Behandling av anställdas personuppgifter inom Stockholm Exergi
Stockholm Exergi värnar om din personliga integritet och följer självklart gällande dataskyddslagstiftning. Här hittar du information om hur Stockholm Exergi i egenskap av arbetsgivare behandlar dina personuppgifter som anställd, för vilka syften uppgifterna behandlas och hur länge de sparas. Du hittar även information om dina rättigheter enligt gällande dataskyddslagstiftning och vart du ska vända dig om du har frågor eller klagomål.
Kontaktuppgifter
Personuppgiftsansvarig är Stockholm Exergi AB, org. nr. 556016-9095, 115 77 Stockholm, tel. kundservice och växel: 020-31 31 51. Har du frågor eller synpunkter på vår hantering av personuppgifter, kontakta i första hand vårt dataskyddsombud Stefan Färnström på dataskydd@stockholmexergi.se.
Om du anser att vi har behandlat dina personuppgifter i strid med gällande lagstiftning kan du kontakta Datainspektionen på tel. 08-657 61 00 eller e-post datainspektionen@datainspektionen.se. Du kan även läsa mer om personuppgiftslagstiftningen på Datainspektionens hemsida, datainspektionen.se.
Hur behandlar Stockholm Exergi dina personuppgifter?
Vi behöver behandla dina personuppgifter för många olika ändamål och på flera olika sätt. Gemensamt för all vår personuppgiftsbehandling är den genomförs med beaktande av lämpliga skyddsåtgärder och i enlighet med de grundläggande principer och bestämmelser som följer av tillämplig dataskyddslagstiftning.
Vi har i detta dokument sammanställt de datatyper, ändamål och rättsliga grunder som vi stödjer vår personuppgiftsbehandling på. Vid väsentliga eller betydande förändringar kommer vi att meddela dig på lämpligt sätt, se vidare nedan i slutet av dokumentet.
Vilka personuppgifter behandlar Stockholm Exergi?
Stockholm Exergi samlar in och behandlar personuppgifter av olika kategorier, inklusive:
- Kontaktuppgifter – såsom din adress, telefonnummer och nödkontakt
- Personaldata – såsom frånvaro, karriärutveckling, medborgarskap
- Identifierande data – såsom namn, personnummer, e-postadress och foto
- Sjuk- och hälsodata – såsom hälsokontroller, allergier, resultat av drogtest
- Finansiell data – såsom information om bankkonto
- Användarinformation – såsom applikationsanvändning, inloggningsdetaljer
- Kontraktsdata – såsom dina anställningsvillkor
- Godkännandedata – såsom medgivanden till hantering av persondata
- Säkerhetsdata – såsom facilitet- och systemmässig övervakningsinformation, lösenord
- Data om transaktionsdetaljer – såsom löner och andra utbetalningar
Vi behandlar endast sådana personuppgifter om dig som är nödvändiga med hänsyn till ditt förhållande till oss och i förväg fastställda ändamål. All vår personuppgiftsbehandling har s.k. rättslig grund enligt lag.
Från vilka källor hämtas personuppgifterna?
De personuppgifter som vi behandlar om dig härrör från olika källor:
- Från dig själv, under din anställning vid Stockholm Exergi; information du själv delar med oss, så som dina anställningsvillkor
- Information som uppstår i anställningsrelationen, såsom karriärutveckling, hälsodata och användarinformation
- Vi mottar också i vissa fall information från tredje part, så som nationella myndigheter (Försäkringskassan, Skatteverket eller liknande) eller pensionsbolag.
För vilka ändamål behandlar Stockholm Exergi dina personuppgifter?
Vi behandlar dina personuppgifter endast för i förväg bestämda och specifika ändamål. De syften som vi behandlar personuppgifter för är:
- Anställning och onboarding. För att kunna hantera en professionell rekryterings- och onboarding-process med våra medarbetare behöver vi din persondata. Vi behandlar den persondata du delar med oss, så som din ansökan och dina referenser, och vi värderar och väljer kandidater i processen. Vidare samlar vi i vissa fall in hälsoinformation, bakgrundskontroll och referenser. Ibland behöver hälsokontroll göras före anställning och kontinuerliga hälsokontroller under hela anställningen förekommer i vissa tjänster.
- Hantering av medarbetarinformation. Vi behöver ha ett avtal med våra medarbetare för att uppfylla kraven på oss som arbetsgivare. Därför samlar vi persondata för att skapa och hantera avtal med våra medarbetare. Vi behandlar vidare din medarbetarinformation i vår roll som din arbetsgivare.
- Medarbetarens utveckling och utbildning. Som en del av din anställning vill vi ge dig möjligheten till utveckling och utbildning. Vi registrerar namn på de medarbetare som deltar i utbildningar och kompetensutveckling, vi registrerar kurser och certifikat och vi utbildar våra egna medarbetare och viktiga tredje parter i Stockholm Exergis minimikrav gällande Säkerhet och Skydd.
