Informacja o ochronie danych osobowych pracowników
1. Wprowadzenie
Ochrona prywatności jest ważna dla firmy Barona. Zapewniamy, że przetwarzamy dane osobowe naszych pracowników w sposób ostrożny i transparentny, respektując prawo do prywatności. Przetwarzamy dane zgodnie z Ogólnym rozporządzeniem o ochronie danych oraz innymi przepisami dotyczącymi ochrony danych. Zawsze stosujemy najlepsze praktyki związane z prywatnością. Niniejsza informacja o ochronie danych obowiązuje od 21 lutego 2023 roku.
2. Cele przetwarzania danych i rodzaje przetwarzanych danych
Gromadzimy i przetwarzamy dane osobowe tylko w poniższych, ściśle określonych celach. Poniżej znajdują się listy rodzajów danych osobowych, które przetwarzamy w każdym z celów. Część przetwarzanych danych osobowych może należeć do specjalnych kategorii danych osobowych.
Przetwarzanie związane z organizowaniem, zarządzaniem, zmienianiem i zakańczaniem stosunku pracy
- Imię, nazwisko i dane kontaktowe
- Numer ubezpieczenia społecznego
- Identyfikator pracownika
- Informacje związane z umową o pracę oraz innymi możliwymi zobowiązaniami
- Informacje związane z umiejętnościami i kompetencjami, jak znajomość języków i wykształcenie
- Informacje związane z zadaniami wykonywanymi w ramach pracy, jak nazwa i opis stanowiska
- Informacje związane z wynikami, jak statystyki i innego rodzaju dokumentacja
- Prawa dostępu do systemu, konta użytkownika i ewentualne informacje z dziennika
- Informacje wymagane do kontroli dostępu
- Informacje związane z godzinami pracy i zmianami
- Nieobecności z powodu choroby
- Informacje związane ze wspieraniem i monitorowaniem zdolności do pracy
- Zdjęcie
Wypłacanie pensji i innych wynagrodzeń
- Dane bankowe
- Informacje związane z wynagrodzeniem, jak wynagrodzenie pieniężne, świadczenia lubi inne formy wynagrodzenia, informacje podatkowe i koszty ponoszone przez pracodawcę
- Numer podatkowy i numer karty Valtti
- Koszty dojazdów
- Informacje z systemu kontroli dostępu związane z monitorowaniem godzin pracy i nieobecności
- Nieobecności z powodu choroby, płatne urlopy oraz inne zwolnienia lub nieobecności, na które została wyrażona zgoda
- Przynależność do związku zawodowego i pobieranie składki członkowskiej z pensji
Rozwój produktów i usług
- Dane analityczne i statystyki mogą być wykorzystywane w celach związanych z rozwijaniem usług lub automatyzowaniem pewnych procesów
3. Podstawa prawna
Przepisy dotyczące ochrony danych wymagają, aby przetwarzanie danych odbywało się na podstawach prawnych ujętych w treści RODO. Poniżej znajdują się podstawy prawne przetwarzania przez nas danych osobowych.
Umowa
Zarządzanie umownymi zobowiązaniami i wypełnianie ich to jedna z najważniejszych podstaw prawnych, na których opieramy swoje działania. Na przykład przetwarzanie informacji związanych z wykształceniem i szkoleniami, godzinami pracy, kontem bankowym oraz innymi kwestiami związanymi z zarządzaniem zatrudnieniem opiera się na obowiązującej umowie zawartej z firmą Barona.
Prawnie uzasadniony interes
Przetwarzanie informacji z dzienników systemowych odbywa się na podstawie prawnie uzasadnionego interesu. Oceniamy i rozważamy znaczenie swojego prawnie uzasadnionego interesu zgodnie z przepisami prawa dotyczącymi ochrony danych, zapewniając, że nie jest on źródłem nieuzasadnionego ryzyka ani utrudnień dla osób, których dane dotyczą.
Zgoda
W niektórych sytuacjach przetwarzamy dane osobowe tylko pod warunkiem, że osoba, której dane dotyczą, udzieliła na to wcześniej wyraźną zgodę. Na przykład informacje dotyczące przynależności do związku zawodowego są przetwarzane tylko w sytuacji, gdy osoba, której dane dotyczą, zgodziła się na pobieranie składki członkowskiej bezpośrednio z pensji.
