Osuuskauppa Hämeenmaan ulkoisen työvoiman rekisteri

ULKOISEN TYÖVOIMAN TIETOSUOJASELOSTE
päivitetty 23.2.2024 

Euroopan Unionin yleinen tietosuoja-asetus (EU) 2016/679, artiklat 12, 13, 14 ja 19 

1. Rekisterinpitäjä
Osuuskauppa Hämeenmaa

2. Tietosuojavastaavan yhteystiedot
tietosuojavastaava@sok.fi

3. Rekisteriasioita hoitava henkilö
tietosuoja.hameenmaa@sok.fi

4. Rekisterin nimi
Ulkoisen työvoiman rekisteri

5. Henkilötietojen käsittelyn tarkoitus           

Ulkoisen työvoiman henkilötietojen käsittely. Ulkoisten työntekijöiden henkilötietoja käsitellään yksilön tunnistamisen ja tehtävän suorittamisen mahdollistamiseksi. Henkilötietoja käsitellään myös rekisterinpitäjän toimintaa koskevaa raportointia varten sekä tarpeen mukaan myös muuta raportointia varten. Tarpeen mukaan henkilötietoja käsitellään myös muiden lakisääteisten velvollisuuksien täyttämiseksi.

6. Henkilötietojen käsittelyn peruste             

Oikeutettu etu – Jos toimeksiantosopimus on tehty työnantajan tai toimeksiantajan kanssa (esim. vuokratyöntekijät), henkilötietojen käsittelyperusteena on pääsääntöisesti oikeutettu etu, hätäyhteyshenkilön nimeä, puhelinnumeroa ja lakisääteisiä velvoitteita lukuun ottamatta. Workplacen, pilvipalvelu Office 365:n ja sellaisen raportoinnin, joka ei perustu lakisääteiseen velvoitteeseen, käsittelyperusteena on kaiken ulkoisen työvoiman osalta pääsääntöisesti oikeutettu etu. 

Sopimuksen täytäntöönpano – Jos sopimus on tehty rekisterinpitäjän ja ulkoisen työntekijän välillä, henkilötietojen käsittelyperusteena on pääsääntöisesti toimeksiantosopimus (esim. harjoittelijat ja opinnäytetyöntekijät)

Suostumus – Hätäyhteyshenkilön nimi ja puhelinnumero

Rekisterinpitäjän lakisääteinen velvoite – Rekisterinpitäjällä saattaa olla tarve käsitellä ulkoisten työntekijöiden tietoja myös lakisääteisten velvoitteiden noudattamiseksi, esimerkiksi työturvallisuuslainsäädännöstä tulevien velvoitteiden täyttämiseksi ja lainsäädännöstä tulevien raportointivelvoitteiden täyttämiseksi.

7. Kuvaus rekisterinpitäjän oikeutetusta edusta                   

Vuokratyöntekijät: Rekisterinpitäjän eli ulkopuolisen työvoiman käyttäjän kannalta on välttämätöntä tietää, kuka tulee suorittamaan tiettyä tehtävää. Toisaalta rekisteröity voi kohtuudella odottaa, että hänen henkilötietojaan tarvitaan käyttäjäyrityksen eli rekisterinpitäjän toiminnassa henkilön yksilöimiseksi. 

Workplace: Rekisterinpitäjän toiminnan kannalta on perusteltua ja tarpeellista tarjota ulkoisille työntekijöille nykyaikainen, ajasta ja paikasta riippumaton työviestinnän kanava. Rekisteröidyistä itsestään palveluihin viedään vain minimitiedot (yhteystiedot). Workplacen osalta rekisteröidyllä on itsellään laajat mahdollisuudet vaikuttaa siihen, kuinka aktiivisesti ja millä tavoin hän osallistuu viestintään. Näin ollen palvelun käytöstä ei aiheudu kohtuutonta haittaa tai riskejä rekisteröidyn yksityisyyden suojalle.

