Työntekijärekisteri TIETOSUOJASELOSTE (25.5.2018 alkaen)
Euroopan Unionin yleinen tietosuoja-asetus (EU) 2016/679, artiklat 12, 13, 14 ja 19
Rekisterinpitäjä Satakunnan OsuuskauppaPostiosoite: PL 1146, 00088 S-RYHMÄ
S-ryhmän asiakasomistajapalvelu: 010 76 5858
Käyntiosoite: Itäkeskuksenkaari 1, 28130 PORI
Y-tunnus: 0137281-8
Tietosuojavastaavan yhteystiedot satakunta.tietosuoja@sok.fi
Rekisteriasioita hoitava henkilö hr.satakunta@sok.fi
Rekisterin nimi Työntekijärekisteri
Henkilötietojen käsittelyn tarkoitus Työsuhteen hoitaminen
Henkilötietojen käsittelyn peruste Sopimuksen täytäntöönpaneminen tai sitä edeltävät toimenpiteet - pääsääntöisesti
Suostumus - esim. hyvinvointietu (ePassi), Kumppanikortti, tutkintojen ja työhistorian kirjaaminen
Rekisterinpitäjän lakisääteinen velvoite – esim. ulkomaalaisen työluvat, viranomaisluvat, työtapaturma- ja työeläkevakuuttaminen, biologisten tekijöiden altisteluettelo, kuntoutus ja työkyvyttömyyseläkeprosessit, tutkintoon johtavat koulutukset ja oppisopimukset, palkanlaskenta ja -maksu, tuotannollis-taloudellisin syin irtisanottujen tai irtisanomisuhan alla olevien erityiset oikeudet
Oikeutettu etu - viestinnän digitaalinen työympäristö (Workvivo) erilaiset organisaation kehittämiseen liittyvät pulssityökalut (kuten ), työyhteisötutkimus, Bot-muotoiset kyselyt (kuten Tytti-botti) sekä pilvipalvelu Office 365.
Kuvaus rekisterinpitäjän oikeutetusta edusta Workvivo: Työnantajan toiminnan kannalta on perusteltua ja tarpeellista tarjota työntekijöilleen nykyaikainen, ajasta ja paikasta riippumaton työviestinnän kanava. Rekisteröidystä (työntekijästä) itsestään palveluun viedään vain minimitiedot (yhteystiedot) ja muilta osin hänellä itsellään on laajat mahdollisuudet vaikuttaa siihen, kuinka aktiivisesti ja millä tavoin hän osallistuu viestintään. Näin ollen palvelun käytöstä ei aiheudu kohtuutonta haittaa tai riskejä työntekijän yksityisyyden suojalle. Nykyaikana henkilöiden tavoitettavuus edellyttää, että henkilöstöviestintään on sähköinen ja reaaliaikainen tapa, joka on helposti käytettävissä. Workvivoa käytetään S-ryhmän työnantajayritysten liiketoiminnan kannalta tarpeelliseen, jopa välttämättömään, työntekijäviestintään ja kommunikaatioon, ja sitä voidaan pitää normaalina osana yrityksen liiketoimintaa. Workvivon käyttöä voidaan pitää perusteltuna nykypäivän liiketoiminnan tarpeet huomioon ottaen. Palveluun toimitetaan käyttäjän kannalta välttämättömät, työliitännäiset tiedot, jotta henkilö voidaan identifioida ja tiedetään, missä roolissa hän palvelussa viestii, tai sitä seuraa. Työntekijän perustietojen käyttäminen palvelussa ei merkittävästi rajoita työntekijän etuja ja oikeuksia. Se, kuinka paljon ja minkälaista viestintää käyttäjä käy palvelussa, on hyvin pitkälti hänen omassa harkinnassaan.
