Henkilöstön Tietosuojaseloste 28.8.2022

Tämä seloste on ollut voimassa 23.11.2021 – 28.8.2022 (Vanhemmat versiot selosteesta löydät täältä)

1 Johdanto

Meille Baronalla on tärkeää, että voit työntekijänä luottaa meidän käsittelevän henkilötietojasi huolellisesti, läpinäkyvästi ja yksityisyyden suojastasi huolehtien. Noudatamme henkilötietojasi käsitellessämme tarkoin yleistä tietosuoja-asetusta (GDPR) ja muuta tietosuojalainsäädäntöä, ja pyrimme aina toimimaan hyvien tietosuojakäytäntöjen mukaisesti. Barona on osa Bravedo-konsernia.

Tämä tietosuojaseloste kuvastaa miten keräämme, käsittelemme ja suojaamme oman henkilöstömme, myös sinun, henkilötietoja kaikessa toiminnassamme.

2 Miksi ja mitä henkilötietojasi käsittelemme?

Keräämme ja käytämme henkilötietojasi vain seuraavia, erikseen määriteltyjä tarkoituksia varten. Näet alta myös listan niistä henkilötietotyypeistä, joita kutakin tarkoitusta varten käsitellään. Osa käsitellyistä henkilötiedoista voidaan luokitella erityisiin henkilötietoryhmiin kuuluviksi.

  • Työnhakemukseen ja rekrytointiin liittyvä käsittely
    • Perustiedot (nimi, henkilötunnus, yhteystiedot)
    • Työhakemuksen ja ansioluettelon sisältämät tiedot
    • Rekrytointiprosessissa kerätyt tiedot (prosessin eteneminen, suosittelijat)
    • Mahdolliset soveltuvuus- ja persoonallisuustestit
    • Mahdolliset luottotieto- ja turvallisuusselvitykset
  • Työsuhteen järjestämiseen, hoitamiseen, muuttamiseen ja päättämiseen liittyvä käsittely
    • Perustiedot (nimi, henkilötunnus, yhteystiedot, työntekijänumero)
    • Työsopimukseen ja muihin vastaaviin sitoumuksiin liittyvät tiedot
    • Kielitaito, koulutus, ym. osaamiseen ja pätevyyteen liittyvät tiedot
    • Työtehtävien sisältöä ja suorittamista koskevat tiedot (esim. nimike ja tehtävänkuva, asiakaspalvelupuheluiden tallenteet, suoriutumiseen liittyvät tilastot ja muut dokumentit, järjestelmien käyttöoikeuksien ja käyttäjätunnusten tiedot)
    • Kulunvalvontaa varten tarvittavat tiedot
    • Työaikaa ja työvuoroja koskevat tiedot
    • Sairauspoissaolot
    • Työkyvyn tukeminen ja seuranta
    • Valokuva
  • Palkan ja muiden korvausten maksu
    • Tilitiedot
    • Työsuhteen perusteella maksettaviin korvauksiin liittyvät tiedot (rahapalkka, luontoisedut tai muut palkitsemistavat ja niihin liittyvät tiedot, verotustiedot ja työnantajamaksuihin liittyvät tiedot, matkalaskut ja kilometrikorvaukset)
    • Työajan seurantaan ja poissaoloihin liittyvät tiedot (kulunhallintajärjestelmästä saatavat tiedot, sairauspoissaolot, vuosilomat ja muut vapaat tai sovitut poissaolot)
    • Ammattiliiton jäsenyys ja jäsenmaksun pidättäminen palkasta
    • Veronumero ja Valtti-kortin numero
  • Tuote- ja palvelukehitys
    • Käsittelemme henkilötietojasi tuotteiden ja palvelujen, asiakaspalvelun sekä myynnin ja markkinoinnin kehittämiseen
    • Esimerkiksi palkanmaksussa tapahtuvia vaiheita ja henkilötietojen käsittelyä voidaan automatisoida

Barona-konserniin kulloinkin kuuluvissa ulkomaan yhtiöissä voidaan edellä mainittujen tietojen lisäksi kerätä paikallisen lainsäädännön edellyttämiä tietoja kuten passinumero, paikallinen sosiaaliturvatunnus, vanhempien kokonimet. Puolassa ja Espanjassa kerätään työntekijöiden vanhempien koko nimi ja passin numerot.