Office365: Tehtävässä suoriutumisen kannalta Office 365 on keskeinen työväline ja järjestelmä. Office 365 on nykyaikainen ajasta ja paikasta riippumaton pilvipalvelu, jossa rekisteröidyllä on laajat mahdollisuudet vaikuttaa siihen, millä tavoin hän Office 365 –sovelluksia käyttää. Rekisteröidyllä on mm. mahdollisuus itse hallinnoida luotujen dokumenttien näkyvyyttä ja oletusasetuksena on, että tiedostot näkyvät ainoastaan rekisteröidylle itselleen.  

Raportointi: Rekisterinpitäjän on välttämätöntä käsitellä ulkoisten työntekijöiden tietoja työvoiman käyttöä ja toiminnan kehittämistä koskevaa raportointia varten. Raportoinnissa käsitellään vain tarkoituksen kannalta tarpeellisia tietoja, jotka liittyvät kiinteästi yrityksessä työskentelyyn eikä käsittely osapuolten välillä olevan/olleen merkittävän suhteen vuoksi ole yllättävää tai ennalta-arvaamatonta. On erittäin epätodennäköistä, että käsittelystä aiheutuisi rekisteröidylle negatiivisia vaikutuksia.

8. Rekisteröityjen ryhmät         

Vuokratyöntekijät, palkattomat harjoittelijat ja muu tilapäinen työvoima

9. Käsiteltävät henkilötiedot ja -ryhmät         

Vuokratyöntekijät: 

Keikkatyöntekijän nimi näkyy työvuoroluettelossa työvuorosuunnittelujärjestelmässä (Elli) tai/ja paperisella työvuorolistalla seinässä.

Vakio-ekstraajista saatetaan lisäksi pitää puhelinnumerotietoa seinällä.  

Henkilön nimi esiintyy myös kassojen istumajärjestyksessä.

Kulkuoikeudet kuitataan erilliseen listaan. 

Vuokratyöntekijää saatetaan pyytää allekirjoittamaan esimerkiksi ikärajavalvontasitoumukset.

Palkattomat harjoittelijat ja opinnäytetyöntekijät: 

Vuokratyöntekijä –kohdassa mainittujen lisäksi henkilön kanssa tehdään oppilaitoksen tai TE-toimiston mallin mukainen harjoittelusopimus, josta ilmenee nimi, yhteystiedot, henkilötunnus.

TET-harjoittelijoista käsitellään suppeammin tietoa käytössä olevan TET-lomakkeen mukaan, kuten henkilön nimi ja koululuokka.

Muu tilapäinen työvoima (esim. inventaarityövoima, taksvärkkiläiset, konsultit ym.): 

Henkilöiden nimet kerätään erilliseen listaan, sekä kunkin tekemät tunnit, joiden perusteella maksetaan sovittu tuntiperusteinen taksa yhdistykselle tms. jonka kanssa työvoiman käytöstä on sovittu. 

Kulkuoikeudet kuitataan erilliseen listaan. 

Lisäksi nimitieto voi joissain tilanteissa näkyä työvuoroluettelossa työvuorosuunnittelujärjestelmässä (Elli) tai/ja paperisella työvuorolistalla seinässä.

10. Tietolähde ja kuvaus tietolähteistä, mikäli tiedot on kerätty julkisista lähteistä

Rekisterin tiedot on pääsääntöisesti saatu joko vuokratyöyritykseltä (tai sen järjestelmästä, johon rekisterinpitäjällä on pääsy) tai rekisteröidyltä itseltään tai hänet lähettäneeltä taholta, tai ne ovat kerääntyneet työskentelyn kestäessä rekisterinpitäjän järjestelmiin tai manuaalisiin aineistoihin. 

