Behandling av medarbetares personuppgifter
Här hittar du information om insamling, behandling, lagring och delning av personuppgifter avseende individuellt identifierbara medarbetare. Detta inkluderar nuvarande, tidigare och kommande medarbetare oavsett anställningsform.
RISE Research Institutes of Sweden AB (RISE), i egenskap av personuppgiftsansvarig, behandlar medarbetares personuppgifter i enlighet med vad som framgår av denna informationstext. Vissa delar gäller endast anställda, andra delar gäller även för konsulter, uppdragstagare, praktikanter och examensarbetare.
Personuppgifter som RISE behandlar
Grundläggande personuppgifter:
De personuppgifter som RISE behandlar om sina medarbetare är namn, födelsedatum, personnummer (eller motsvarande), anställningsnummer, kön, telefonnummer, adress, e-postadress, befattning, organisatorisk tillhörighet, foto, anställningsdatum, tid för avslutad anställning, ev avgångsorsak, anställningstid, chefsroll, sysselsättningsgrad, nationalitet, medborgarskap, språkpreferens, arbetare/tjänsteman, utbildning/kompetens, utbildningsnivå, högsta avslutade utbildning samt där så erfordras andra grundläggande personuppgifter.
Personalhantering:
Närmast anhörig och kontaktuppgifter till densamma, arbetstid, kostnadsställe, meriter, utvärderingar, arbetsprestation, i förekommande fall skriftliga varningar, befattningsvärdering, löneuppgifter, bankkontonummer, skatteuppgifter, semestersaldo, försäkrings- och pensionsförsäkringsuppgifter, facklig tillhörighet, kollektivavtalstillhörighet, hälsoinformation, frånvaro, sjukskrivningar, arbetsförmåga, rehabiliteringsåtgärder, arbetsrelaterade incidenter, uppehållstillstånd, arbetstillstånd, reseuppgifter, kortnummer för företagskort, resefakturor och traktamenten samt där så erfordras andra personuppgifter för personalhantering.
Kommunikation och säkerhet:
Personuppgifter som krävs för att ge medarbetare tillgång till RISE-koncernens lokaler, datasystem och nätverk, bl.a. arbets-epost, IP-adresser och användar-id för inloggning, datornummer, enhets-id, loggning av inloggning i RISE-koncernens IT-miljö, samt andra typer av personuppgifter som loggas vid användande av datasystem och nätverk samt vid inpassering i RISE-koncernens lokaler. Uppgifter om kundtjänst och support, såsom frågor från medarbetaren eller dess chef/HR som avser medarbetarens anställning eller IT-utrustning eller support som givits medarbetaren i förhållande till dessa.
Från vilka källor RISE hämtar medarbetares personuppgifter
Utöver de uppgifter den anställde själv lämnar till RISE kan RISE också komma att samla in personuppgifter från andra källor, t.ex. andra bolag i RISE-koncernen och Skatteverket. Vissa uppgifter samlas in vid anställningstillfället och andra uppgifter samlas in löpande under anställningstiden.
Ändamål och rättslig grund
RISE behandlar personuppgifterna ovan för nedan ändamål. Vänligen observera att denna lista endast är exemplifierande och alltså inte uttömmande.
Med stöd av avtal och rättslig förpliktelse behandlar RISE personuppgifter för bland annat följande ändamål:
- administration (registrering av medarbetare i IT-system, hantering och utbetalning av lön, lönerevision, ledighet, frånvaro, tidrapportering, förmåner, interna rapporter, statistik, projektuppföljning, allmän administration av anställningen, kontaktlistor, organisations-schema, utbildning, hantering av skatter och sociala avgifter, redovisning, etc.)
- pensions-, försäkring-, arbetsmiljö- och rehabiliteringsärenden (hantera utredning och anmälan om arbetsskada, kontakt med företagshälsovård, pensionsavsättningar, etc.)
- arbetsrättsliga ärenden och facklig samverkan (förhandla eller genomföra överläggningar med fackliga organisationer, genomföra utvecklingssamtal och löneöversyn, meddela besked och varsel om upphörande av tidsbegränsad anställning, hantera uppsägning, tillämpning om regler om turordning och företrädesrätt, genomföra utredningar och genomförande av åtgärder mot trakasserier enligt diskrimineringslagen, etc.)
- efterlevnad av lagar, förordningar och regler
Denna behandling krävs för att RISE ska kunna fullgöra sina skyldigheter enligt anställningsavtalet och gällande kollektivavtal samt efterleva arbetsrättens och arbetsmiljörättens regelverk, gällande dataskyddsförordning, säkerhetsskyddslagstiftning, samt övriga lagar, förordningar och regler som är tvingande för RISE verksamhet.
