Ulkoisen työvoiman TIETOSUOJASELOSTE Euroopan Unionin yleinen tietosuoja-asetus (EU) 2016/679, artiklat 12, 13, 14 ja 191. RekisterinpitäjäSatakunnan Osuuskauppa Postiosoite: PL 14, 28101 Pori Käyntiosoite: Itäkeskuksenkaari 1, 28130 Pori Y-tunnus: 0137281-82. Tietosuojavastaavan yhteystiedot satakunta.tietosuoja@sok.fi3. Rekisterinpitäjän yhteystiedot hr.satakunta@sok.fi4. Rekisterin nimiUlkoisen työvoiman rekisteri5. Henkilötietojen käsittelyn tarkoitusUlkoisen työvoiman henkilötietojen käsittely. Ulkoisten työntekijöiden henkilötietoja käsitellään yksilön tunnistamisen ja tehtävän suorittamisen mahdollistamiseksi. Henkilötietoja käsitellään myös rekisterinpitäjän toimintaa koskevaa raportointia varten. 6. Henkilötietojen käsittelyn perusteOikeutettu etu – Jos toimeksiantosopimus on tehty työnantajan tai toimeksiantajan kanssa (esim. vuokratyöntekijät), henkilötietojen käsittelyperusteena on pääsääntöisesti oikeutettu etu, hätäyhteyshenkilön nimeä ja puhelinnumeroa lukuun ottamatta. Workvivon, pilvipalvelu Office 365:n ja raportoinnin osalta käsittelyperusteena on kaiken ulkoisen työvoiman osalta oikeutettu etu. Sopimuksen täytäntöönpano– Jos sopimus on tehty rekisterinpitäjän ja ulkoisen työntekijän välillä, henkilötietojen käsittelyperusteena on pääsääntöisesti toimeksiantosopimus (esim. opinnäytetyöntekijät)Suostumus– Hätäyhteyshenkilön nimi ja puhelinnumeroRekisterinpitäjän lakisääteinen velvoite – Rekisterinpitäjällä saattaa olla tarve käsitellä ulkoisten työntekijöiden tietoja myös lakisääteisten velvoitteiden noudattamiseksi, esimerkiksi työturvallisuuslainsäädännöstä tulevien velvoitteiden täyttämiseksi7. Kuvaus rekisterinpitäjän oikeutetusta edustaVuokratyöntekijät: Rekisterinpitäjän on välttämätöntä tietää, kuka tulee suorittamaan tiettyä tehtävää yritykseen sekä käsitellä tehtävän suorittamisen kannalta tarpeellisia tietoja. Tehtävän suorittamiseksi tarpeellista voi olla osallistua myös esim. rekisterinpitäjän järjestämään koulutukseen tai verkkokurssille. Rekisteröity voi kohtuudella odottaa, että hänen henkilötietojaan tarvitaan rekisterinpitäjän toiminnassa henkilön yksilöimiseksi ja tehtävän suorittamiseksi.Workvivo: Nykyaikana henkilöiden tavoitettavuus edellyttää, että henkilöstöviestintään on sähköinen ja reaaliaikainen tapa, joka on helposti käytettävissä. Workvivoa käytetään S-ryhmän työnantajayritysten liiketoiminnan kannalta tarpeelliseen, jopa välttämättömään, työntekijäviestintään ja kommunikaatioon, ja sitä voidaan pitää normaalina osana yrityksen liiketoimintaa. Workvivon käyttöä voidaan pitää perusteltuna nykypäivän liiketoiminnan tarpeet huomioon ottaen.Palveluun toimitetaan käyttäjän kannalta välttämättömät, työliitännäiset tiedot, jotta henkilö voidaan identifioida ja tiedetään, missä roolissa hän palvelussa viestii, tai sitä seuraa. Työntekijän perustietojen käyttäminen palvelussa ei merkittävästi rajoita työntekijän etuja ja oikeuksia. Se, kuinka paljon ja minkälaista viestintää käyttäjä käy palvelussa, on hyvin pitkälti hänen omassa harkinnassaan.Office 365: Tehtävässä suoriutumisen kannalta Office 365 on keskeinen työväline ja järjestelmä. Office 365 on nykyaikainen ajasta ja paikasta riippumaton pilvipalvelu, jossa rekisteröidyllä on laajat mahdollisuudet vaikuttaa siihen, millä tavoin hän Office 365 –sovelluksia käyttää. Rekisteröidyllä on mm. mahdollisuus itse hallinnoida luotujen dokumenttien näkyvyyttä ja oletusasetuksena on, että tiedostot näkyvät ainoastaan rekisteröidylle itselleen. Raportointi:Rekisterinpitäjän on välttämätöntä käsitellä ulkoisten työntekijöiden tietoja työvoiman käyttöä ja toiminnan kehittämistä koskevaa raportointia varten. Raportoinnissa käsitellään vain tarkoituksen