KSO Työntekijärekisteri
Tietosuoja
- KSO:n henkilörekisterit
- Tykkimäen huvipuiston asiakasrekisteri
- ABC:n asiakasrekisteri
- Kauneuspalvelut tietosuojaseloste
- Ruokatiliasiakkuuden tilimyyntisopimusrekisteri
- Lyhytaikaisen asiakassuhteen asiakasrekisterin tietosuojaseloste
- Ruuan verkkokaupan asiakasrekisteri
- Tilausten ja varausten yhteystietorekisteri
- Polttoöljykaupan tilaus- ja asiakasrekisterin tietosuojaseloste
- Laskutusasiakasrekisterin tietosuojaseloste
- ABC Prisma Kouvolan huollon asiakasrekisteri
- Työnhakijarekisteri
- Työntekijärekisteri
- Ulkoisen työvoiman rekisteri
- Toimittajarekisteri
- Kiinteistötietojärjestelmien rekisteri
- Edustajistovaalirekisteri
Kymen Seudun Osuuskauppa työntekijärekisteri
TIETOSUOJASELOSTE (25.5.2018 alkaen)
Euroopan Unionin yleinen tietosuoja-asetus (EU) 2016/679, artiklat 12, 13, 14 ja 19
Rekisterinpitäjä
Kymen Seudun Osuuskauppa
Postiosoite: PL 157, 45101 Kouvola
Käyntiosoite: Tommolankatu 9, 45130 Kouvola
Y-tunnus: 2467766-5
Tietosuojavastaavan yhteystiedot
tietosuojavastaava@sok.fi
Rekisteriasioita hoitava henkilö
kso.tietosuoja@sok.fi
Rekisterin nimi
Työntekijärekisteri
Henkilötietojen käsittelyn tarkoitus
Työsuhteen hoitaminen
Henkilötietojen käsittelyn peruste
Sopimuksen täytäntöönpaneminen tai sitä edeltävät toimenpiteet – pääsääntöisesti
Suostumus – esim. hyvinvointietu (ePassi), tutkintojen, työhistorian ja ulkoisten koulutusten kirjaaminen, työnhaku sisäisenä kandidaattina
Rekisterinpitäjän lakisääteinen velvoite – esim. ulkomaalaisen työluvat, viranomaisluvat, työtapaturma- ja työeläkevakuuttaminen, biologisten tekijöiden altiste -luettelo, kuntoutus ja työkyvyttömyyseläkeprosessit, tutkintoon johtavat koulutukset ja oppisopimukset, palkanlaskenta ja -maksu, tuotannollistaloudellisin syin irtisanottujen tai irtisanomisuhan alla olevien erityiset oikeudet
Oikeutettu etu – viestinnän digitaalinen työympäristö (Workplace), Bot-muotoiset kyselyt (kuten Ässäbotti) sekä pilvipalvelu Office 365.
Kuvaus rekisterinpitäjän oikeutetusta edusta
Workplace: Työnantajan toiminnan kannalta on perusteltua ja tarpeellista tarjota työntekijöilleen nykyaikainen, ajasta ja paikasta riippumaton työviestinnän kanava. Rekisteröidystä (työntekijästä) itsestään palveluun viedään vain minimitiedot (yhteystiedot).
Lisäksi Workplacessa rekisteröidyllä on itsellään laajat mahdollisuudet vaikuttaa siihen, kuinka aktiivisesti ja millä tavoin hän osallistuu viestintään. Näin ollen palvelun käytöstä ei aiheudu kohtuutonta haittaa tai riskejä työntekijän yksityisyyden suojalle.
Office 365: Työntekijän työsuhteen ja työsuhteessa suoriutumisen kannalta Office 365 on keskeinen työväline ja järjestelmä. Office 365 on nykyaikainen ajasta ja paikasta riippumaton pilvipalvelu, jossa rekisteröidyllä on laajat mahdollisuudet vaikuttaa siihen, millä tavoin hän Office 365 -sovelluksia käyttää. Rekisteröidyllä on mm. mahdollisuus itse hallinnoida luotujen dokumenttien näkyvyyttä ja oletusasetuksena on, että tiedostot näkyvät ainoastaan rekisteröidylle itselleen.