11. Henkilötietojen vastaanottajat                   

Henkilötietoja ei pääsääntöisesti luovuteta ulkopuolelle, ellei luovutukselle ole lainsäädännöstä johtuvaa perustetta. Esim. työturvallisuuslaki edellyttää, että vuokratyön vastaanottajan on ilmoitettava tarpeellisessa laajuudessa työn aloittamisesta työpaikan työterveyshuollolle sekä työsuojeluvaltuutetulle.

Edellä mainitusta voidaan kuitenkin poiketa tarpeen vaatiessa esim. oppilaitokselle voidaan kuitenkin luovuttaa arvio henkilön suoriutumisesta, jos kyseinen prosessi sitä edellyttää. 

Henkilötietoja käsitellään tässä selosteessa määriteltyihin tarkoituksiin sähköisissä järjestelmissä ja palveluissa. Käytämme ulkoisia palvelukumppaneita järjestelmä- ja tukipalveluiden tuottamisessa. Henkilötietoja voidaan siirtää käytössä oleville palvelukumppaneille siltä osin, kun nämä osallistuvat toimenpiteiden toteuttamiseen saadun toimeksiannon puitteissa.

Huolehdimme kumppaneidemme henkilötietojen suojan riittävästä tasosta lainsäädännön edellyttämällä tavalla. 

Luovutamme tietoja viranomaisille voimassaolevan lainsäädännön sallimissa ja velvoittamissa rajoissa esimerkiksi viranomaisten tietopyyntöihin vastattaessa.

12. Henkilötiedon siirrot kolmanteen maahan tai kansainväliselle järjestölle ja käytetyt suojatoimet      

Käytämme alihankkijoita henkilötietojen käsittelyssä, ja tietoja siirretään rajatusti Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolelle.  

Henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle silloin kun se on henkilötietojen käsittelyn teknisen toteuttamisen kannalta tarpeellista. Sopimuskumppanit ovat sitoutuneet huolehtimaan siitä, että tietosuoja-asetuksen edellyttämiä suojamekanismeja tällöin noudatetaan. 

Sopimuskumppanimme ovat asianmukaisin sopimuksin sitoutuneet tietosuojajärjestelyyn palvelu- ja tietojenkäsittelysopimuksen sekä EU:n mallilausekkeiden mukaisesti. 

Henkilötietoja ei siirretä kansainvälisille järjestöille. 

13. Henkilötietojen säilytysaika tai säilytysajan määrittämisen kriteerit       

Tämän selosteen mukaisia henkilötietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin ne ovat tarpeellisia ja rekisterinpitäjä hyödyntää niitä ilmoitettuihin käsittelytarkoituksiin liittyvässä toiminnassa. 

Säilytysajat vaihtelevat prosessikohtaisesti ja ne perustuvat viime kädessä rekisterinpitäjän arvioimaan tiedon tarpeellisuuteen.    

14. Rekisteröidyn oikeudet        

  • Rekisteröidyllä on oikeus saada tutustua omiin henkilötietoihinsa tietosuoja-asetuksen 15 artiklan mukaisesti. 
  • Rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan mahdolliset virheelliset tiedot tietosuoja-asetuksen 16 artiklan mukaisesti.
  • Rekisteröidyllä on oikeus saada tietonsa poistetuiksi tietosuoja-asetuksen 17 artiklassa ilmoitettujen edellytysten täyttyessä. 
  • Rekisteröidyllä on oikeus tietojensa käsittelyn rajoittamiseen, jos tietosuoja-asetuksen 18 artiklan mukaiset edellytykset täyttyvät. 
  • Rekisteröidyllä on tietosuoja-asetuksen 20 artiklan mukainen oikeus siirtää tiedot järjestelmästä toiseen siltä osin kuin tiedot on saatu rekisteröidyltä itseltään, niiden käsittely tehdään automaattisesti ja niiden käsittely perustuu suostumukseen tai sopimukseen. 
  • Rekisteröidyllä on tietosuoja-asetuksen 21 artiklan mukainen oikeus vastustaa häntä koskevien tietojen käsittelyä, jos tiedot on kerätty yleistä etua koskevan tehtävän suorittamiseksi tai oikeutetun edun perusteella, ja jos muut artiklaan sisältyvät kriteerit täyttyvät. 
  • Jos henkilö haluaa käyttää oikeuksiaan tai saada lisätietoa henkilötietojensa käsittelystä, hän voi olla yhteydessä tässä selosteessa mainittuun rekisterinpitäjään.
  • Rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle, jos hän katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.