Pulssityökalut (kuten Celkee): Organisaation kehittämiseen liittyvän pulssityökalun täysimääräinen hyödyntäminen edellyttää henkilötietojen käsittelyä, eikä pelkkä anonyymi vastausten käsittely riitä kyselylle asetettujen tavoitteiden saavuttamiseksi. Työntekijöiden antamien vastausten perusteella määritellään, millä alueilla tai mille rooleille tarvitaan mahdollisesti enemmän muutoksen selkeyttämis- ja läpivientiapua. Tilannetta tarkastellaan lähtökohtaisesti rooli-, tehtävä-, yksikkö ja liiketoiminta-aluekohtaisesti ja annetut pisteet käsitellään anonyymisti. Työntekijä voi lähtökohtaisesti valita vastaako avoimiin kysymyksiin anonyymisti vai nimellä. Vastauksia käytetään vain muutoshankkeen resurssien & painopisteiden oikeaan kohdistamiseen ja koska pisteytyksen vastauksia ei pystytä yksilöimään, voi vastaaja turvallisesti vastata mielipiteensä. Käyttötarkoituksesta riippuen on kuitenkin mahdollista, että kysely edellyttää nimitiedon antamisen. Office 365: Työntekijän työsuhteen ja työsuhteessa suoriutumisen kannalta
Office 365 on keskeinen työväline ja järjestelmä. Office 365 on nykyaikainen ajasta ja paikasta riippumaton pilvipalvelu, jossa rekisteröidyllä on laajat mahdollisuudet vaikuttaa siihen, millä tavoin hän Office 365 –sovelluksia käyttää. Rekisteröidyllä on mm. mahdollisuus itse hallinnoida luotujen dokumenttien näkyvyyttä ja oletusasetuksena on, että tiedostot näkyvät ainoastaan rekisteröidylle itselleen.
Bot-muotoiset kyselyt (kuten Tytti-botti): Työnantajalla on velvollisuus mm. ohjata työntekijää tehtäviinsä sekä kehittää työyhteisön toimintaa. Bot-muotoiset kyselyt kuuluvat käsittelyperusteen osalta työnantajalle kuuluvaan oikeutettuun etuun. Kyselystä saatuja tietoja käsitellään toiminnan ja osaamisen kehittämiseksi ja tukemiseksi. Tietoja käsitellään ilman nimitietoa. Työntekijällä on myös aina mahdollisuus kieltäytyä vastaamasta bot-kyselyihin.
Työyhteisötutkimus: työnantajan toiminnan ja työyhteisön kokonaishyvinvoinnin kannalta on perusteltua tehdä työyhteisötutkimuksia, joissa kartoitetaan työntekijöiden kokemuksia. Henkilöstökokemuksesta saatuja tuloksia voidaan hyödyntää toiminnan kehittämisessä sekä esim. esihenkilöiden palkitsemisessa. Vastaajien henkilötietojen käsittely on tarpeen erityisesti siksi, että tuloksia voidaan verrata aiempien työyhteisötutkimusten tuloksiin luotettavasti ja saada selville kehityssuuntia Työyhteisötutkimuksen ja sen perusteella tehtävien toimenpiteiden katsotaan hyödyttävän myös työntekijää; työntekijä saa palautekanavan ja mahdollisuuden kertoa omasta kokemuksestaan ja lisäksi toimenpiteet koituvat koko työyhteisön hyödyksi. Vastaaminen kyselyyn on vapaaehtoista.
Suorituksen johtaminen (kuten Digivinkki): Työnantajalla on oikeus työn johtamiseen. Erilaiset työn tekemiseen liittyvät työntekijäkohtaiset seurannat, myös järjestelmien avulla, kuuluvat käsittelyperusteen osalta työnantajalle kuuluvaan oikeutettuun etuun kun seurannassa kerätään työtehtäviin liittyviä tarpeellisia tietoja. Seurannan tiedot ovat työntekijäkohtaisesti tiiminvetäjien nähtävillä, lisäksi tietoja käytetään summatasolla toiminnan kehittämiseen.
Työsuojelutoiminta: Pitkällä poissaololla olevan puhelinnumero annetaan työsuojelun vaalitoimikunnalle, jotta kaikki yrityksen työntekijät voivat osallistua työsuojelun ehdokasasetteluun (työsuojeluvaltuutettu, varavaltuutettu ja työsuojelutoimikunta) ja mahdollisiin työsuojelun vaaleihin (työsuojeluvaltuutettu, varavaltuutettu ja työsuojelutoimikunta). Työsuojelutoimintaan on oikeutettu jokainen yrityksen henkilökunnan jäsen. Laki työsuojelun valvonnasta ja työpaikan työsuojeluyhteistoiminnasta: Työnantajan on mahdollistettava vaalien järjestäminen, esimerkiksi tarjoamalla tilat ja työntekijäluettelon. Pitkillä poissaoloilla olevilla työntekijöillä on perusteltu syy odottaa, että he saavat osallistua työsuojelun vaalitoimintaan.