Bot-muotoiset kyselyt (Ässäbotti): Työnantajalla on velvollisuus mm. ohjata työntekijää tehtäviinsä sekä kehittää työyhteisön toimintaa. Bot-muotoiset kyselyt kuuluvat käsittelyperusteen osalta työnantajalle kuulu-vaan oikeutettuun etuun. Kyselystä saatuja tietoja käsitellään toiminnan ja osaamisen kehittämiseksi ja tu-kemiseksi. Tietoja käsitellään anonyymisti, ilman nimitietoa. Työntekijällä on myös aina mahdollisuus kiel-täytyä vastaamasta bot-kyselyihin.
Käsiteltävät henkilötiedot
Käsiteltävät tiedot vaihtelevat prosessikohtaisesti, tästä on tarkempi HR-prosessikuvaus, jossa käsiteltävät tiedot on yksilöity.
Rekisteröityjen ryhmät ja käsiteltävät henkilötietoryhmät
Työntekijät eli henkilöt, jotka ovat parhaillaan tai on valittu työsuhteeseen rekisterinpitäjän palvelukseen tai ovat olleet rekisterinpitäjän palveluksessa.
Tyypillisesti esimerkiksi työntekijän nimi- ja yhteystiedot, organisaation tiedot, työsuhteen tiedot, palkanmaksua koskevat tiedot, ulkomaalaiselta vaadittavat erityistiedot, viranomaislupatiedot, työajanseurannassa ja työvuorosuunnittelussa tarvittavat tiedot, tiedot lakisääteisiin vapaisiin ja poissaoloihin liittyen, työkykyyn liittyvät tiedot, osaamis- koulutus-, kokemus- ja tutkintotiedot, työvälineitä ja käyttöoikeuksia varten tarvittavat tiedot, työtyytyväisyyteen tai tunnetilaan liittyvät tiedot (ns. pulssikyselyt).
Tietolähde ja kuvaus tietolähteistä, mikäli tiedot on kerätty julkisista lähteistä
Rekisterin tiedot on pääsääntöisesti saatu työntekijältä itseltään tai ne ovat kerääntyneet työsuhteen kestäessä rekisterinpitäjän (työnantajan) järjestelmiin tai manuaalisiin aineistoihin, tai niistä on sovittu (kuten palkka ja muut etuudet).
Henkilötietojen vastaanottajat
Henkilötietoja luovutetaan työnantajan lakisääteisten velvoitteiden täyttämiseksi esimerkiksi verottajalle, Kelaan ja eläke- ja tapaturmavakuutusyhtiöön.
Palkanmaksuun liittyen työnantajalla voi olla lain mukaan velvollisuus toimittaa tietoa esim. ulosottoviranomaiselle, työntekijän ammattiliittoon, pyydettäessä koulutusrahastoon. Palkkalaskelma toimitetaan sähköisenä työntekijän verkkopankkiin.
Ulkomaalaisen työntekijän palkkaamisesta on lain mukaan ilmoitettava TE-toimistoon, työsuojeluviranomaiselle ja henkilöstön edustajalle.
Työntekijätieto luovutetaan S-ryhmän asiakasomistajarekisteriin, jotta työntekijä saa hänelle kuuluvan ostoedun.
Muualta kuin työterveyshuollosta saatu lääkärintodistus toimitetaan työterveyshuoltoon lain edellyttämin tavoin, ellei työntekijä ole erikseen kieltänyt luovuttamista. Varhaisen tuen keskusteluista ja työkykyneuvotteluista informoidaan niin ikään työterveyshuoltoa. Työpaikalla biologisiin tekijöihin altistuneiden tiedot toimitetaan lain edellyttämin tavoin pyynnöstä työsuojeluviranomaiselle, työterveyshuollolle, kunnan tai sairaanhoitopiirin tartuntataudeista vastaavalle lääkärille tai työsuojeluhenkilöstölle.
Vuorotteluvapaalle lähtevän työntekijän henkilötietoja on luovutettava TE-toimistoon ja työttömyyskassaan.
Oppisopimuksista luovutetaan tietoja lain mukaisesti oppisopimuskeskukselle SopimusPro-järjestelmän kautta.