Med stöd av RISE berättigade intresse behandlar RISE personuppgifter för följande ändamål:
- växel- och receptionslösningar
- hantering av IT-stöd (tillhandahålla och upprätthålla stöd och verktyg som är nödvändigt för effektivt genomförande, planering, analysering och uppföljning av arbetsuppgifter, t.ex. , licenser, behörigheter, applikationer, abonnemang, databaser, kontaktlistor och telefonkatalog, etc.)
- möjliggöra tjänsteresor, hotell, logi och eventdeltagande
- tredjeparts-relationer (hantera relationer, åtaganden, skyldigheter, instruktioner, etc. till tredje parter, t.ex. finansiärer, uppdragsgivare, samarbetspartners och andra affärsrelationer)
- forskning- och utvecklingsrelaterade aktiviteter (projektansökningar, rapportering, statistik, publicering och arkivering av projektresultat, immaterialrättsligt skydd av uppfinningar, etc.)
- rekryteringsrelaterade aktiviteter (hantera, publicera och administrera rekryteringsannonser)
- kommunikation och marknadsföring (informations- och kunskapsspridning och annan marknadsföring av RISE verksamhet och projekt i RISE interna och externa kommunikationskanaler – t.ex. på RISE intranät, internet, sociala medier, etc.)
- support och kommunikation i anledning av anställningen och utförandet av medarbetarens arbetsuppgifter och arbetsprestation
- kompetensutveckling (kartläggning av arbetsuppgifter, kompetens och utbildning, analyser rörande utbildningsnivå, kompetensutvecklingsåtgärder, utvärdering och bedömningar, utbildningsåtgärder, etc.)
- förmånshantering (möjliggöra erbjudande om, erbjuda, administrera och vidmakthålla avtal om förmåner och förmånshantering)
- säkerhet och sekretess (kontrollera och motverka obehörigt intrång i RISE-koncernens lokaler och IT-miljö, loggning av inloggning och inloggningsförsök samt aktiviteter i RISE IT-miljö, användande av passerkort, kontakt med närstående vid akut händelse, etc.)
- fastställa, göra gällande eller försvara rättsliga anspråk
- regelefterlevnad (kontroll och uppföljning av intern regelefterlevnad av vid var tid tillämpliga RISE policys och Uppförandekod, undersöka eventuellt otillåten verksamhet, hantera eventuella inkomna anmälningar om överträdelser i RISE visselblåsarsystem, etc.)
- verksamhetsutveckling (utvärdera och utveckla RISE verksamhet, genomföra medarbetarundersökningar, etc.)
Om RISE anser att behandling ligger i RISE berättigade intresse, inte gör oproportionerligt stora intrång i medarbetarens integritet och om RISE anser att behandlingen ligger inom ramen för dennes anställning/uppdrag hos RISE och bedömer att medarbetaren rimligen kan förvänta sig denna behandling så kommer behandlingen att genomföras med stöd av intresseavvägning som laglig grund. Om behandling inte uppfyller dessa rekvisit, eller om samtycke krävs enligt gällande dataskyddslagstiftning, så inhämtas särskilt samtycke innan behandlingen genomförs.
Till vilka medarbetare personuppgifter lämnas
Endast personer inom RISE-koncernen som har behov av att behandla personuppgifter i enlighet med ovan angivna ändamål har tillgång till uppgifterna.
RISE delar personuppgifter med andra bolag inom RISE-koncernen t.ex. om det är nödvändigt för att möjliggöra för RISE-koncernen att använda samma IT-system, t.ex. ekonomisystem, affärssystem, HR-system, lönesystem etc., för att kunna hantera koncerngemensamma stödfunktioner på ett effektivt sätt samt för övrig koncerngemensam samverkan.
RISE kan komma att lämna ut personuppgifter till personuppgiftsbiträden som hanterar information för RISE räkning, t.ex. leverantör av ledar- och medarbetarundersökningar, rekryteringstjänster, förmånsportal, löneadministration, IT- och molntjänster, etc.
RISE kan också komma att dela personuppgifter med tredje parter som är enskilt personuppgiftsansvariga om sådant utlämnande krävs för ändamålet för vilket uppgifterna samlats in, t.ex. Försäkringskassan, Migrationsverket och andra myndigheter, tredje part med vilken RISE har eller förväntas ha ett avtalsförhållande (t.ex. kund- och samarbetspartner, leverantör av företagshälsovård, försäkringslösningar, resehantering, logistik, transport, hotell, konferens, reklam- och mediebyråer, sociala medier, etc.), eller annan tredje part om det krävs för det ändamål för vilket uppgifterna samlats in.