Zobowiązania prawne
Jesteśmy prawnie zobowiązani do przetwarzania pewnych danych osobowych. Na przykład podstawą przetwarzania danych podatkowych jest obowiązek prawny.
4. Źródła danych osobowych
Dane osobowe są gromadzone głównie bezpośrednio od osób, których dane dotyczą, przed zatrudnieniem i w jego trakcie. W specjalnych sytuacjach, określonych w przepisach prawnych, możemy również gromadzić dane osobowe z innych źródeł, np. oficjalnych rejestrów. Na przykład jeśli dane zadanie wymaga przygotowania raportu bezpieczeństwa lub raportu kredytowego, gromadzone dane pochodzą z oficjalnych rejestrów i są pozyskiwane za zgodą osoby, której dotyczą. W przypadku gromadzenia danych z oficjalnych rejestrów osoba ta jest o tym informowana z wyprzedzeniem. Możemy również otrzymywać dane osobowe od innych firm należących do grupy, jak opisano w części „Przekazywanie danych osobowych”.
5. Przekazywanie i ujawnianie
Przetwarzamy dane osobowe z zachowaniem poufności i nigdy nie sprzedajemy, nie użyczamy ani nie ujawniamy danych osobowych podmiotom zewnętrznym w inny sposób bez potrzeby.
5.1. Przekazywanie danych osobowych
Gdy administrator danych (w tym przypadku firma Barona) udostępnia dane osobowe osobie trzeciej do wykorzystania w jej własnych celach, jest to przekazanie danych. Barona przekazuje dane następującym podmiotom:
- do firmy klienta, w związku z danym zadaniem, ale tylko w zakresie niezbędnym do realizacji zadania;
- do firm należących do firmy Barona lub grupy Bravedo (na przykład jeśli pracownik chce aplikować na inne stanowisko w obrębie grupy, jego dane osobowe mogą zostać przekazane nowej firmie z grupy);
- innym stronom zarządzającym sprawami związanymi ze stosunkiem pracy, jak zakłady ubezpieczeń emerytalnych, zakłady ubezpieczeń od nieszczęśliwych wypadków, związki zawodowe oraz strony zajmujące się medycyną pracy;
- kompetentnym organom, jak urzędy skarbowe, organy windykacyjne czy instytucje ubezpieczeń społecznych w zakresie, w jakim wymagają tego przepisy prawa lub na jaki wyraziła zgodę osoba, której dane dotyczą.
5.2. Ujawnianie danych osobowych
Jeśli administrator danych udostępni dane osobowe osobie trzeciej, ale nie będzie ona ich przetwarzać we własnych celach, jest to ujawnienie danych osobowych. Na przykład jeśli jakieś działanie biznesowe, jak ocena spełnienia kryteriów, jest zlecane podmiotowi zewnętrznemu, dane osobowe związane z tym działaniem mogą zostać ujawnione takiej osobie trzeciej.
Zgromadzone dane osobowe są częściowo przetwarzane i przechowywane poza UE/EOG, np. gdy usługodawca jest zlokalizowany poza UE. Usługodawcy są zobowiązani na mocy umów do zapewnienia adekwatnego poziomu ochrony danych w ramach wszystkich procesów przetwarzania.
6. Środki techniczne i organizacyjne
Jako pracodawca chronimy dane osobowe, stosując odpowiednie techniczne i organizacyjne środki bezpieczeństwa zabezpieczające przed ich utratą, nieuprawnionym dostępem oraz innego rodzaju nieprawidłowym użyciem. Są to na przykład zapory sieciowe, szyfrowanie, kopie zapasowe oraz bezpieczne pokoje udostępniania danych.
Dostęp do danych osobowych jest kontrolowany z wykorzystaniem środków wewnętrznych, jak elektroniczna i fizyczna kontrola dostępu, dane uwierzytelniające pozwalające na ograniczony dostęp czy polityki związane z monitorowaniem. Dane osobowe są przetwarzane jedynie przez pracowników, którzy mają do tego uprawnienia w związku z zajmowanym stanowiskiem.