Rekisterinpitäjä voi lisäksi käyttää yhteistyökumppaneita, jotka käsittelevät henkilötietoja rekisterinpitäjän puolesta. Näitä ovat esimerkiksi:
- Eezy Spirit Oy (TYT-tutkimuksen toteuttaja)
- Elisa Oyj (puhelin- ja laajakaistaliittymät)
- Fujitsu (käyttäjätunnukset, sähköpostilaatikko. Service Desk -käyttötuki)
- ePassi Payments Oy (hyvinvointietu, vain työntekijän suostumuksella)
- Korn Ferry Hay Group (palkkatutkimukset ja tehtävien vaativuusarvioinnit)
- Competence Dimensions Oy, Thomas International Oy, AON Assessment (henkilöarvioinnit)
- Microsoft (Office 365)
- Coupa (ostolaskujen ja tilausten käsittely)
Henkilötiedon siirrot kolmanteen maahan tai kansainväliselle järjestölle ja käytetyt suojatakeet
Käytämme alihankkijoita henkilötietojen käsittelyssä. Tietoja siirretään Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolelle palvelujen tarjoamista, teknistä ylläpitoa ja tukea varten siinä määrin kuin se on tarpeen. Voimme toteuttaa tällaisia siirtoja, jos Euroopan komissio on päättänyt, että kohdemaan tai kohdeorganisaation tietosuojan taso on riittävä, tai jos pystymme muutoin varmistamaan henkilötietojen suojan riittävän tason soveltuvan lainsäädännön mukaisesti esimerkiksi käyttämällä Euroopan komission hyväksymiä vakiolausekkeita. Euroopan komission hyväksymät vakiolausekkeet löytyvät täältä.
Edellytämme, että alihankkijamme sitoutuvat lainsäädännön ja meidän asettamiin tietosuoja- ja tietoturvallisuusvaatimuksiin.
Henkilötietoja ei siirretä kansainvälisille järjestöille.
Henkilötietojen säilytysaika tai säilytysajan määrittämisen kriteerit
Henkilötietojen säilytysajat vaihtelevat prosessikohtaisesti, tästä on tarkempi HR-prosessikuvaus, jossa käsittelyajat on yksilöity.
Pääsääntönä on, että mitään työntekijätietoja ei käsitellä enää sen jälkeen, kun 10 vuotta on kulunut yhdenjaksoisen työsuhteen päättymisestä viimeisessä S-ryhmään kuuluvassa yrityksessä (työsopimuslain mukainen velvoite antaa työtodistus päättyy tuolloin).
Osassa prosesseja säilytysajat ovat tätä lyhyempiä, ja ne perustuvat
- työlainsäädännön mukaisiin kanneaikoihin
- kirjanpitolainsäädännön mukaisiin säilytysaikoihin ja
- viime kädessä työnantajan arvioimaan tiedon tarpeellisuuteen.
Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus saada tutustua omiin henkilötietoihinsa tietosuoja-asetuksen 15 artiklan mukaisesti.
Rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan mahdolliset virheelliset tiedot tietosuoja-asetuksen 16 artiklan mukaisesti.
Rekisteröidyllä on oikeus saada tietonsa poistetuiksi tietosuoja-asetuksen 17 artiklassa ilmoitettujen edellytysten täyttyessä.
Rekisteröidyllä on oikeus tietojensa käsittelyn rajoittamiseen, jos tietosuoja-asetuksen 18 artiklan mukaiset edellytykset täyttyvät.
Rekisteröidyllä on tietosuoja-asetuksen 20 artiklan mukainen oikeus siirtää tiedot järjestelmästä toiseen siltä osin kuin tiedot on saatu rekisteröidyltä itseltään, niiden käsittely tehdään automaattisesti ja niiden käsittely perustuu suostumukseen tai sopimukseen.
Rekisteröidyllä on tietosuoja-asetuksen 21 artiklan mukainen oikeus vastustaa häntä koskevien tietojen käsittelyä, jos tiedot on kerätty yleistä etua koskevan tehtävän suorittamiseksi tai oikeutetun edun perusteella, ja jos muut artiklaan sisältyvät kriteerit täyttyvät.
Jos henkilö haluaa käyttää oikeuksiaan tai saada lisätietoa henkilötietojensa käsittelystä, hän voi olla yhteydessä tässä selosteessa mainittuun rekisterinpitäjään.
Rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle.
Suostumuksen peruuttaminen
Niiltä osin, kuin tietojen käsittely perustuu suostumukseen, rekisteröidyllä on tietosuoja-asetuksen artiklan 7 mukaan oikeus peruuttaa antamansa suostumus milloin tahansa. Suostumuksen peruttaminen päättää rekisterinpitäjän oikeuden käsitellä henkilötietoja sellaisiin käyttötarkoituksiin, joilla ei ole suostumuksen lisäksi muuta käsittelyn perustetta. Suostumuksen voi peruuttaa ilmoittamalla siitä rekisterinpitäjälle.
Henkilötiedon antamatta jättämisen vaikutukset sopimukselle
Vaikutukset vaihtelevat prosessikohtaisesti. Rekisterin pitäjänä toimiva työnantaja kerää vain työsuhteen kannalta tarpeellisia tietoja, joten tietojen antamatta jättämisellä voi olla seurauksia.
Niiltä osin, kuin tietojen käsittely perustuu työntekijän suostumukseen (esim. hyvinvointietu), työntekijä voi kieltäytyä suostumuksen antamisesta seuraamuksetta.
Automatisoidun päätöksenteon tai profiloinnin merkitykselliset tiedot
Henkilötietojen käsittelyyn ei liity automatisoitua päätöksentekoa eikä henkilötietojen perusteella tehdä profilointia.
Henkilötietojen käsittelyn vaikutukset ja yleinen kuvaus teknisistä ja organisatorisista turvatoimista
Rekisterissä käsitellään sisäisen henkilötietoluokituksemme mukaisten henkilötietoluokkien 1-3 mukaisia tietoja. Valtaosa rekisterin tiedoista on henkilötietoluokan 2 mukaista tietoa (kohdistuu erityisiä vaatimuksia), koska käsiteltäviin tietoihin sisältyy tyypillisesti esim. henkilötunnus tai palkkaan /palkitsemiseen liittyviä tietoja. Henkilötietoluokan 1 tietoja (erityisiä henkilötietoja) käsitellään erityisesti palkkahallinnossa (sairauspoissaolotodistukset, ammattiliiton jäsenyys).
Suojaamme henkilötietoja huolellisesti koko niiden elinkaaren ajan käyttämällä asianmukaisia tietosuoja- ja tietoturvallisuuskeinoja. Järjestelmätoimittajat käsittelevät henkilötietoja tietoturvallisissa palvelintiloissa.
Pääsyä henkilötietoihin on rajoitettu ja henkilöstöllä on salassapitovelvollisuus.
S-ryhmässä suojaamme henkilötietoja muun muassa ennakoivalla riskienhallinnalla ja turvallisuussuunnittelulla, tietoliikenteen suojakeinoin, tietojärjestelmien jatkuvalla ylläpidolla, varmuuskopioimalla sekä käyttämällä turvallisia laitetiloja, kulunvalvontaa ja turvallisuusjärjestelmiä. Henkilötietoja sisältävät fyysiset asiakirjat säilytetään alkukäsittelyn jälkeen lukituissa ja paloturvallisissa säilytystiloissa. Käyttöoikeuksien myöntäminen ja seuranta on hallittua. Koulutamme henkilötietojen käsittelyyn osallistuvaa henkilökuntaamme säännöllisesti ja huolehdimme siitä, että myös yhteistyökumppaniemme henkilöstö ymmärtää henkilötietojen luottamuksellisen luonteen ja turvallisen käsittelyn merkityksen. Valitsemme käyttämämme alihankkijat huolellisesti. Päivitämme jatkuvasti sisäisiä käytäntöjämme ja ohjeitamme.
Jos kaikista suojatoimistamme huolimatta henkilötiedot joutuvat vääriin käsiin, on mahdollista, että henkilöllisyys varastetaan tai henkilötietoja käytetään muuten väärin. Jos havaitsemme tällaisen tapahtuman, ryhdymme viipymättä selvittämään sitä ja pyrimme estämään aiheutuvat vahingot. Informoimme tietoturva-loukkauksesta tarvittavia viranomaisia ja rekisteröityjä lainsäädännön vaatimusten mukaisesti.