kannalta tarpeellisia tietoja, jotka liittyvät kiinteästi yrityksessä työskentelyyn eikä käsittely osapuolten välillä olevan/olleen merkittävän suhteen vuoksi ole yllättävää tai ennalta-arvaamatonta. On erittäin epätodennäköistä, että edellä mainituista käsittelyistä aiheutuisi rekisteröidylle negatiivisia vaikutuksia.Työyhteisötutkimus:Työnantajan toiminnan ja työyhteisön kokonaishyvinvoinnin kannalta on perusteltua tehdä työyhteisötutkimuksia, joissa mitataan henkilöstökokemusta. Tällaisiin tutkimuksiin voivat halutessaan vastata myös ulkoiset työntekijät, sillä myös heillä on rooli työyhteisössä ja sen toiminnassa. Tutkimuksen avulla henkilöstökokemuksesta saatuja tuloksia voidaan hyödyntää työnantajan toiminnan kehittämisessä sekä esim. esihenkilöiden palkitsemisessa. Vastaajien henkilötietojen käsittely on tarpeen erityisesti siksi, että tuloksia voidaan verrata aiempien työyhteisötutkimusten tuloksiin luotettavasti ja saada selville kehityssuuntia. Työyhteisötutkimuksen ja sen perusteella tehtävien toimenpiteiden katsotaan hyödyttävän työntekijöitä, myös ulkoisia työntekijöitä; tutkimuksen kautta vastaajat saavat palautekanavan ja mahdollisuuden kertoa omasta kokemuksestaan ja lisäksi toimenpiteet koituvat koko työyhteisön hyödyksi.8. Käsiteltävät henkilötiedot- ja henkilötietoryhmätRekisterinpitäjä käsittelee vain tarpeellisia henkilötietoja. Kerättävät henkilötiedot vaihtelevat osittain sen mukaan, millaisesta ulkoisesta työvoimasta on kyse. Vuokratyöntekijät:S-ryhmän yritys, jossa työskentelee (SOK)LinjaorganisaatioEsihenkilö (tulee linjaorganisaatiosta)KustannuspaikkaTyöprofiili (Job Profile Workday)Työntekijätyyppi (Sopimustyöntekijä)Henkilön etu- ja sukunimiSähköpostiosoite (Kumppanikäyttäjän työnantajayrityksen työntekijälleen tarjoama sähköpostiosoite)PuhelinnumeroSopimuksen aloitus- ja päättymispäivä SOK:llaSopimustyöntekijän tyyppi (vuokratyöntekijä)Työaikatyyppi (kokoaikainen/osa-aikainen)Sijainti (esim. Ässäkeskus)Toimittaja (Kumppanikäyttäjän yrityksen virallinen nimi ja y-tunnus)ViikkotunnitTyötehtävänimike TehtävänimikeToiminnallinen tiimiJob Family FunctionHätäyhteyshenkilön nimi ja puhelinnumero (vapaaehtoinen)Laskutusta varten käsiteltävät tiedot saattavat sisältää henkilötietojaTyöhistoriatiedotOsaamis- ja koulutustiedotMahdolliset kulunvalvontaa varten tarvittavat tiedot (nimen lisäksi laskentapaikka, työajat, liikkumisreitti yrityksen tiloissa)Henkilön itsensä lisäämä kuvaWorkdayn käyttäjätunnusRekisteröidyn työyhteisötutkimukseen antamat vastauksetUlkoisen oppijan tunnus Workday -järjestelmässä sekä tiedot rekisteröidyn Workdayssa suorittamista koulutuksistaKonsultit ja mahdollinen muu tilapäinen työvoima:Etu- ja sukunimiTyönantajayritysHenkilön työsähköposti (oman työnantajayrityksen tarjoama)Henkilökohtainen matkapuhelinnumeroMahdolliset palkkion maksamista varten tarpeelliset tiedot, kuten rekisteröidyn pankkitilin tiedot.Mahdolliset viestinnän digitaalisen työympäristön eli sPointin ja Workvivon käyttämisessä kertyneet tiedot (toimintahistoria ja käyttäjästatistiikka).Mahdolliset kulunvalvontaa varten tarvittavat tiedot (nimen lisäksi laskentapaikka, työajat, liikkumisreitti yrityksen tiloissa)Rekisteröidyn työyhteisötutkimukseen antamat vastauksetUlkoisen oppijan tunnus Workday -järjestelmässä sekä tiedot rekisteröidyn Workdayssa suorittamista koulutuksistaOpinnäytetyöntekijät ja muut ei-työsuhteiset harjoittelijat:Etu- ja sukunimiSyntymäaikaYhteystiedot, kuten puhelinnumero ja sähköpostiosoiteOpintoja koskevat tiedotOpiskelijan itse täyttämät, tutkimussuunnitelmaa koskevat tiedotMahdolliset palkkion maksamista varten tarpeelliset tiedot, kuten rekisteröidyn pankkitilin tiedot.Organisaatiotiedot