15.  Suostumuksen peruuttaminen                   

Niiltä osin, kuin tietojen käsittely perustuu suostumukseen, rekisteröidyllä on tietosuoja-asetuksen artiklan 7 mukaan oikeus peruuttaa antamansa suostumus milloin tahansa.  Suostumuksen peruuttaminen päättää rekisterinpitäjän oikeuden käsitellä henkilötietoja sellaisiin käyttötarkoituksiin, joilla ei ole suostumuksen lisäksi muuta käsittelyn perustetta. Suostumuksen voi peruuttaa ilmoittamalla siitä rekisterinpitäjälle.  

16. Henkilötiedon antamatta jättämisen vaikutukset sopimukselle              

Rekisterinpitäjä ei voi hyödyntää sellaisen ulkoisen henkilön työpanosta, joka ei ole valmis toimittamaan yllä mainittuja henkilötietojaan.  Poikkeuksena ovat tiedot, joiden käsittely perustuu rekisteröidyn suostumukseen. Suostumuksen antamisesta voi kieltäytyä seuraamuksetta.    

17. Automatisoidun päätöksenteon tai profiloinnin merkitykselliset tiedot  

Henkilötietojen käsittelyyn ei liity automatisoitua päätöksentekoa eikä henkilötietojen perusteella tehdä profilointia.

18. Henkilötietojen käsittelyn vaikutukset ja yleinen kuvaus teknisistä ja organisatorisista turvatoimista 

Suojaamme henkilötietoja huolellisesti koko niiden elinkaaren ajan käyttämällä asianmukaisia tietosuoja- ja tietoturvallisuuskeinoja. Järjestelmätoimittajat käsittelevät henkilötietoja tietoturvallisissa palvelintiloissa. Pääsyä henkilötietoihin on rajoitettu ja henkilöstöllä on salassapitovelvollisuus. 

S-ryhmässä suojaamme henkilötietoja muun muassa ennakoivalla riskienhallinnalla ja turvallisuussuunnittelulla, tietoliikenteen suojakeinoin, tietojärjestelmien jatkuvalla ylläpidolla, varmuuskopioimalla sekä käyttämällä turvallisia laitetiloja, kulunvalvontaa ja turvallisuusjärjestelmiä. Henkilötietoja sisältävät fyysiset asiakirjat säilytetään alkukäsittelyn jälkeen lukituissa säilytystiloissa. Käyttöoikeuksien myöntäminen ja seuranta on hallittua. Koulutamme henkilötietojen käsittelyyn osallistuvaa henkilökuntaamme säännöllisesti ja huolehdimme siitä, että myös yhteistyökumppaniemme henkilöstö ymmärtää henkilötietojen luottamuksellisen luonteen ja turvallisen käsittelyn merkityksen. Valitsemme käyttämämme alihankkijat huolellisesti. Päivitämme jatkuvasti sisäisiä käytäntöjämme ja ohjeitamme.

Jos kaikista suojatoimistamme huolimatta henkilötiedot joutuvat vääriin käsiin, on mahdollista, että henkilöllisyys varastetaan tai henkilötietoja käytetään muuten väärin. Jos havaitsemme tällaisen tapahtuman, ryhdymme viipymättä selvittämään sitä ja pyrimme estämään aiheutuvat vahingot. Informoimme tietoturvaloukkauksesta tarvittavia viranomaisia ja rekisteröityjä lainsäädännön vaatimusten mukaisesti.