3 Minkä oikeusperusteen nojalla käsittelemme henkilötietojasi?

Tietosuojalainsäädäntö edellyttää, että kaikki henkilötietojen käsittely pohjautuu johonkin yleisen tietosuoja-asetuksen mukaiseen oikeusperusteeseen. Käsittelemme henkilötietojasi seuraavien oikeusperusteiden nojalla:

Sopimus: sopimussuhteen järjestäminen ja sopimusvelvoitteiden toteuttaminen on tärkeimpiä oikeusperusteita, joiden nojalla käsittelemme henkilötietojasi. Esimerkiksi osaamis- ja koulutustietojesi, työvuorotietojesi, muiden työsuhteen yleistä hoitamista varten tarvittavien tietojen, sekä palkkatilitietojesi käsittely perustuu kanssasi solmittuun työsopimukseen.

Lakisääteinen velvoite: käsittelemme joitain henkilötietoja suoraan lain nojalla. Esimerkkejä tällaisista tiedoista ovat viranomaisten verotuksen toimittamista varten tarvittavat tiedot palkasta ja muista korvauksista, sekä työsopimuslaista johtuva velvollisuus säilyttää työsopimuksia 10 vuotta palvelussuhteen päättymisestä.

Oikeutettu etu: (Baronan) oikeutettu etu toimii henkilötietojesi käsittelemisen oikeusperusteena Barona-konserniin kuuluvien eri yhtiöiden välisten tiedonsiirtojen ja tuote- ja palvelukehityksen osalta. Kun oikeutettua etua käytetään käsittelyperusteena, arvioimme ja punnitsemme edun olemassaolon ja merkityksen huolellisesti tietosuojalainsäädännön vaatimalla tavalla ja huolehdimme, ettei käsittely aiheuta sinulle kohtuutonta haittaa tai riskiä.

Suostumus: tietyissä tilanteissa käsittelemme henkilötietojasi vain, mikäli saamme sinulta etukäteen nimenomaisen suostumuksen. Esimerkiksi ammattiliiton jäsenmaksun maksaminen palkasta, työntekijän turvallisuusselvityksen tai luottotietoselvityksen tekeminen tapahtuu aina sinun suostumuksellasi. Joissain tilanteissa suostumuksen voidaan katsoa oleman olemassa suoraan oman toimintasi perusteella – esimerkiksi jos päätät oma-aloitteisesti kertoa joitain henkilötietojasi. Työsuhdetta edeltävien toimenpiteiden suorittaminen tapahtuu myös tekemäsi pyynnön nojalla.

4 Mistä saamme käsittelemämme henkilötiedot?

Henkilötiedot kerätään pääsääntöisesti sinulta itseltäsi ennen työsuhdetta ja työsuhteen aikana.

Laissa erikseen määritellyissä erityistilanteissa saatamme kerätä tietoja myös ulkopuolisista lähteistä, kuten viranomaisten rekistereistä – tyypillisesti esimerkiksi tilanteessa, jossa työtehtäväsi edellyttävät turvallisuusselvityksen tekemistä tai luottotietojesi tarkistamista. Tällaisissa tapauksissa selvittämisestä kerrotaan sinulle etukäteen ja tarvittaessa sinulta pyydetään etukäteen suostumus selvittämiseen. Voimme myös saada henkilötietojasi muilta konserniyhtiöiltä kuten kuvattu kohdassa Henkilötietojen luovutukset.

5 Keille luovutamme tai siirrämme henkilötietojasi?

Käsittelemme tietojasi luottamuksellisesti, emmekä esimerkiksi myy, vuokraa tai muutenkaan tarpeettomasti paljasta henkilötietojasi ulkopuolisille tahoille.

5.1 Henkilötietojen luovutukset

Luovutuksella tarkoitetaan tapahtumaa, jossa rekisterinpitäjä (tässä Barona) antaa henkilötietoja jollekin kolmannelle osapuolelle ja tämä kolmas osapuoli käyttää niitä omiin tarkoituksiinsa – ei siis Baronan lukuun. Henkilötietoja luovutetaan seuraaville toimijoille:

  • Baronan asiakasyritykselle rekrytoinnin tai toimeksiannon yhteydessä. Tällainen tietojen luovutus tapahtuu siinä laajuudessa kuin järjestelyn mahdollistamiseksi on tarpeellista.
  • Muille työsuhteeseen kiinteästi liittyviä asioita hoitaville tahoille, kuten eläkevakuutusyhtiölle, tapaturmavakuutusyhtiölle, ammattiliitoille ja työterveyshuoltopalveluita tarjoaville tahoille.
  • Toimivaltaiselle viranomaiselle, kuten verottajalle, ulosottolaitokselle tai KELA:lle lainsäädännön sallimalla tai velvoittamalla tavalla, taikka nimenomaisella suostumuksellasi.
  • Bravedo- ja Barona-konserniin kuuluville toisille yhtiöille. Esimerkiksi vaihtaessasi työpaikkaa konsernin sisällä, työsuhteestasi tallennetut tiedot saattavat siirtyä mukanasi uuteen yhtiöön.

