Dataskyddsbeskrivning
Tidpunkt för upprättande eller ändring: 15.4.2024
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Respektive arbetsgivarsammanslutning i OP Gruppen
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: HR-servicecenter
Telefon: 010 2524627
E-postadress: hr-palvelut(a)op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd(a)op.fi
4. Registrets namn och registrerade
Rekryteringsregistret
Varje arbetsgivare i OP Gruppen har ett eget rekryteringsregister. I den här dataskyddsbeskrivningen redogörs för behandlingen av personuppgifter i respektive personuppgiftsansvariges (varje arbetsgivarsammanslutning i OP Gruppen) rekryteringsregister.
Registrerade i registret är OP Gruppens interna och externa arbetssökande, som ansöker om arbetsplatser som lediganslagits av en personuppgiftsansvarig. Sökanden kan spara sina grunddata i rekryteringssystemet, varvid de utgör en öppen ansökan. Om personen efter det riktar sin ansökan till en ledig plats och fyller i de tilläggsfrågor som gäller arbetsuppgiften, utgör det en uppgiftsbestämd ansökan. I regel är det den sökande själv som riktar sin ansökan till en viss uppgift, men med sökandens samtycke kan också en rekryteringsexpert göra det.
Registret omfattar också, enligt lagringsperioder som fastställts i förväg, uppgifter om de arbetssökande som deltagit i avslutade ansökningsprocesser och som inte blivit valda till lediga platser.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
Ändamålen med behandlingen
Det huvudsakliga ändamålet med behandlingen av personuppgifter är att samla in de uppgifter om de registrerade som behövs för att välja en arbetstagare. Uppgifter samlas in endast i den omfattning som krävs för att genomföra rekryteringen.
Till ändamålen med personuppgifterna hör:
- behandling av sådana personuppgifter som krävs för att tillsätta lediga platser från det att ansökan lämnas in till det att en arbetstagare eller arbetstagare väljs (dvs. att genomföra rekryteringsprocessen), inklusive bedömning av sökandena och underrättande av sökandena om valen
- mätning av sökandes kandidatupplevelse
- ingående av arbetsavtal med den eller de arbetstagare som valts
- insamling av statistikuppgifter i rekryteringsprocesser
- användning av uppgifter i informationsändamål, till exempel annonsering av lediga platser samt OP Gruppens evenemang
- att utföra eller låta utföra säkerhetsutredningar samt andra utvärderingar och bakgrundsutredningar som lagen tillåter
- arbetsrättsliga rättigheter och skyldigheter
- skötsel av skyldigheter som baserar sig på lag eller på myndigheternas föreskrifter och anvisningar
Profilering
Behandlingen av personuppgifter i registret omfattar också profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. Profilering används vid lämplighetsbedömningar i samband med rekrytering. Med hjälp av en lämplighetsbedömning bedöms en sökandes egenskaper som anställd. Lämplighetsbedömningarna är en del av den totalbedömning som görs vid en anställning och de används som stöd för rekryteringsbeslut. Syftet är att bland sökandena hitta den person som är bäst lämpad för en arbetsuppgift.
Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som hänför sig till registret samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Åtgärder som föregår ingående av avtal | I registret behandlas personuppgifter för att ingå ett arbetsavtal med en arbetssökande som blivit vald. |
| Den personuppgiftsansvariges eller en tredje parts berättigade intressen | Den personuppgiftsansvarige har berättigat intresse att behandla de arbetssökandes personuppgifter för att genomföra en rekryteringsprocess. Den registrerade har en saklig anknytning till den personuppgiftsansvarige på basis av den registrerades ansökan. På den här grunden kan den personuppgiftsansvarige behandla personuppgifter också för att påvisa att de lagstadgade skyldigheterna i anslutning till valet av arbetstagare har uppfyllts samt för att uppgöra, framställa eller försvara rättsliga anspråk. Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar. |
| Samtycke | Samtycke fungerar som behandlingsgrund i registret till exempel då den personuppgiftsansvarige ber registrerade delta i vissa utvärderingar i anslutning till en rekrytering eller ber en registrerad om tillstånd att utföra nödvändiga bakgrundsutredningar. Med den registrerades samtycke kan en öppen ansökan som den registrerade har lämnat användas för att bland de ansökningar som gjorts i rekryteringssystemet söka lämpliga kandidater för lediga arbetsuppgifter. |
| Lagstadgad skyldighet | När behandling är nödvändig för att uppfylla den personuppgiftsansvarigas lagstadgade skyldighet, är den lagstadgade skyldigheten grund för behandlingen. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Personens grunddata som allmänt behandlas i ansökningsskedet Namn Kontaktinformation (adress, e-postadress och telefonnummer) Övriga identifieringsuppgifter (såsom ansökningskod) Grunddata som därutöver behandlas för en person som valts till en arbetsuppgift Närmare uppgifter för arbetsavtalet, såsom personbeteckning/födelsedatum, alla förnamn, medborgarskaps- och arbetstillståndstjänster samt kön, information om bindningar till Förenta staterna och för arbetstagare som deltar i att erbjuda försäkringar en försäkran om ett gott rykte |
| Samtycken | Den registrerades samtycken till eventuella personbedömningar och nödvändiga bakgrundsutredningar Den registrerades samtycke till användning av en öppen ansökan i flera rekryteringsprocesser |
| Transaktionsuppgifter i anslutning till rekrytering | Uppgifter och transaktioner i anslutning till skötseln av rekryteringsprocessen, såsom uppgifter om en eventuell anställningsintervju |
| Bakgrundsuppgifter | Typiska bakgrundsuppgifter som behandlas är:
|
| Profileringsuppgifter | Uppgifter som fås om sökanden på basis av lämplighetsbedömningstest |
| Intressen | Arbetsuppgifter som den registrerade är intresserad av och deras förläggningsorter |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) | För de registrerade som har lämnat in en arbetsansökan på webbplatsen lagras information om den webbplats som har lett dem till OPs rekryteringssida. Till de uppgifter som samlas in hör till exempel IP-adressen. |
| Inspelningar och innehåll i meddelanden | Uppgifter om kommunikation mellan den personuppgiftsansvarige och den registrerade Under rekryteringsprocessen samlas/produceras inspelningar bland annat beträffande följande funktioner: utvärderingsenkäter och videointervjuer. |
| Tekniska identifieringsuppgifter | Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter |
7. Mottagare och kategorier av mottagare av personuppgifter
Mottagare av uppgifter
Insamlade personuppgifter kan lämnas ut inom OP Gruppen eller till utomstående parter baserat på samtycke av den registrerade eller en lagstadgad skyldighet.
Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning.
Mottagare av uppgifter som överlåts är exempelvis:
- Skyddspolisen (utförande av säkerhetsutredning)
- Tillhandahållare av relokeringstjänster
- Tjänsteleverantörer för lämplighetsbedömningar
- Tjänsteleverantörer inom företagshälsovården (narkotikatester)
Överföring av uppgifter till underleverantörer
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter. En del av de underleverantörer som anlitas är andra företag i OP Gruppen, en del är rekryteringspartner utanför gruppen.
Internationella överföringar av uppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och Europeiska kommissionens standardavtalsklausuler i OPs webbsida: op.fi/dataskydd.
8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Den personuppgiftsansvarige lagrar ansökningsspecifika uppgifter 24 månader räknat från det att ansökan har avslutats/antagningsbeslutet har fattats.
Den personuppgiftsansvarige raderar eller anonymiserar uppgifterna efter lagringsperiodens slut så att enskilda personer inte kan identifieras utifrån uppgifterna.
En sökande utanför OP Gruppen kan själv ta bort sin ansökarprofil i rekryteringssystemet vid önskad tidpunkt.
9. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in av den registrerade då den registrerade fyller i en arbetsansökan.
Beträffande en person som övervägs för en uppgift kan personuppgifter samlas in och uppdateras också från tredje parters register (bakgrundsutredningar), såsom:
- Skyddspolisen för en eventuell säkerhetsutredning med den samtycke av den registrerade
- kreditupplysningsregisteransvariga inom de gränser som lagen tillåter
10. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att radera den registrerades utomstående ansökarprofil.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form utgående från dataskyddsförordningen.
Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
11. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet.
12. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Uppgifterna behandlas konfidentiellt och de kan användas endast av de personer som behöver uppgifterna i sitt arbete. Vid arkiveringen och förstöringen av uppgifter iakttas de föreskrifter och bestämmelser som gäller vid varje tidpunkt. Onödiga eller föråldrade uppgifter lagras inte.
Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.