Käsiteltävät henkilötiedot Käsiteltävät tiedot vaihtelevat prosessikohtaisesti, ks. tästä tarkempi HR-prosessikuvaus, jossa käsiteltävät tiedot on yksilöity.
Rekisteröityjen ryhmät ja käsiteltävät henkilötietoryhmät Työntekijät eli henkilöt, jotka ovat parhaillaan tai jotka on valittu työsuhteeseen rekisterinpitäjän palvelukseen tai ovat olleet rekisterinpitäjän palveluksessa.
Tyypillisesti esimerkiksi työntekijän nimi- ja yhteystiedot, organisaation tiedot, työsuhteen tiedot, palkanmaksua koskevat tiedot, ulkomaalaiselta vaadittavat erityistiedot, viranomaislupatiedot, työajanseurannassa ja työvuorosuunnittelussa tarvittavat tiedot, tiedot lakisääteisiin vapaisiin ja poissaoloihin liittyen, työpaikalla tapahtuneeseen altistumiseen ja työkykyyn liittyvät tiedot, CoVid-19-viruksen rokotetieto, osaamis- koulutus-, kokemus- ja tutkintotiedot, työvälineitä ja käyttöoikeuksia varten tarvittavat tiedot, työtyytyväisyyteen tai tunnetilaan liittyvät tiedot (pulssikyselyt).
Tietolähde ja kuvaus tietolähteistä, mikäli tiedot on kerätty julkisista lähteistä Rekisterin tiedot on pääsääntöisesti saatu työntekijältä itseltään tai ne ovat kerääntyneet työsuhteen kestäessä rekisterinpitäjän (työnantajan) järjestelmiin tai manuaalisiin aineistoihin, tai niistä on sovittu (kuten palkka ja muut etuudet).
Henkilötietojen vastaanottajatHenkilötietoja luovutetaan työnantajan lakisääteisten velvoitteiden täyttämiseksi esimerkiksi verottajalle, Kelaan ja eläke- ja tapaturmavakuutusyhtiöön.
Palkanmaksuun liittyen työnantajalla voi olla lain mukaan velvollisuus toimittaa tietoa esim. ulosottoviranomaiselle, työntekijän ammattiliittoon, pyydettäessä koulutusrahastoon. Palkkalaskelma toimitetaan sähköisenä Netpostiin tai paperisena Postin kautta työntekijän ilmoittamaan osoitteeseen.
Ulkomaalaisen työntekijän palkkaamisesta on lain mukaan ilmoitettava TE-toimistoon, työsuojeluviranomaiselle ja henkilöstön edustajalle.
Työntekijätieto luovutetaan S-ryhmän asiakasomistajarekisteriin, jotta työntekijä saa hänelle kuuluvan ostoedun.
Työntekijän ja työsuhteen perustiedot luovutetaan työterveyshuoltoon, jotta työntekijä saa hänelle kuuluvat palvelut. Muualta kuin työterveyshuollosta saatu lääkärintodistus toimitetaan työterveyshuoltoon lain edellyttämin tavoin, ellei työntekijä ole erikseen kieltänyt luovuttamista. Varhaisen tuen keskusteluista ja työkykyneuvotteluista informoidaan niin ikään työterveyshuoltoa.
Oppisopimuksista luovutetaan tietoja lain mukaisesti oppisopimuskeskukselle SopimusPro-järjestelmän kautta.
Työmatkustamiseen liittyen työntekijöiden yhteystiedot luovutetaan yhteistyökumppanille (Amex GBT).