7. Zautomatyzowane podejmowanie decyzji
Pojęcie „zautomatyzowanego podejmowania decyzji” odnosi się do decyzji podejmowanych w pełni automatycznie, na przykład w oparciu o algorytm, bez udziału człowieka. W ramach przetwarzania danych osobowych firma Barona nie stosuje zautomatyzowanego podejmowania decyzji.
8. Czas przechowywania
Przechowujemy dane osobowe tylko przez okres, który jest niezbędny w związku z przetwarzaniem danych, chyba że dłuższy okres przechowywania jest wymagany przez prawo. Dane osobowe związane z zatrudnieniem są przechowywane przez okres wymagany na mocy prawa.
Po upłynięciu okresu przechowywania danych dane osobowe są albo nadpisywane (w przypadku kopii zapasowych i tła systemu), albo edytowane. Wówczas dane osobowe są permanentnie zmieniane w taki sposób, że na ich podstawie nie jest możliwe zidentyfikowanie osoby, której dotyczyły.
Poniżej wymienione zostały typowe okresy przechowywania danych osobowych. Czas przechowywania liczony jest na przykład od momentu utworzenia danych.
- Umowy o pracę i dokumenty związane z zarządzaniem nimi: okres zatrudnienia + 10 lat
- Profil pracownika: okres zatrudnienia
- Karty podatku dochodowego: do opracowania sprawozdania finansowego z danego roku
- Raporty dotyczące urlopów chorobowych: 2 lata
- Zarządzenia dotyczące postępowania windykacyjnego: 10 lat
- Aplikacje i decyzje Instytucji ds. ubezpieczenia społecznego (KELA): 6 lat
- Informacje, aplikacje i decyzje związane z wypadkami: 20 lat
- Umowy dotyczące urlopów rodzicielskich, wychowawczych i częściowych urlopów wychowawczych: 10 lat
- Umowy dotyczące urlopów naukowych: 10 lat
- Inne umowy dotyczące zatrudnienia: 10 lat
- Protokoły i umowy związane z negocjacjami dotyczącymi współpracy: permanentnie
- Certyfikaty związane z zatrudnieniem: 10 lat
- Dokumenty dotyczące wynagrodzenia: 10 lat
- Dokumenty dotyczące płatnych urlopów, wynagrodzeń za urlop i rekompensat: 10 lat
- Faktury związane z dojazdami i wydatkami: 10 lat
- Karty wynagrodzenia: 50 lat
- Coroczna informacja od organu podatkowego: 6 lat
- Lista zatrudnienia związana z emeryturą pracowniczą: 6 lat
- Informacje o wynagrodzeniu związane z TVR: 6 lat
- Informacje o wynagrodzeniu związane z ubezpieczeniem od nieszczęśliwych wypadków: 6 lat
- Żądania dostępu do danych osoby, której dane dotyczą: 2 lata
9. Prawa osób, których dane dotyczą
9.1. Prawo do informacji
Osoby, których dane dotyczą, mają prawo do uzyskiwania informacji na temat przetwarzania ich danych w sposób zwięzły, transparentny, zrozumiały, w dostępnej formie oraz wyrażonych jasnym i prostym językiem. Celem tej informacji o prywatności jest umożliwienie skorzystania z prawa do informacji oraz pomoc w zrozumieniu, jak przetwarzamy dane osobowe. W przypadku dodatkowych pytań po zapoznaniu się z niniejszą informacją zapraszamy do kontaktu, jak opisano w części „Dane kontaktowe”.
9.2. Prawo dostępu
Osoby, których dane dotyczą, mają prawo otrzymać potwierdzenie dotyczące swoich danych osobowych, które przetwarzamy. Dzięki temu mogą ocenić i potwierdzić, że dane te są przetwarzane zgodnie z prawem. Ponadto osoby, których dane dotyczą, mają prawo poprosić o kopię swoich danych osobowych, które przetwarzamy, i otrzymać ją. Instrukcje dotyczące żądania kopii danych można znaleźć w następnej części, „Korzystanie przez osoby, których dane dotyczą, z przysługujących im praw”.