SOK:lla ja työn ohjaajan tiedot Mahdolliset kulunvalvontaa varten tarvittavat tiedot (nimen lisäksi laskentapaikka, työajat, liikkumisreitti yrityksen tiloissa)Rekisteröidyn työyhteisötutkimukseen antamat vastauksetUlkoisen oppijan tunnus Workday -järjestelmässä sekä tiedot rekisteröidyn Workdayssa suorittamista koulutuksistaTarpeen mukaan voidaan tietyissä tilanteissa kerätä myös muunlaisia henkilötietoja. Tietosuojaseloste pyritään pitämään mahdollisimman ajantasaisena.9. Rekisteröityjen ryhmät Vuokratyöntekijät, opinnäytetyöntekijät ja muut ei-työsuhteiset harjoittelijat, konsultit ja muu mahdollinen tilapäinen työvoima. 10. Tietolähde ja kuvaus tietolähteistä, mikäli tiedot on kerätty julkisista lähteistäRekisterin tiedot on pääsääntöisesti saatu ulkoiselta työntekijältä itseltään tai ne on saatu yritykseltä, mistä ulkoisen työntekijän työpanos on ostettu. Osa tiedoista on kerääntynyt työskentelyn kestäessä rekisterinpitäjän järjestelmiin tai manuaalisiin aineistoihin.11. Henkilötietojen vastaanottajat Henkilötietoja ei pääsääntöisesti luovuteta ulkopuolelle, ellei luovutukselle ole lainsäädännöstä johtuvaa perustetta. Esim. työturvallisuuslaki edellyttää, että vuokratyön vastaanottajan on ilmoitettava tarpeellisessa laajuudessa työn aloittamisesta työpaikan työterveyshuollolle sekä työsuojeluvaltuutetulle.Edellä mainitusta voidaan kuitenkin poiketa tarpeen vaatiessa, esim. oppilaitokselle voidaan kuitenkin luovuttaa arvio henkilön suoriutumisesta, jos kyseinen prosessi sitä edellyttää.Henkilötietoja käsitellään tässä selosteessa määriteltyihin tarkoituksiin sähköisissä järjestelmissä ja palveluissa, etenkin Workdayssa ja Oktassa. Käytämme ulkoisia palvelukumppaneita järjestelmä- ja tukipalveluiden tuottamisessa. Henkilötietoja voidaan siirtää käytössä oleville palvelukumppaneille siltä osin, kun nämä osallistuvat toimenpiteiden toteuttamiseen saadun toimeksiannon puitteissa.Huolehdimme kumppaneidemme henkilötietojen suojan riittävästä tasosta lainsäädännön edellyttämällä tavalla.Luovutamme tietoja viranomaisille voimassa olevan lainsäädännön sallimissa ja velvoittamissa rajoissa esimerkiksi viranomaisten tietopyyntöihin vastattaessa.12. Henkilötiedon siirrot kolmanteen maahan tai kansainväliselle järjestölle ja käytetyt suojatoimet Käytämme alihankkijoita henkilötietojen käsittelyssä, ja tietoja siirretään rajatusti Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolelle. Henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle silloin kun se on henkilötietojen käsittelyn teknisen toteuttamisen kannalta tarpeellista. Sopimuskumppanit ovat sitoutuneet huolehtimaan siitä, että tietosuoja-asetuksen edellyttämiä suojamekanismeja tällöin noudatetaan. Ylläpito- tai teknisen tuen palvelukumppanimme on asianmukaisin sopimuksin sitoutunut tietosuojajärjestelyyn palvelu- ja tietojenkäsittelysopimuksen sekä EU:n mallilausekkeiden mukaisesti. Henkilötietoja ei siirretä kansainvälisille järjestöille. 13. Henkilötietojen säilytysaika tai säilytysajan määrittämisen kriteeritTämän selosteen mukaisia henkilötietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin ne ovat tarpeellisia ja rekisterinpitäjä hyödyntää niitä ilmoitettuihin käsittelytarkoituksiin liittyvässä toiminnassa. Henkilötietojen säilytysajat vaihtelevat prosessikohtaisesti, ja ne perustuvat viime kädessä rekisterinpitäjän arvioon kunkin tiedon tarpeellisuudesta.14. Rekisteröidyn oikeudetRekisteröidyllä on oikeus saada tutustua omiin henkilötietoihinsa tietosuoja-asetuksen 15 artiklan mukaisesti. Rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan mahdolliset virheelliset tiedot tietosuoja-asetuksen 16 artiklan mukaisesti. Rekisteröidyllä on oikeus saada