Dataskyddsbeskrivning för arbetssökanderegistret vid Jubileumsfonden för Finlands självständighet (Sitra)
1 Personuppgiftsansvarig
Personuppgiftsansvarig för registret är Jubileumsfonden för Finlands självständighet Sitra (FO-nummer 0202132-3)
Kontaktperson i registerärenden:
Pirta Karlsson
Personnel chef
Jubileumsfonden för Finlands självständighet Sitra
Adress: Östersjögatan 11 – 13, PB 160, 00181 Helsingfors
Telefon: +358 294 618 991
E-post: kirjaamo@sitra.fi
Personuppgiftsbiträde:
Janika Skaffari
Expert, Förvaltning
kirjaamo@sitra.fi
2 Registrets namn
Registrets namn är Sitras arbetssökanderegister.
3 Syfte med behandlingen av personuppgifter
Personuppgifter behandlas i syften som anknyter till genomförandet och administrationen av den personuppgiftsansvariges rekryteringsåtgärder. I enlighet med detta behandlas personuppgifter för att upprätthålla person-, ansöknings- och rekryteringsuppgifter för arbetssökande (registrerade) som har sökt anställning hos den personuppgiftsansvarige, för att genomföra den personuppgiftsansvariges lagstadgade förpliktelser som hänför sig till antagningen av anställda samt andra åtgärder som anknyter till rekrytering av anställda och skapandet av arbetsförhållanden samt för att möjliggöra kontakt i anknytning till ansöknings- och antagningsförfarandet. Uppgifterna i registret behandlas inte genom automatiska beslut. Den personuppgiftsansvarige behandlar uppgifterna själv och i behandlingen av personuppgifter används underleverantörer som arbetar för den personuppgiftsansvariges del och räkning.
4 Rättslig grund för behandlingen
De rättsliga grunderna för behandlingen av personuppgifter är följande enligt EU:s allmänna dataskyddsförordning:
(a) behandlingen är nödvändig för att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige omfattas av eller, om det handlar om personuppgifter som hör till en särskild kategori av personuppgifter, behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten, i den omfattning detta är tillåtet enligt unionsrätten eller den nationella lagstiftningen eller ett kollektivavtal där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs;
(b) behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige;
(c) den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål eller, om det handlar om personuppgifter som hör till en särskild kategori av personuppgifter, den registrerade har lämnat sitt uttryckliga samtycke till behandlingen av ifrågavarande personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller den nationella lagstiftningen föreskriver att det lagstadgade förbudet mot behandling av uppgifter inte kan upphävas med den registrerades samtycke.
(d) behandlingen är nödvändig för genomförande av den registrerades anställningsavtal;
(e) behandlingen rör personuppgifter, inklusive uppgifter som hör till en särskild kategori av personuppgifter, som på ett tydligt sätt har offentliggjorts av den registrerade;
(f) behandlingen, inklusive behandlingen av uppgifter som hör till en särskild kategori av personuppgifter, är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk;
5 Datainnehållet i registret (personuppgiftsgrupper som behandlas)
I regel innehåller registret följande personuppgifter om alla registrerade:
(a) grunduppgifter om arbetssökanden (den registrerade), t.ex. namn och kontaktuppgifter;
(b) uppgifter som anknyter till arbetsuppgifterna som arbetssökanden (den registrerade) ansökt om, inklusive uppgifter om arbetsförhållandets form och karaktär samt datumet när den anställda blir tillgänglig;
(c) uppgifter om arbetserfarenheten;
(d) information om huruvida uppgifterna får sparas med tanke på andra öppna arbetsuppgifter.
Registret innehåller följande personuppgifter om de personer som frivilligt har lämnat de nämnda uppgifterna om sig själva i de datasystem som den registeransvarige använder i rekryteringen:
(a) uppgifter om arbetssökandens (den registrerades) studier och övriga utbildning;
(b) arbetssökandens (den registrerades) språkkunskaper; (c) uppgifter som beskriver arbetssökandens (den registrerades) specialkompetens, och om arbetssökanden har referenser i ansökningsprocessen, dessa personers (registrerades) namn och kontaktuppgifter;
(d) arbetssökandens (den registrerades) löneanspråk; (e) övriga uppgifter som arbetssökanden (den registrerade) angett under ansökningsförfarandet; sådana övriga uppgifter är bland annat uppgifter som sökanden frivilligt kunnat lämna i en handling som fogats till den personuppgiftsansvariges ansökningsblankett (exempelvis meritförteckning, bild, uppgifter om arbetserfarenheten, olika betyg och bedömningar av arbetsprestationer). I registret samlas därtill följande tilläggsuppgifter som anknyter till rekryteringsprocessen:
(f) identifikationsuppgift om den arbetsuppgift som arbetssökanden (den registrerade) sökt och arbetsuppgift som ansökan gäller;
(g) den ansvarsperson som utnämnts för arbetssökanden (den registrerade) i rekryteringsprocessen;
(h) uppgifter om hur arbetssökandens (den registrerades) rekryteringsprocess framskrider (såsom uppgift om en framtida fortsättningsintervju och avbrytande av rekryteringsprocessen).
6 Regelmässiga informationskällor
Personuppgifterna samlas i första hand av den registrerade själv.