Rekisterinpitäjä voi lisäksi käyttää yhteistyökumppaneita, jotka käsittelevät henkilötietoja rekisterinpitäjän puolesta. Näitä ovat esimerkiksi:
- Eezy Flow (TYT-tutkimuksen toteuttaja)
- Viktor Life Metrics Oy (työhyvinvointitutkimuksen toteuttaja)
- DNA Oy (puhelin- ja laajakaistaliittymät)
- Creamailer Oy (alusta esimiesten uutiskirjeelle ja Elli-uutiskirjeelle)
- Fujitsu (käyttäjätunnukset, sähköpostilaatikko)
- Korn Ferry Hay Group (palkkatutkimukset ja tehtävien vaativuusarvioinnit)
- Competence Dimensions Oy, Thomas International Oy, Cut-e Finland Oy (henkilöarvioinnit)
- LähiTapiola (henkilöstörahasto)
- AitoHR Oy (Hartsa-botti)
- ePassi Payments Oy (hyvinvointietu, vain työntekijän suostumuksella)
- Microsoft (Office 365)
- Coupa, Cognicount Oy ja Accenture (ostolaskujen ja tilausten käsittely)
Henkilötiedon siirrot kolmanteen maahan tai kansainväliselle järjestölle ja käytetyt suojatakeet Käytämme alihankkijoita henkilötietojen käsittelyssä, ja tietoja siirretään rajatusti Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolelle. Työntekijärekisteriin sisältyviin, järjestelmien käyttöoikeuksiin liittyvien henkilötietojen teknistä ylläpitoa voidaan tehdä tietosuojalainsäädännön edellytykset huomioiden etäyhteyksien avulla myös EU:n tai ETA:n ulkopuolelta.
Henkilötietoja ei siirretä kansainvälisille järjestöille. Henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle, silloin kun se on henkilötietojen käsittelyn teknisen toteuttamisen kannalta tarpeellista.
- Viestinnän digitaalinen työympäristö (Workvivo) sekä esimieskirje: Sopimuskumppanit (Facebook ja Creamailer Oy) voivat siirtää tietoja myös EU/ETA-alueen ulkopuolelle, kuten erityisesti Yhdysvaltoihin, mutta sopimuskumppanit ovat sitoutuneet huolehtimaan siitä, että tietosuoja-asetuksen edellyttämiä suojamekanismeja tällöin noudatetaan.
- Viestinnän digitaalinen työympäristö (Workvivo 10.4. alkaen): Workvivossa olevat henkilötiedot tallennetaan ja käsitellään EU/ETA-alueella. Ylläpito- tai teknisen tuen palvelukumppanimme on asianmukaisin sopimuksin sitoutunut tietosuojajärjestelyyn palvelu- ja tietojenkäsittelysopimuksen sekä EU:n mallilausekkeiden mukaisesti.
Henkilötietojen säilytysaika tai säilytysajan määrittämisen kriteerit Henkilötietojen säilytysajat vaihtelevat prosessikohtaisesti, ks. tästä tarkempi HR-prosessikuvaus, jossa käsittelyajat on yksilöity.
Pääsääntönä on, että mitään työntekijätietoja ei käsitellä enää sen jälkeen, kun 10 vuotta on kulunut yhdenjaksoisen työsuhteen päättymisestä viimeisessä S-ryhmään kuuluvassa yrityksessä (työsopimuslain mukainen velvoite antaa työtodistus päättyy tuolloin).
Osassa prosesseja säilytysajat ovat tätä lyhyempiä, ja ne perustuvat
- työlainsäädännön mukaisiin kanneaikoihin
- kirjanpitolainsäädännön mukaisiin säilytysaikoihin ja
- viime kädessä työnantajan arvioimaan tiedon tarpeellisuuteen.
Rekisteröidyn oikeudet Rekisteröidyllä on oikeus päästä omiin henkilötietoihinsa tietosuoja-asetuksen 15 artiklan mukaisesti.
Rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan mahdolliset epätarkat ja virheelliset tiedot tietosuoja-asetuksen 16 artiklan mukaisesti.
Rekisteröidyllä on oikeus saada tietonsa poistetuiksi tietosuoja-asetuksen 17 artiklassa ilmoitettujen edellytysten täyttyessä.
Rekisteröidyllä on oikeus tietojensa käsittelyn rajoittamiseen, jos tietosuoja-asetuksen 18 artiklan mukaiset edellytykset täyttyvät.
Rekisteröidyllä on tietosuoja-asetuksen 20 artiklan mukainen oikeus siirtää tiedot järjestelmästä toiseen siltä osin kuin tiedot on saatu rekisteröidyltä itseltään, niiden käsittely tehdään automaattisesti ja niiden käsittely perustuu suostumukseen tai sopimukseen.
Rekisteröidyllä on tietosuoja-asetuksen 21 artiklan mukainen oikeus vastustaa häntä koskevien tietojen käsittelyä, jos tiedot on kerätty yleistä etua koskevan tehtävän suorittamiseksi tai oikeutetun edun perusteella, ja jos muut artiklaan sisältyvät kriteerit täyttyvät.