- Medarbetarkommumikation. Vi kommunicerar regelbundet med våra medarbetare, genom e-post, nyhetsbrev och digitala kanaler. Vidare använder vi oss av digitala och uppkopplade verktyg för att samla feedback och dela arbetsrelaterad information i organisationen
- Medarbetarens kompensation och belöning. Våra medarbetares personliga data används när vi hanterar kompensation och belöning, inklusive löne-, pensions- och försäkringsadministration. Vidare administrerar vi medarbetarens förmåner och STI-utbetalning.
- Medarbetarens hälso- och säkerhetshantering. En viktig del för oss som arbetsgivare är vår roll i att säkerställa medarbetarens hälsa, och säkerhet och vi använder persondata för att hantera och registrera dessa aktiviteter. Vi tar hand om individuella rehabiliteringsplaner, vi genomför slumpmässiga drogtester och vi administrerar hälsokontroller vid behov. Vår process skyddar medarbetare och miljö, och persondata är nödvändig för att kunna registrera detta i våra system. För vissa av våra medarbetare mäter vi exempelvis föroreningsvärden enligt gällande lagstiftning.
- Medarbetarens rese- och utläggshantering. Vi behandlar persondata i vår hantering av medarbetares resor och utlägg: vi skapar rese- och utläggsunderlag exempelvis när en medarbetare har varit på en företagsresa eller en medarbetare har gjort utlägg som berör företaget. Vidare administrerar vi resor och användardata, exempelvis användarnamn och rapporter.
- Slutförande av avtal eller utförande av skyldigheter enligt avtal. Persondata behövs för att slutföra avtal eller utföra de skyldigheter som föreligger vid avtal, så som när medarbetare signerar sekretessavtal för att skydda konfidentiell information, vid planering, utförande och uppföljning av leverantörer samt att tillhandahålla medarbetare vissa erbjudanden och förmåner.
- Hantering och utveckling av prestation och nöjdhet, inklusive feedback och undersökningar. Vi använder oss av feedback och undersökningar för att hantera och utveckla vår prestation, ledarskap och välmående. I denna process används persondata. Vi utformar undersökningar för att följa upp och mäta exempelvis engagemangsnivå och arbetstillfredsställelse hos våra medarbetare.
- Hantering av säkerhetsåtgärder. För att vi ska kunna hålla säkra lokaler, information och medarbetare behöver vi genomföra olika säkerhetsåtgärder, så som kameraövervakning, personalövervakning och kontroll över accesser. Vi beställer, producerar och levererar Stockholm Exergi ID-kort för medarbetare och partners.
- Hantering av utbetalningar till medarbetare. Våra medarbetares persondata behövs för att vi ska kunna genomföra utbetalningsprocesser, exempelvis manuella utbetalningar, inklusive skatteinbetalningar och återbetalningar, ersättning vid utlägg inklusive TEM-, löne- och pensionsfiler.
- Rapporter för myndigheter och internt bruk. Från rekrytering till avslutad anställning förvaras dina uppgifter i våra skyddade personalsystem och nätverk. Access är begränsad endast för auktoriserad personal.
På vilka rättsliga grunder behandlar vi dina personuppgifter?
Vi förlitar oss på flera rättsliga grunder vid behandlingen av dina personuppgifter:
- Ditt särskilda och frivilliga samtycke. Om vi förlitar oss på ditt samtycke som juridisk grund för behandlingen av dina data, kan du ta tillbaka ditt samtycke när som helst,
- Behandlingen är nödvändig för att fullgöra ett avtal mellan oss och dig eller nödvändigt för att ingå sådant avtal,
- Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åligger oss (vi är till exempel skyldiga enligt lag att spara vissa data under en viss tid) och/eller att fastställa, genomdriva eller försvara Stockholm Exergi mot rättsliga anspråk eller krav,
- Behandlingen är nödvändig för ändamål som rör våra eller tredje parts berättigade intressen, vilka överväger den registrerades intressen och grundläggande fri- och rättigheter (s.k. intresseavvägning). Våra berättigade intressen vid sådana behandlingar är i rekrytering, exempelvis vid planering och intervjuer.
Automatiserat beslutsfattande
Vi tar inte beslut kring dig baserat på automatiserat beslutsfattande genom rekrytering eller anställning.
Hur länge lagrar vi personuppgifterna?
Stockholm Exergi vill minimera den tid din persondata lagras. Vi sparar endast dina personuppgifter under den tidsperiod som krävs, beroende på typ av personuppgifter och syftet med behandlingen.