5.2 Henkilötietojen siirrot

Henkilötietojen siirrolla tarkoitetaan tilannetta, jossa rekisterinpitäjä antaa henkilötietoja kolmannelle osapuolelle käsiteltäväksi rekisterinpitäjän itsensä lukuun. Esimerkiksi jonkin käsittelytoimen, kuten palkanlaskennan, ulkoistaminen toiselle yritykselle edellyttää yleensä henkilötietojen siirtämistä.

Keräämiämme tietoja säilytetään ja käsitellään osaksi Euroopan talousalueen ulkopuolella esimerkiksi silloin, kun käyttämämme palveluntarjoaja sijaitsee tai säilyttää tietoja Euroopan talousalueen ulkopuolella. Käyttämämme palveluntarjoaja on sopimuksilla sitoutunut varmistamaan, että kaikessa henkilötietojasi käsittelyssä taataan riittävä tietosuojan taso.

6 Miten turvaamme henkilötietosi?

Työnantajanasi suojaamme asianmukaisilla teknisillä ja organisatorisilla tietoturvakeinoilla henkilötietojasi häviämiseltä, oikeudettomalta pääsyltä ja muulta väärinkäytöltä. Esimerkkejä tällaisista keinoista ovat muun muassa palomuurien, salaustekniikoiden, varmuuskopioiden ja turvallisten laitetilojen käyttö. Pääsy henkilötietoihisi on sisäisesti rajoitettu sähköisellä ja fyysisellä kulunvalvonnalla, sekä eri järjestelmien käyttöoikeuksien myöntämistä ja valvontaa koskevien käytäntöjen avulla. Henkilötietojasi saavat lukea ja käsitellä vain ne työntekijät, joilla on työtehtäviensä puitteissa siihen oikeus.

7 Automaattinen päätöksenteko

Automaattisella päätöksellä tarkoitetaan päätöstä, joka tehdään täysin automaattisesti (esimerkiksi algoritmin toimesta) ihmisen osallistumatta päätöksentekoon. Henkilötietojesi käsittely ei sisällä automaattista päätöksentekoa.

8 Henkilötietojen säilytysajat

Säilytämme henkilötietojasi vain niin kauan kuin on tarpeen niiden käsittelylle määriteltyjen tarkoitusten toteuttamiseksi, ellei laki velvoita säilyttämään niitä pidemmän aikaa. Työsuhteeseesi liittyvät tiedot säilytetään rekisterissämme lain edellyttämän ajan.

Säilytysajan päätyttyä tiedot joko poistetaan käyttäjien tiedosta, varoajan jälkeen ylikirjoittamalla varmuuskopioista ja järjestelmän taustatiedoista, tai tehdään tunnistamattomiksi muuttamalla ne peruuttamattomasti sellaiseen muotoon, josta yksittäinen henkilö ei ole enää tunnistettavissa.

Alta näet tyypillisiä säilytysaikoja henkilötiedoille. Säilytysaika lasketaan esimerkiksi henkilötiedon luontihetkestä tai työsuhteen päättymisestä.

  • Työsopimukset ja muut työsuhteeseen ja sen hoitoon liittyvät dokumentit: palvelusaika + 10 v.
  • Verokortit: ko. vuoden tilinpäätöksen valmistumiseen
  • Sairauslomatodistukset: 2 v.
  • Ulosottomääräykset: 10 v.
  • KELA-hakemukset ja -päätökset: 6 v.
  • Tapaturmailmoitukset, hakemukset ja päätökset: 20 v.
  • Vanhempainvapaan, hoitovapaan ja osittaisen hoitovapaan sopimukset: 10 v.
  • Opintovapaasopimukset: 10 v.
  • Muut työsuhteeseen liittyvät sopimukset: 10 v.
  • Yt-pöytäkirjat ja -sopimukset: pysyvä
  • Työtodistukset: 10 v.
  • Palkkaan liittyvät aineistot: 10 v.
  • Vuosilomaan, lomarahaan ja -korvauksiin liittyvä aineisto: 10 v .
  • Matka- ja kululaskut: 10 v.
  • Palkkakortti: 50 v.
  • Verottajan vuosi-ilmoitus: 6 v.
  • TyEL-työsuhdeluettelo: 6 v.
  • TVR-palkkailmoitus: 6 v.
  • Tapaturmavakuutuksen palkkailmoitus: 6 v.
  • Rekisteröityjen henkilöiden tietopyynnöt: 2v

9 Mitä oikeuksia minulla on?

9.1 Oikeus saada tietoa henkilötietojesi käsittelystä

Sinulla on oikeus saada meiltä tietoja henkilötietojesi käsittelystä tiiviisti esitetyssä, läpinäkyvässä, mahdollisimman helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tämän selosteen tavoitteena onkin toteuttaa oikeutesi tiedonsaantiin ja auttaa sinua mahdollisimman hyvin ymmärtämään miten ja miksi käsittelemme henkilötietojasi. Mikäli et selosteen perusteella saa selvyyttä johonkin kysymykseesi, voit ottaa yhteyttä kohdan ”Yhteystiedot” mukaisesti.