För det fall RISE delar personuppgifter med tredje parter så kommer RISE vidta alla rimliga åtgärder för att tillgodose att lämpliga skyddsåtgärder är på plats för att säkerställa en lämplig skyddsnivå för personuppgifterna som krävs enligt tillämplig dataskyddslagstiftning.
Lagringstider och gallring
RISE behandlar medarbetares personuppgifter så länge som det är nödvändigt i förhållande till de ändamål för vilka dessa samlats in.
Vissa personuppgifter raderas i samband med att anställningen eller uppdraget avslutas. Andra personuppgifter lagras under en längre tid eftersom det finns rättsliga förpliktelser för RISE att fortsätta att behandla dessa, t.ex. för att upprätta arbetsgivarintyg eller för att styrka att korrekta skatteavdrag har gjorts, alternativt för att RISE behöver behålla personuppgifterna för att tillvarata sina rättigheter. Efterhand som möjligheterna att rikta krav mot RISE löper ut (preskription) så kommer dessa att gallras ut.
Uppgifter om anställningstid sparas till dess anställd uppnått pensionsålder, och underlag för inbetalningar till pensionsförsäkringar sparas så länge den anställde är i livet.
Överföring av personuppgifter till tredje land
RISE överför i regel inte personuppgifter till ett land utanför EES. Om det ändå sker av någon anledning kommer RISE att tillse att den mottagande parten säkerställer adekvat skyddsnivå i enlighet med gällande dataskyddslagstiftning.
Rättigheter som medarbetare
Medarbetaren har vissa rättigheter avseende RISE behandling av dennes personuppgifter. Dessa rättigheter beskrivs i detta avsnitt. För att utöva dessa rättigheter kontaktas RISE DPO/Dataskyddsombud via kontaktuppgifterna nedan.
Rätt till tillgång
Medarbetaren har rätt att begära information om vilka av dennes personuppgifter som RISE behandlar, samt hur dessa personuppgifter behandlas.
Rätt till rättelse
Genom att inkomma med korrekta uppgifter har medarbetaren rätt att få felaktiga uppgifter rättade och ofullständiga uppgifter kompletterade.
Rätt till radering och begränsning
Medarbetaren har i vissa fall rätt att begära att RISE raderar dennes personuppgifter, bl.a. om uppgifterna inte längre är nödvändiga för de ändamål för vilka uppgifterna samlats in eller behandlas eller om medarbetaren invänder mot en intresseavvägning där medarbetaren anser att RISE saknar berättigat intresse för behandlingen.
Medarbetaren har också rätt att begära att RISE begränsar sin behandling av dennes personuppgifter.
Det är inte alltid möjligt för RISE att tillmötesgå en sådan begäran, t.ex. om behandlingen är nödvändig för att uppfylla en rättslig förpliktelse eller för att t.ex. kunna fastställa, göra gällande eller försvara rättsliga anspråk.
Medarbetaren har också rätt att begära att RISE begränsar sin behandling av dennes personuppgifter. Det är inte alltid möjligt för RISE att tillmötesgå en sådan begäran, t.ex. om behandlingen är nödvändig för att uppfylla en rättslig förpliktelse eller för att t.ex. kunna fastställa, göra gällande eller försvara rättsliga anspråk.
Rätt till dataportabilitet
Om RISE grundar sin behandling på ett avtal med medarbetaren eller på dennes samtycke, så har medarbetaren rätt att få en kopia på de personuppgifter som rör denne i ett strukturerat format och i vissa fall få dessa överförda till annan personuppgiftsansvarig.
Automatiserat beslutsfattande
Medarbetaren har rätt att inte bli föremål för ett beslut som har fattats helt genom automatiserad behandling om beslutet har rättsliga följder eller på liknande sätt påverkar medarbetaren i betydande grad.
Rätt att lämna klagomål
Medarbetaren har rätt att lämna ett klagomål till Datainspektionen om denne har några klagomål avseende RISE behandling av dennes personuppgifter.
Kontaktuppgifter för medarbetare
För att utöva rättigheterna som beskrivs i detta avsnitt är medarbetaren välkommen att kontakta RISE DPO/Dataskyddsombud på dpo@ri.se.
Alternativt skicka brev till:
RISE Research Institutes of Sweden AB
Att: RISE DPO/Dataskyddsombud
Box 857
501 15 Borås
Personuppgiftsansvarig för behandlingen av personuppgifter är:
RISE Research Institutes of Sweden AB, Org.nr. 556464-6874 Box 857 501 15 Borås
Ladda ner *personuppgiftsbehandling gällande medarbetare" som PDF