För att den registrerade ska kunna delta i ansöknings- och antagningsförfarandet och göra ett eventuellt arbetsavtal måste personuppgifterna som den personuppgiftsansvarige samlar in av den registrerade och som beskrivs i punkt 5 underpunkterna [(a)–(d)] lämnas till den personuppgiftsansvarige, eftersom samlande av sådana uppgifter är en förutsättning för genomförandet av den personuppgiftsansvariges lagstadgade förpliktelser som arbetsgivare. Den registrerade ska på begäran lämna dessa personuppgifter till den personuppgiftsansvarige omedelbart, och att inte lämna sådana personuppgifter kan eventuellt påverka slutandet av avtal och den personuppgiftsansvariges möjligheter att genomföra sina lagstadgade förpliktelser, vilket även kan påverka den registrerades ansöknings- och antagningsförfarande och tillgodoseendet av rättigheter som hänför sig till ett eventuellt arbetsförhållande.
7 Lagringstid för personuppgifterna
Uppgifterna som samlats i registret lagras endast så länge och i den omfattning som behövs med tanke på de ursprungliga eller förenliga syften som personuppgifterna har samlats för. Personuppgifterna lagras i varje fall enligt den eventuella lagstadgade lagringstiden.
Uppgifter som arbetssökanden (den registrerade) lämnat till den personuppgiftsansvarige i samband med rekryteringsprocessen lagras i den personuppgiftsansvariges datasystem i sex (6) månader.
Den personuppgiftsansvarige vidtar alla skäliga åtgärder som är möjliga för att säkerställa att personuppgifter som med tanke på syftet med behandlingen är ofullständiga, felaktiga eller föråldrade raderas eller korrigeras omedelbart.
8 Mottagare av personuppgifter (kategorier av mottagare) samt regelbunden utlämning av uppgifter
Uppgifterna i registret lämnas inte ut till tredje part.
9 Överföring av uppgifter till länder utanför EU eller EES
Uppgifterna i registret överförs till länder utanför EU eller EES. Vid överföring av personuppgifter iakttar den personuppgiftsansvarige standardavtalsklausuler som antagits av Europeiska kommissionen och gäller överföring av personuppgifter till tredjeländer.
10 Principer för registerskyddet
Eventuella fysiska material som innehåller personuppgifter förvaras i låsta lokaler som endast utnämnda personer har tillgång till på grund av sina uppgifter.
Databaserna som innehåller personuppgifter finns på servrar som förvaras i låsta lokaler och som endast utnämnda personer har tillgång till på grund av sina uppgifter. Servrarna är skyddade med en ändamålsenlig brandvägg och tekniska skyddsåtgärder.
Tillgång till databaserna och systemen sker endast med personliga användarnamn och lösenord som beviljas särskilt. Sitra har begränsat användarrättigheterna och -behörigheterna i fråga om datasystem och andra lagringsplattformar så att uppgifterna kan granskas och behandlas endast av de personer som måste göra det med tanke på den lagstadgade behandlingen. Därtill registreras användningen av databaserna och systemen i logguppgifterna för Sitras it-system.
Sitras anställda och övriga personer har förbundit sig vid att iaktta tystnadsplikt och sekretess i fråga om information de har erhållit genom behandling av personuppgifter.
Behandling av känsliga personuppgifter är tillåtet och har genom användarhantering gjorts tekniskt möjligt endast för särskilt utvalda och avgränsade personer, som på grund av sina arbetsuppgifter måste behandla sådana uppgifter för Sitras del exempelvis med tanke på researrangemang.
Databasen som innehåller personuppgifter finns på en server som förvaras i en låst lokal och som endast utnämnda personer har tillgång till på grund av sina uppgifter. Servern är skyddad med en ändamålsenlig brandvägg och tekniska skyddsåtgärder.
11 Den registrerades rättigheter
Arbetssökanden (den registrerade) har följande rättigheter enligt EU:s allmänna dataskyddsförordning:
(a) rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information: (i) ändamålen med behandlingen; (ii) de kategorier av personuppgifter som behandlingen gäller; (iii) de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut; (iv) om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period; (v) rätt att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; (vi) rätt att inge klagomål till en tillsynsmyndighet; (vii) om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer;
(b) rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades;
(c) rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade samt rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande med beaktande av ändamålen med behandlingen;
(d) rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade förutsatt att (i) personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats; (ii) den registrerade återkallar det samtycke på vilket behandlingen grundar sig och det inte finns någon annan rättslig grund för behandlingen; (iii) den registrerade invänder mot behandlingen av skäl som hänför sig till hans eller hennes specifika situation och det saknas berättigade skäl för behandlingen; (iv)
personuppgifterna har behandlats på olagligt sätt; eller (v) personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i den nationella lagstiftningen som den personuppgiftsansvarige omfattas av;
(e) rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om (i) den registrerade bestrider personuppgifternas korrekthet, varvid behandlingen begränsas under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta; (ii) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning; (iii) den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk; eller (iv) den registrerade har invänt mot behandling av skäl som hänför sig till hans eller hennes specifika situation i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl;
(f) rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format, och rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om behandlingen grundar sig på samtycke enligt förordningen och behandlingen sker automatiserat;
(g) rätt att lämna in klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som avser honom eller henne strider mot EU:s allmänna dataskyddsförordning
Begäranden som gäller tillgodoseendet av den registrerades rättigheter riktas till den personuppgiftsansvariges kontaktperson som nämns i punkt 1.