Begäran om tillgång till dina personuppgifter för anställda och före detta anställda. Nordeas policy för skydd av medarbetares data

Transkript

1 Begäran om tillgång till dina personuppgifter för anställda och före detta anställda Om du är eller har varit anställd i Nordea (eller om du är eller har varit konsult i Nordea) kan du begära tillgång till dina personuppgifter rörande anställningen direkt från Group People. För anställda i de Nordiska länderna hänvisar vi till instruktionen på intranätet för hur du begär åtkomst till dina personuppgifter rörande din anställning. För anställda utanför de Nordisk länderna ber vi dig skicka din begäran via e-post till people.direct@nordea.com, eller ringa People Direct på telefon Nordeas policy för skydd av medarbetares data Nordea värnar skyddet av dina enskilda rättigheter och dina personuppgifter. Den här dataskyddspolicyn beskriver hur vi samlar in, använder, lagrar och delar personuppgifter. Inom Nordeakoncernen är det Nordea Bank Abp, filial i Sverige, och/eller det Nordeaföretag som du är anställd av. Vi behandlar medarbetares personuppgifter av flera skäl. När vi skriver du menar vi dig som är medarbetare, konsult eller en person som på liknande basis arbetar på uppdrag av Nordea. Dataskyddspolicyn innehåller följande delar: 1 Vilka personuppgifter vi samlar in 2 Hur vi kan komma att använda dina personuppgifter och på vilken laglig grund 3 Automatiserat beslutsfattande 4 Vem vi kan komma att lämna ut dina personuppgifter till 5 Hur vi skyddar dina personuppgifter 6 Dina rättigheter i fråga om dataskydd 7 Hur länge vi behåller dina personuppgifter 8 Hur förändringar görs i Nordeas dataskyddspolicy 9 Kontakta oss eller dataskyddsmyndigheten 1 Vilka personuppgifter vi samlar in Personuppgifter samlas in genom att vi får dem från dig direkt, eller genom att de genereras av dig när du använder program och kontorsutrustning, som din dator och olika ITapplikationer. Ibland samlar vi in kompletterande information för att verifiera eller uppdatera dina personuppgifter, till exempel genom att stämma av dem mot myndigheternas adressregister.

2 De personuppgifter som vi samlar in kan delas in i följande kategorier: Identitets- och bakgrundsinformation: exempelvis personnummer, namn, telefonnummer, mejladress, post- och/eller bostadsadress. Anställningsdata: exempelvis typ av anställningsavtal, befattning, jobbeskrivning. Rekryteringsdata: exempelvis cv och ansökan, intervju- och bedömningsdata. Information om ersättning och förmåner: lön, anställningsvillkor, kontouppgifter, skatteinformation, etc. Information relaterad till regelkrav: om skattehemvist, arbetsmiljö, semestrar, sjukledighet och rehabilitering, mm. Humankapitalinformation: exempelvis avslutade kurser, certifieringar, PLD-samtal, utvecklingsbehov och disciplinära åtgärder. Övervakningsdata: exempelvis systemloggar, inspelade samtal, register över behörighet till lokaler, loggar över internetanvändning. Särskilda personuppgiftskategorier: om hälsa, fackligt medlemskap, mm. Personuppgifter som vi kan komma att samla in från dig: Vi samlar in uppgifter du lämnar direkt till oss. När du exempelvis tecknar anställningsavtal med oss samlar vi in ID-uppgifter, kontaktuppgifter samt information om ersättning och förmåner. Nordea samlar också in information som du förser oss med via ditt dagliga arbete inom ramen för anställningsavtalet, till exempel när du använder Nordeas IT-applikationer, registrerar din arbetstid eller dina resekostnader, eller när du hanterar fakturor. För de befattningar som kräver att samtal och chattar med kunder spelas in gäller att inspelningarna omfattar även dina personuppgifter när du är part i samtalet. Av säkerhetsskäl har vi kameror i vissa delar av våra kontor. Nordea samlar också in personuppgifter när du använder dig av förmåner och tjänster som är tillgängliga för dig som medarbetare. Personuppgifter som vi kan komma att samla in från tredje part: Uppgifter från offentliga register och andra externa källor (såsom adressregister och skattemyndigheternas register) kan användas för att exempelvis uppdatera information om din bostadsadress eller skatteavdrag från din lön. Från andra företag inom Nordeakoncernern eller företag som vi samarbetar med kan vi samla in information som exempelvis vilka licenser du kan ha, om sådana krävs för vissa arbetsuppgifter (som att erbjuda kunder finansiell rådgivning, etc). Om du väljer att ta emot feedback från kollegor inom ramen för PLD-samtalet samlas den in i enlighet med den processen. 2 Hur vi kan komma att använda dina personuppgifter och på vilken laglig grund Vi använder dina personuppgifter för att administrera din anställning, uppfylla lagkrav och planera personalförsörjningen. Teckna och administrera anställningsavtal (fullgörande av avtal) Vårt huvudsyfte med att behandla dina personuppgifter är att uppfylla våra förpliktelser enligt anställningsavtalet och se till att du kan sköta dina arbetsuppgifter. Exempel på uppfyllande av avtal:

3 Processer som krävs för att rekrytera och ta emot den sökande/medarbetaren, och ge tillgång till de IT-applikationer som medarbetaren behöver för att göra sitt jobb Processer som behövs för att betala ut och följa upp löner, semestrar, pensionsadministration och resekostnader samt utvärdera prestation Processer för att hantera förfrågningar från medarbetare till People och erbjuda medarbetare tjänster. Uppfylla krav och förpliktelser enligt lagar, andra författningar eller beslut av myndigheter och tillsynsorgan (rättslig förpliktelse) Förutom för att fullgöra ett avtal behandlar vi också dina personuppgifter för att uppfylla de förpliktelser vi har enligt lag, andra författningar eller myndighetsbeslut. Exempel på behandling till följd av rättsliga förpliktelser: Rapportering till skatte- och tillsynsmyndigheter Administrering av sjukledighet och rehabilitering Uppfyllande av åtaganden till fackförening Dokumentera efterlevnad av lagar och regler, till exempel genom att föra insiderregister. Personalförsörjning: planering och analys (berättigat intresse) Behandling av uppgifter på berättigade grunder omfattar analys av personalstyrkan samt internt informationsutbyte. Nordea övervakar även användningen av kontorsutrustning, ITapplikationer och användningen av internet och e-post för att förebygga attacker genom virus eller skadlig programvara, samt för att se till att utrustningen används i överensstämmelse med interna policyer, däribland vår policy för informationssäkerhet. Vi har ett berättigat intresse att analysera personalstyrkan för att optimera våra affärsprocesser. Vi har också ett berättigat intresse att övervaka och följa upp användningen av Nordeas IT-utrustning, IT-applikationer och nätverk för att upptäcka otillbörlig användning och skydda Nordea från skadlig programvara, virus och liknande hot. Samtycke Det kan uppstå situationer när vi ber om ditt samtycke att behandla dina personuppgifter, exempelvis för att använda din profilbild i People Book eller andra applikationer. Om vi ber om ditt samtycke kan du läsa mer om just den behandlingen i själva begäran om samtycke. Du kan alltid återkalla ditt samtycke. Ditt samtycke som medarbetare används bara för att erbjuda tjänster som du kan vilja använda, men som du inte på något sätt måste eller förväntas använda. 3 Automatiserat beslutsfattande Tills vidare använder vi inte automatiserat beslutsfattande för medarbetare. I de fall när vi använder automatiserat beslutsfattande informerar vi dig om de beslutsfaktorer som används, vad detta betyder för dig och vilka konsekvenser det kan få.