9.2 Oikeus saada pääsy tietoihin

Sinulla on oikeus saada meiltä vahvistus siitä, mitä sinua koskevia henkilötietoja käsittelemme. Näin sinulla on mahdollisuus arvioida ja varmistaa käsittelyn lainmukaisuus. Lisäksi sinulla on oikeus pyytää ja saada jäljennös käsittelemistämme henkilötiedoista. Ohjeet tietopyynnön tekemiseksi löytyvät seuraavasta kappaleesta ”Miten voin käyttää oikeuksiani?”

9.3 Oikeus siirtää tiedot järjestelmästä toiseen

Sinulla on tietyissä tilanteissa oikeus halutessasi saada sellaiset henkilötietosi, jotka olet itse meille toimittanut, siirrettyä suoraan toiselle rekisterinpitäjälle (kuten työnantajalle) yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Tällainen oikeus on olemassa silloin, kun käsittelemme mainittuja tietoja suostumuksesi tai sopimuksen perusteella ja käsittely on luonteeltaan automaattista (digitaalista).

9.4 Oikeus oikaista tietoja

Tavoitteenamme on pitää henkilötietosi ajan tasalla ja poistaa tai täydentää virheelliset, puutteelliset tai epätarkat henkilötiedot tarvittaessa viivytyksettä. Myös sinulla on oikeus vaatia, että oikaisemme sinua koskevat epätarkat tai virheelliset henkilötiedot, tai täydennämme tietojasi, jotka ovat jääneet puutteellisiksi.

9.5 Oikeus rajoittaa tietojen käsittelyä

Käsittelyn rajoittaminen tarkoittaa, että rajoituksen alaisia henkilötietoja saa säilyttämisen lisäksi käsitellä vain

  • Suostumuksellasi
  • Oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
  • Toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai
  • Tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.

Oikeus on olemassa seuraavissa tilanteissa:

  • Kiistät henkilötietojesi paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa paikkansapitävyysasia selvitetään
  • Käsittely on lainvastaista, mutta et halua poistaa tietojasi
  • Me emme enää tarvitse kyseisiä henkilötietoja ja poistaisimme ne muuten, mutta sinä tarvitset niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
  • Olet vastustanut rekisterinpitäjän oikeutetun edun perusteella tapahtuvaa henkilötietojen käsittelyä ja odotetaan sen todentamista, syrjäyttävätkö rekisterinpitäjän edut rekisteröidyn edut.

9.6 Oikeus vastustaa henkilötietojesi käsittelyä

Sinulla on tietyissä tilanteissa oikeus vastustaa henkilötietojensa käsittelyä eli pyytää, että niitä ei käsiteltäisi ollenkaan. Tilanteissa, joissa käsittelemme henkilötietojasi yleistä etua koskevan tehtävän suorittamiseksi, julkisen vallan käyttämiseksi tai oikeutettujen etujen toteuttamiseksi, voit vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseesi liittyvällä perusteella. Tällöin tietojen käsittely on lopetettava, paitsi jos

  • Voimme osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää sinun etusi, oikeutesi ja vapautesi, tai
  • Käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Kun tietoja käsitellään suoramarkkinointia varten, voit kuitenkin aina vastustaa käsittelyä ilman eri perusteluja. Vastustamisen jälkeen tietoja ei saa enää käsitellä suoramarkkinoinnin tarkoituksiin.

9.7 Oikeus poistaa tiedot ja tulla unohdetuksi

Sinulla on tietyissä tapauksissa oikeus ”tulla unohdetuksi”, eli saada jotkut käsittelemämme henkilötiedot kokonaan poistetuksi. Näin on yleensä esimerkiksi tilanteessa, jossa henkilötietojen käsittely on perustunut suostumukseen ja peruutat suostumuksesi, jos henkilötietojen käsittely on alun perinkin ollut lainvastaista, tai mikäli sinänsä aiheellisesti kerättyjä henkilötietoja ei enää tarvita alkuperäiseen tai muuhunkaan hyväksyttävään tarkoitukseen (esim. lakisääteinen velvoite säilyttää tietoja).