Jos henkilö haluaa käyttää oikeuksiaan tai saada lisätietoja henkilötietojensa käsittelystä, hän voi olla yhteydessä tässä selosteessa mainittuun rekisterinpitäjään.
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle.
Suostumuksen peruuttaminen Niiltä osin, kuin tietojen käsittely perustuu suostumukseen, rekisteröidyllä on tietosuoja-asetuksen artiklan 7 mukaan oikeus peruuttaa antamansa suostumus milloin tahansa. Suostumuksen peruuttaminen päättää rekisterinpitäjän oikeuden käsitellä henkilötietoja sellaisiin käyttötarkoituksiin, joilla ei ole suostumuksen lisäksi muuta käsittelyn perustetta. Suostumuksen voi peruuttaa ilmoittamalla siitä rekisterinpitäjälle.
Henkilötiedon antamatta jättämisen vaikutukset sopimukselle Vaikutukset vaihtelevat prosessikohtaisesti. Rekisterin pitäjänä toimiva työnantaja kerää vain työsuhteen kannalta tarpeellisia tietoja, joten tietojen antamatta jättämisellä voi olla seurauksia.
Niiltä osin, kuin tietojen käsittely perustuu työntekijän suostumukseen (esim. hyvinvointietu), työntekijä voi kieltäytyä suostumuksen antamisesta seuraamuksetta.
Automatisoidun päätöksenteon tai profiloinnin merkitykselliset tiedot Henkilötietojen käsittelyyn ei liity automatisoitua päätöksentekoa eikä henkilötietojen perusteella tehdä profilointia.
Henkilötietojen käsittelyn vaikutukset ja yleinen kuvaus teknisistä ja organisatorisista turvatoimista Rekisterissä käsitellään sisäisen henkilötietoluokituksemme mukaisten henkilötietoluokkien 1-3 mukaisia tietoja. Valtaosa rekisterin tiedoista on henkilötietoluokan 2 mukaista tietoa (kohdistuu erityisiä vaatimuksia), koska käsiteltäviin tietoihin sisältyy tyypillisesti esim. henkilötunnus tai palkkaan / palkitsemiseen liittyviä tietoja. Henkilötietoluokan 1 tietoja (erityisiä henkilötietoja) käsitellään erityisesti palkkahallinnossa (sairauspoissaolotodistukset, ammattiliiton jäsenyys).
Suojaamme henkilötietoja huolellisesti koko niiden elinkaaren ajan käyttämällä asianmukaisia tietosuoja- ja tietoturvallisuuskeinoja. Järjestelmätoimittajat käsittelevät henkilötietoja tietoturvallisissa palvelintiloissa. Pääsyä henkilötietoihin on rajoitettu ja henkilöstöllä on salassapitovelvollisuus.
S-ryhmässä suojaamme henkilötietoja muun muassa ennakoivalla riskienhallinnalla ja turvallisuussuunnittelulla, tietoliikenteen suojakeinoin, tietojärjestelmien jatkuvalla ylläpidolla, varmuuskopioimalla sekä käyttämällä tietoturvallisia laitetiloja, kulunvalvontaa ja turvallisuusjärjestelmiä. Henkilötietoja sisältävät fyysiset asiakirjat säilytetään alkukäsittelyn jälkeen lukituissa säilytystiloissa. Käyttöoikeuksien myöntäminen ja seuranta on hallittua. Koulutamme henkilötietojen käsittelyyn osallistuvaa henkilökuntaamme säännöllisesti ja huolehdimme siitä, että myös yhteistyökumppaniemme henkilöstö ymmärtää henkilötietojen luottamuksellisen luonteen ja turvallisen käsittelyn merkityksen. Valitsemme käyttämämme alihankkijat huolellisesti. Päivitämme jatkuvasti sisäisiä käytäntöjämme ja ohjeitamme.
Jos kaikista suojatoimista huolimatta henkilötiedot joutuvat vääriin käsiin, on mahdollista, että henkilöllisyys varastetaan tai henkilötietoja käytetään muuten väärin. Jos havaitsemme tällaisen tapahtuman, ryhdymme viipymättä selvittämään sitä ja pyrimme estämään aiheutuvat vahingot. Informoimme tietoturvaloukkauksesta tarvittavia viranomaisia ja rekisteröityjä lainsäädännön vaatimusten mukaisesti.