkt.

9. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade då den registrerade fyller i en arbetsansökan.

Beträffande en person som övervägs för en uppgift kan personuppgifter samlas in och uppdateras också från tredje parters register (bakgrundsutredningar), såsom:

  • Skyddspolisen för en eventuell säkerhetsutredning med den samtycke av den registrerade
  • kreditupplysningsregisteransvariga inom de gränser som lagen tillåter

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att radera den registrerades utomstående ansökarprofil.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet.

12. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Uppgifterna behandlas konfidentiellt och de kan användas endast av de personer som behöver uppgifterna i sitt arbete. Vid arkiveringen och förstöringen av uppgifter iakttas de föreskrifter och bestämmelser som gäller vid varje tidpunkt. Onödiga eller föråldrade uppgifter lagras inte.

Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.