9.3. Prawo do przeniesienia danych
W niektórych sytuacjach osoba, której dane dotyczą, ma prawo otrzymać przekazane nam dane osobowe w ustrukturyzowanym, powszechnie wykorzystywanym i nadającym się do odczytu maszynowego formacie oraz, jeśli będzie miała takie życzenie, przekazać dane innemu administratorowi. Prawo to istnieje w sytuacji, gdy przetwarzamy dane osobowe na podstawie udzielonej zgody lub umowy, a proces przetwarzania danych ma charakter cyfrowy.
9.4. Prawo do sprostowania danych
Naszym celem jest przechowywanie danych osobowych aktualnych i dokładnych oraz usuwanie bez opóźnień danych nieprawdziwych, niewystarczających i niedokładnych. Osoby, których dane dotyczą, mają prawo żądać sprostowania niedokładnych danych osobowych oraz uzupełnienia danych, które nie są wystarczające.
9.5. Prawo do ograniczenia przetwarzania danych
Ograniczenie przetwarzania danych oznacza, że osoba, której dane dotyczą, może ograniczyć ich przetwarzanie, z wyjątkiem przechowywania, tylko do sytuacji, gdy:
- wyraziła na to zgodę;
- jest to potrzebne w celach związanych z ustaleniem, dochodzeniem lub obroną roszczeń prawnych;
- ma to na celu ochronę praw innej osoby fizycznej lub prawnej;
- jest to ważne przez wzgląd na interes publiczny UE lub państwa członkowskiego.
Z tego prawa można skorzystać w następujących sytuacjach:
- gdy osoba, której dane dotyczą, kwestionuje prawidłowość tych danych osobowych (wówczas przetwarzanie zostaje ograniczone na okres pozwalający administratorowi danych ich zweryfikowanie);
- gdy przetwarzanie jest niezgodne z prawem, ale osoba, której dane dotyczą, sprzeciwia się usunięciu swoich danych osobowych i żąda w zamian ograniczenia ich wykorzystywania;
- gdy administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne administratorowi do ustalenia, dochodzenia lub obrony roszczeń;
- gdy osoba, której dane dotyczą, wniosła sprzeciw wobec przetwarzania w celach innych niż marketing bezpośredni i oczekuje na potwierdzenie, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw po jej stronie.
9.6. Prawo sprzeciwu wobec przetwarzania danych
W niektórych sytuacjach osoba, której dane dotyczą, ma prawo sprzeciwić się przetwarzaniu danych, żądając, by dane te w ogóle nie były przetwarzane. Jeśli dane osobowe są przetwarzane w celach związanych z wykonaniem zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej lub ze względu na prawnie uzasadnione interesy (nasze lub osoby trzeciej), osobie, której dane dotyczą, przysługuje prawo sprzeciwu wobec przetwarzania danych w związku z jej szczególną sytuacją.
W takich sytuacjach zaprzestanie przetwarzania danych jest konieczne, chyba że:
- administrator wykaże w sposób, który nie pozostawia wątpliwości, prawnie uzasadnione podstawy przetwarzania, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą;
- jest to potrzebne w celach związanych z ustaleniem, dochodzeniem lub obroną roszczeń prawnych.
Jeśli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo wnieść sprzeciw wobec przetwarzania tych danych bez żadnego konkretnego uzasadnienia, po czym jej dane nie będą już mogły być przetwarzane na potrzeby marketingu bezpośredniego.
9.7. Prawo do usunięcia danych i bycia zapomnianym
W niektórych sytuacjach osoba, której dane dotyczą, ma prawo do bycia zapomnianą lub do żądania całkowitego usunięcia swoich danych osobowych. Prawo to istnieje na przykład wtedy, gdy dane osobowe nie są już niezbędne w związku z realizacją celów, dla których zostały zgromadzone czy w inny sposób przetworzone, przetwarzanie odbywało się na podstawie zgody, którą osoba, której dane dotyczą, wycofała, lub gdy przetwarzanie danych osobowych odbywało się niezgodnie z prawem.