4 Om automatiserat beslutsfattande används kan du alltid begära manuellt beslutsfattande istället, uttrycka din åsikt eller bestrida beslut som enbart grundas på automatiserad behandling, inbegripet profileringen, om beslutet skulle få rättsliga följder eller på liknande sätt i betydande grad påverka din situation. 4 Vem vi kan komma att lämna ut dina personuppgifter till Vi delar dina personuppgifter med andra, till exempel myndigheter, företag i Nordeakoncernen, leverantörer, fackföreningar, pensionsbolag och affärspartners. Tredje parter och Nordeas koncernföretag Vi lämnar ut personuppgifter till myndigheter och fackföreningar i den omfattning vi har en skyldighet att göra det. Här avses exempelvis skattemyndigheter och tillsynsmyndigheter i berörda länder. Vi kan även sända personuppgifter till försäkringsbolag och företag som erbjuder tjänstepensioner och -förmåner. Vi har tecknat avtal med utvalda leverantörer, och dessa avtal innefattar bestämmelser om behandling av personuppgifter för vår räkning. Det kan röra sig om leveranser av tjänster som löneregister, förmåner, resor, fakturor, utbildning samt IT-tjänster. Exempel på mottagare av medarbetares personuppgifter är: Zalaris ASA, PO Box 1053 Hoff, 0218 Oslo, Norway Benify AB, Box 24101, Stockholm, Sweden Överföring av personuppgifter till tredje land I vissa fall kan vi också överföra personuppgifter till organisationer i s.k. tredjeländer (länder utanför Europeiska ekonomiska samarbetsområdet, EES). Sådana överföringar kan göras om något av följande villkor uppfylls: - EU-kommissionen har beslutat att det finns en adekvat skyddsnivå i det aktuella landet, eller - andra lämpliga skyddsåtgärder har vidtagits, till exempel att standardavtalsklausuler (EU:s modellklausuler) som godkänts av EU-kommissionen används eller att mottagaren har bindande företagsbestämmelser (sk. Binding Corporate Rules, BCRs), eller - det rör sig om ett undantag i en särskild situation, till exempel för att fullgöra ett avtal med dig eller om du ger ditt samtycke till den specifika överföringen. Du kan ta del av en kopia av de relevanta EU:s modellklausuler som Nordea använder för överföringar genom att gå in på och söka på 32010D Hur vi skyddar dina personuppgifter Att förvara dina personuppgifter på ett tryggt och säkert sätt är en central del i hur vi gör affärer. Vi har vidtagit lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder för att skydda de uppgifter vi har mot förlust, missbruk och obehörig åtkomst, röjande, ändring och förstöring.

5 6 Dina rättigheter i fråga om dataskydd Som registrerad person har du rättigheter i fråga om de personuppgifter vi har om dig. Du har följande rättigheter: a) begära åtkomst till dina personuppgifter. Du har rätt att få åtkomst till de personuppgifter som vi har om dig. I många fall finns dessa uppgifter redan i de onlinetjänster vi erbjuder dig. Din rätt till åtkomst kan emellertid begränsas av lagstiftning, skydd av annan persons privatliv samt hänsyn till skydd av Nordeakoncernens affärskoncept och affärsrutiner. När det gäller Nordeakoncernens know-how, affärshemligheter liksom interna bedömningar och underlag kan din rätt till åtkomst vara begränsad. b) begära rättelse av felaktiga eller ofullständiga personuppgifter. Om personuppgifterna är felaktiga eller ofullständiga har du rätt att begära rättelse av uppgifterna, med de begränsningar som stipuleras i lag eller annan författning. c) begära radering. Du har rätt att begära att dina personuppgifter raderas om du återkallar ditt samtycke till behandlingen och det inte finns något annat rättslig grund för behandlingen du invänder mot behandlingen och det inte finns något berättigat skäl för fortsatt behandling du invänder mot behandling för direkt marknadsföring behandlingen är olaglig. d) begränsning av behandling av personuppgifter. Om du motsätter dig riktigheten i de uppgifter som vi har registrerade om dig eller lagligheten för behandling av uppgifterna, eller om du utnyttjat din rätt till invändningar mot behandlingen av uppgifterna, kan du begära att vi begränsar behandlingen av dessa uppgifter till endast lagring. Behandlingen begränsas då till att endast avse lagring tills rättelsen av uppgifterna har genomförts, eller tills det går att fastställa att våra berättigade intressen har företräde framför dina intressen. Om du inte har rätt till radering av de uppgifter som vi har registrerade om dig kan du istället begära att behandlingen av dessa uppgifter begränsas till endast lagring. Om behandlingen av de uppgifter som vi har registrerade om dig endast behövs för att hävda ett rättsligt anspråk, kan du också kräva att all annan behandling av dessa uppgifter begränsas till lagring. Vi får behandla dina uppgifter i andra syften om det är nödvändigt för att hävda ett rättsligt anspråk eller om du har lämnat ditt samtycke. e) invända mot behandling utifrån Nordeas berättigade intresse. Du kan alltid invända mot behandlingen av personuppgifter om dig för direkt marknadsföring och för profilering i samband med sådan marknadsföring. f) dataportabilitet. Du har rätt att få ut personuppgifter som du har lämnat till oss, i ett maskinläsbart format. Detta gäller endast personuppgifter som endast behandlas automatiserat med stöd av samtycke eller för att fullgöra ett avtal. Om det är säkert och tekniskt möjligt kan vi också föra över personuppgifterna till en annan personuppgiftsansvarig. Din begäran om att utöva dina rättigheter ovan bedöms från fall till fall utifrån rådande omständigheter. Observera att vi också kan behålla och använda dina uppgifter om det behövs för att uppfylla rättsliga förpliktelser, hävda ett rättsligt anspråk eller genomdriva våra avtal.