9.8 Oikeus peruuttaa suostumus

Tilanteissa, joissa käsittelemme tietojasi sinun antamasi nimenomaisen suostumuksen nojalla, on sinulla oikeus milloin tahansa peruuttaa suostumuksesi. Mikäli peruutat suostumuksesi, ei henkilötietojesi käsittelyä tai säilyttämistä enää jatketa, ellei jokin muu oikeusperuste (kuten vaikkapa lakisääteinen velvoite) edellytä käsittelyn jatkamista. Voit esimerkiksi peruuttaa suostumuksesi uutiskirjeen tilaamiseen viestissä olevalla ”peru tilaus” toiminnolla.

9.9 Oikeus tehdä valitus valvovalle viranomaiselle

Yllä mainittujen oikeuksien lisäksi sinulla on oikeus tehdä valitus valvontaviranomaiselle, mikäli uskot, että rikomme sinua koskevien henkilötietojen käsittelyssä tietosuoja-asetusta. Valituksen voi tehdä esimerkiksi tilanteessa, jossa tässä selosteessa kuvattuja rekisteröidyn oikeuksiasi ei toteuteta asianmukaisesti. Suomen tietosuojaa koskevana valvontaviranomaisena toimii Tietosuojavaltuutetun toimisto.

10 Miten voin käyttää oikeuksiani?

Mikäli sinulla on kysymyksiä liittyen yllä mainittuihin oikeuksiisi tai haluat tarkastaa tietosi tai muuten käyttää oikeuksiasi, ota meihin yhteyttä; tietosuojavastaavan yhteystiedot löytyvät tämän selosteen alusta. Oikeuksien käyttäminen on lähtökohtaisesti maksutonta; tietyissä lain määrittämissä poikkeustapauksissa (esimerkiksi mikäli pyydät tiedoistasi useita kopioita) saatamme pyytää sinulta etukäteen pyynnön toteuttamisen kustannuksia vastaavan maksun. Vastaamme kaikkiin pyyntöihin ilman aiheetonta viivytystä (viimeistään kuukauden kuluessa pyynnön vastaanottamisesta) ja kerromme mihin toimenpiteisiin olemme pyyntösi johdosta ryhtyneet. Mikäli jostain syystä joudumme kieltäytymään pyynnöstäsi, ilmoitamme myös kieltäytymisestä ja sen perusteista viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Mikäli pyyntöjä on monta tai ne ovat monimutkaisia, saatamme joskus tarvita käsittelyyn lisäaikaa (max 2kk). Ilmoitamme tällöin lisäajan tarpeesta ja perusteista viimeistään 1 kk kuluttua pyynnön tekemisestä. Mikäli haluat tehdä valituksen valvontaviranomaiselle, löydät lisätietoja Tietosuojavaltuutetun toimiston sivuilta. https://tietosuoja.fi/ilmoitus-epakohdasta-henkilotietojen-kasittelyssa

11 Rekisterinpitäjä ja yhteystiedot

Rekisterinpitäjä tarkoittaa sitä tahoa, joka määrittää miten ja miksi henkilötietoja käsitellään. Barona määrittää henkilöstönsä – myös sinun – henkilötietojen käsittelyn tarkoitukset ja keinot itse, ja on niin ollen näiden henkilötietojen osalta rekisterinpitäjä.

Barona on nimennyt erillisen tietosuojavastaavan, joka toimii yrityksen sisäisenä asiantuntijana tietosuoja-asioissa. Tietosuojavastaava mm. seuraa henkilötietojen käsittelyä ja auttaa ja neuvoo työntekijöitämme tietosuojasäännösten noudattamisessa. Tietosuojavastaava toimii lisäksi yhteyshenkilönä henkilötietojen käyttöön ja esimerkiksi tietopyyntöihin liittyvissä tiedusteluissa.

Rekisterinpitäjän yhteystiedot:
Barona Oy
Y-tunnus 2808477-9
Töölönlahdenkatu 3 B, 00100 Helsinki

Tietosuojavastaava:
privacy@barona.fi
020 198 3460

Päivitykset selosteeseen

Kehitämme jatkuvasti tietosuojakäytäntöjämme, minkä vuoksi voimme aika ajoin muuttaa tätä tietosuojaselostetta. Muutokset voivat perustua myös lainsäädännön muuttumiseen. Suosittelemme, että aika ajoin vierailet uudelleen tällä tietosuojaselostesivulla muutoksien huomaamiseksi. Tarvittaessa voimme myös ilmoittaa muutoksista suoraan sinulle.