9.8. Prawo do wycofania zgody
Gdy przetwarzanie danych opiera się na zgodzie udzielonej przez osobę, której dane dotyczą, ma ona prawo w dowolnym momencie wycofać tę zgodę. W przypadku wycofania zgody przetwarzanie danych osobowych nie będzie kontynuowane, chyba że będzie to wymagane na innej podstawie prawnej, jak na przykład obowiązek prawny.
9.9. Prawo do złożenia skargi do organu nadzorczego
Osoba, której dane dotyczą, może również skorzystać z prawa do złożenia skargi do organu nadzorczego, jeśli uzna, że nasze praktyki związane z prywatnością nie są zgodne z Ogólnym rozporządzeniem o ochronie danych. Skargę można złożyć na przykład w sytuacji, gdy prawa opisane w niniejszej informacji nie zostały prawidłowo zaimplementowane. W Finlandii takim organem nadzorczym jest Biuro Ombudsmana ds. Ochrony Danych.
10. Korzystanie przez osoby, których dane dotyczą, z przysługujących im praw
W przypadku pytań dotyczących wymienionych tu praw, chęci skorzystania z nich, w tym uzyskania informacji o swoich danych osobowych, należy się z nami skontaktować. Dane kontaktowe naszego inspektora ochrony danych znajdują się na końcu niniejszej informacji.
Korzystanie z przysługujących praw z zasady nie wiąże się z żadnymi kosztami. W niektórych sytuacjach określonych przez prawo, na przykład jeśli osoba, której dane dotyczą, zażąda wielu kopii swoich danych osobowych, możemy przed realizacją żądania poprosić o uiszczenie opłaty w wysokości wymaganej do jego realizacji.
Odpowiadamy na wszelkie żądania bez nadmiernych opóźnień, najpóźniej miesiąc po ich otrzymaniu. Informujemy również o środkach podjętych w celu ich realizacji. Jeśli z jakiegoś powodu żądanie zostanie odrzucone, osoba, której dane dotyczą, zostanie o tym poinformowana, a także otrzyma uzasadnienie decyzji (w ciągu miesiąca od otrzymania przez nas żądania).
W przypadku kilku żądań lub w sytuacji, gdy są skomplikowane, możemy potrzebować dodatkowego czasu (do 2 miesięcy) na ich zrealizowanie. W takiej sytuacji poinformujemy osobę, której dane dotyczą, o takiej potrzebie i wyjaśnimy przyczyny opóźnienia w ciągu miesiąca od otrzymania przez nas żądania.
W przypadku chęci złożenia skargi do organu nadzorczego więcej informacji na ten temat można znaleźć w witrynie Biura Ombudsmana ds. Ochrony Danych: https://tietosuoja.fi/en/notification-to-the-data-protection-ombudsman
11. Administrator danych i dane kontaktowe
Administratorem danych jest podmiot, który decyduje, jak i dlaczego dane osobowe są przetwarzane. Firma Barona wybiera cele przetwarzania danych osobowych swoich pracowników oraz środki stosowane w tym celu. Firma Barona jest więc administratorem w przypadku przetwarzania danych osobowych.
Firma Barona wyznaczyła inspektora ochrony danych, czyli wewnętrznego eksperta ds. ochrony danych. Inspektor ochrony danych nadzoruje przetwarzanie danych osobowych, doradza pracownikom w sprawach związanych z ochroną danych i jest osobą do kontaktu w przypadku żądań i zapytań dotyczących praw osób, których dane dotyczą.
Dane kontaktowe administratora danych
Barona Oy
Identyfikator firmy: 2808477-9
Workery East, 8. floor [8. piętro], Pasilan Asema-aukio 1,
00520 Helsinki, Finland
Dane kontaktowe inspektora ochrony danych
privacy@barona.fi
020 198 3460
Aktualizowanie Oświadczenia dotyczącego ochrony danych
Na bieżąco ulepszamy nasze praktyki związane z ochroną prywatności. W związku z tym niniejsza informacja o ochronie prywatności może być okazjonalnie aktualizowana. Aktualizacje mogą być wynikiem zmian w przepisach prawnych. Zalecamy odwiedzanie tej strony w celu zapoznawania się z ewentualnymi zmianami. W razie potrzeby możemy również informować o zmianach w zakresie praktyk związanych z prywatnością bezpośrednio osoby, których dane dotyczą.