tietonsa poistetuiksi tietosuoja-asetuksen 17 artiklassa ilmoitettujen edellytysten täyttyessä. Rekisteröidyllä on oikeus tietojensa käsittelyn rajoittamiseen, jos tietosuoja-asetuksen 18 artiklan mukaiset edellytykset täyttyvät. Rekisteröidyllä on tietosuoja-asetuksen 20 artiklan mukainen oikeus siirtää tiedot järjestelmästä toiseen siltä osin kuin tiedot on saatu rekisteröidyltä itseltään, niiden käsittely tehdään automaattisesti ja niiden käsittely perustuu suostumukseen tai sopimukseen. Rekisteröidyllä on tietosuoja-asetuksen 21 artiklan mukainen oikeus vastustaa häntä koskevien tietojen käsittelyä, jos tiedot on kerätty yleistä etua koskevan tehtävän suorittamiseksi tai oikeutetun edun perusteella, ja jos muut artiklaan sisältyvät kriteerit täyttyvät. Jos henkilö haluaa käyttää oikeuksiaan tai saada lisätietoa henkilötietojensa käsittelystä, hän voi olla yhteydessä tässä selosteessa mainittuun rekisterinpitäjään. Rekisteröidyllä on myös oikeus tehdä kantelu valvontaviranomaiselle, jos hän katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.15. Suostumuksen peruuttaminenNiiltä osin, kuin tietojen käsittely perustuu suostumukseen, rekisteröidyllä on tietosuoja-asetuksen artiklan 7 mukaan oikeus peruuttaa antamansa suostumus milloin tahansa. Suostumuksen peruttaminen päättää rekisterinpitäjän oikeuden käsitellä henkilötietoja sellaisiin käyttötarkoituksiin, joilla ei ole suostumuksen lisäksi muuta käsittelyn perustetta. Suostumuksen voi peruuttaa ilmoittamalla siitä rekisterinpitäjälle. 16. Henkilötiedon antamatta jättämisen vaikutukset sopimukselleRekisterinpitäjä ei voi hyödyntää sellaisen ulkoisen työntekijän työpanosta, joka ei ole valmis toimittamaan yllä mainittuja henkilötietojaan. Poikkeuksena ovat tiedot, joiden käsittely perustuu rekisteröidyn suostumukseen. Suostumuksen antamisesta voi kieltäytyä seuraamuksetta. 17. Automatisoidun päätöksenteon tai profiloinnin merkitykselliset tiedotHenkilötietojen käsittelyyn ei liity automatisoitua päätöksentekoa eikä henkilötietojen perusteella tehdä profilointia.18. Henkilötietojen käsittelyn vaikutukset ja yleinen kuvaus teknisistä ja organisatorisista turvatoimistaSuojaamme henkilötietoja huolellisesti koko niiden elinkaaren ajan käyttämällä asianmukaisia tietosuoja- ja tietoturvallisuuskeinoja. Järjestelmätoimittajat käsittelevät henkilötietoja tietoturvallisissa palvelintiloissa. Pääsyä henkilötietoihin on rajoitettu ja henkilöstöllä on salassapitovelvollisuus.S-ryhmässä suojaamme henkilötietoja muun muassa ennakoivalla riskienhallinnalla ja turvallisuussuunnittelulla, tietoliikenteen suojakeinoin, tietojärjestelmien jatkuvalla ylläpidolla, varmuuskopioimalla sekä käyttämällä turvallisia laitetiloja, kulunvalvontaa ja turvallisuusjärjestelmiä. Henkilötietoja sisältävät fyysiset asiakirjat säilytetään alkukäsittelyn jälkeen lukituissa ja paloturvallisissa säilytystiloissa. Käyttöoikeuksien myöntäminen ja seuranta on hallittua. Koulutamme henkilötietojen käsittelyyn osallistuvaa henkilökuntaamme säännöllisesti ja huolehdimme siitä, että myös yhteistyökumppaniemme henkilöstö ymmärtää henkilötietojen luottamuksellisen luonteen ja turvallisen käsittelyn merkityksen. Valitsemme käyttämämme alihankkijat huolellisesti. Päivitämme jatkuvasti sisäisiä käytäntöjämme ja ohjeitamme.Jos kaikista suojatoimistamme huolimatta henkilötiedot joutuvat vääriin käsiin, on mahdollista, että henkilöllisyys varastetaan tai henkilötietoja käytetään muuten väärin. Jos havaitsemme tällaisen tapahtuman, ryhdymme viipymättä selvittämään sitä ja pyrimme estämään aiheutuvat vahingot. Informoimme tietoturvaloukkauksesta tarvittavia viranomaisia ja rekisteröityjä lainsäädännön vaatimusten mukaisesti.