6 7 Hur länge vi behåller dina personuppgifter Vi sparar dina uppgifter så länge det behövs för de ändamål de samlades in och behandlades för eller så länge som krävs enligt lagar och andra författningar. Detta innebär att vi sparar dina uppgifter så länge som det är nödvändigt för att fullgöra ett avtal och länge det krävs enligt gällande minimikrav på lagringstider i lagar och andra författningar. I de fall där vi behåller dina uppgifter i annat syfte än för att fullgöra ett avtal, till exempel för krav gällande bokföring och andra tvingande regler, behåller vi endast uppgifterna om det är nödvändigt och/eller krävs för ändamålet i fråga enligt vad som framgår av respektive lag eller annan författning. Kraven på lagringstider ser olika ut i Nordeakoncernen beroende på nationell lagstiftning. Några exempel på situationer som kräver datalagring: Redovisningslagstiftning: upp till tio år. Ersättningskrav: upp till tio år efter att lön eller annan ersättning betalats ut. Kompetenskrav för befattningshavare som omfattar information eller rådgivning om finansiella instrument: minst fem år efter arbetsförhållandets upphörande. Pensionsadministration: så länge som personen eller förmånstagarna lever eller uppbär kompensation. Dokument hänförliga till rekrytering: ansöknings- och andra relaterade dokument i upp till två år, testresultat i ett år. Exemplen ovan är endast förklaringar och minimikraven för lagringstid kan se olika ut från land till land. 8 Hur förändringar görs i Nordeas dataskyddspolicy Vi försöker hela tiden förbättra och utveckla våra tjänster och vårt sätt att arbeta, och därför kan innehållet i denna dataskyddspolicy ändras över tid. Vi kommer inte att inskränka dina rättigheter enligt den här dataskyddspolicyn eller gällande dataskyddslagar i de länder där vi har verksamhet. Om förändringarna är betydande meddelar vi detta på ett tydligare sätt, när vi är skyldiga att göra det enligt tillämplig lag. Läs gärna dataskyddspolicyn emellanåt för att hålla dig uppdaterad om eventuella ändringar. 9 Kontakta oss eller dataskyddsmyndigheten Om du har frågor om Nordeas policy för skydd av medarbetarnas data kan du alltid kontakta People Direct i Group People. Nordeakoncernen har även utsett ett dataskyddsombud (Data Protection Officer) som du kan kontakta genom att mejla till dataprotectionoffice@nordea.com eller skicka brev till Nordea, Dataskyddsombud, Group Data Protection Officer, M200, Stockholm. Du kan också lämna in ett klagomål eller kontakta dataskyddmyndigheten i det land där du bor, där du är anställd, eller där överträdelsen har inträffat.