Den specifika tiden dina uppgifter sparas kan bero på datakategori. Stockholm Exergi utvärderar kontinuerligt hur lång tidsperiod som krävs för olika typer av data. När data inte längre behövs kommer Stockholm Exergi att radera eller anonymisera dina uppgifter.
Vem behandlar dina personuppgifter?
Vi kommer inte att sälja, byta eller licensiera några personuppgifter om dig till tredje man.
Stockholm Exergi ägs till hälften av Fortum Sverige AB, som ingår i Fortumkoncernen. Vi köper löpande tjänster av Fortumkoncernen inom olika områden, däribland HR (People Services) och IT. Fortum Sverige eller andra Fortumbolag kan därigenom komma att hantera dina personuppgifter för de ändamål som anges ovan i egenskap av s.k. personuppgiftsbiträde åt Stockholm Exergi. Dina personuppgifter kommer att hanteras av behörig personal inom Stockholm Exergi eller Fortum i den omfattning som krävs för behandlingen. Personuppgifterna blir aldrig tillgängliga för alla anställda, utan endast för ett begränsat antal behöriga personer som behöver tillgång till uppgifterna för att utföra sina arbetsuppgifter.
Vi använder också externa parter för att hjälpa oss behandla dina personuppgifter för vår räkning (personuppgiftsbiträden). När vi anlitar personuppgiftsbiträden ser vi genom avtal alltid till att dina personuppgifter skyddas på lämpligt sätt och behandlas enligt gällande dataskyddslagstiftning.
Lista över kategorier av personuppgiftsbiträden:
- Rekryterings- och headhuntingbolag
- Test- och utvärderingsbolag
- Myndigheter ansvariga för säkerhetskontroll och bakgrundskontroll
- Leverantör för skuldförvaltning
- Leverantör av hälsokontroll och annan hälsodata som läkarintyg
- Företag som levererar löne- och förmånsadministration
- Pensionsbolag
Slutligen kan vi lämna ut dina uppgifter till extern part när vi är skyldiga att göra det enligt lag, baserat på krav från behöriga myndigheter eller domstol.
Kan personuppgifter komma att överföras till tredje land?
Stockholm Exergi kan i undantagsfall komma att överföra eller behandla dina personuppgifter utanför EU eller EES. För sådana överföringar eller behandlingar utanför EU eller EES använder Stockholm Exergi lämpliga skyddsåtgärder i enlighet med befintliga dataskyddslagar, till exempel de standardavtalsklausuler som tillhandahålls av EU-kommissionen.
Resebokningsadministration hanteras i Indien och Ryssland. Via inköpssystemet Basware skickas listor för hantering till Indien och Irland.
Hur skyddar Stockholm Exergi personuppgifter?
Stockholm Exergi vidtar nödvändiga och lämpliga tekniska och organisatoriska åtgärder för att skydda dina personuppgifter och se till att persondatalagar följs i hanteringen av din persondata.
De säkerhetsåtgärder som vi använder kan omfatta behörighetsstyrning, loggning, fysisk säkerhet i datahallar, användning av brandväggar, pseudonymisering, kryptering, detaljerade instruktioner och utbildning för personal rörande skydd av personuppgifter och noggrant övervägande vid val av tjänsteleverantörer som behandlar personuppgifter för vår räkning.
Hur hanterar vi personuppgifter från IP-adresser, cookies och liknande tekniker?
När du använder våra tjänster eller besöker våra webbplatser kan Stockholm Exergi samla in data om dina enheter via cookies och andra spårningstekniker.
Cookies är en liten textfil som vi använder för att bl.a. identifiera och räkna de webbläsare och enheter som besöker våra webbplatser. Denna information kan sedan användas av oss eller tredje part i marknadsföringssyfte.
Vår användning av cookies skiljer sig åt beroende på vilken av Stockholm Exergis webbplatser som du besöker. Du kan få närmare information om vilka cookies vi använder på en viss webbplats genom att läsa den särskilda informationen om cookies på den aktuella webbplatsen.
Vilka rättigheter har du avseende dina personuppgifter?
Du har som registrerad ett antal rättigheter enligt lag:
- Rätt till tillgång – Du har rätt till tillgång till dina personuppgifter, vilket innebär att du har rätt att få bekräftelse på huruvida personuppgifter som rör dig behandlas och om så är fallet även få tillgång till personuppgifterna (s.k. registerutdrag) och ytterligare information om behandlingen.
- Rätt till rättelse– Du har rätt att få felaktiga uppgifter om dig rättade eller kompletterade.
- Rätt till radering – Du har rätt att få dina uppgifter raderade, om
- uppgifterna inte längre är nödvändiga för de ändamål för vilka de behandlas,
- du återkallar ditt samtycke för viss behandling och det därefter inte finns rättslig grund för Stockholm Exergi att behandla uppgifterna,
- dina uppgifter har behandlats på ett olagligt sätt, eller
- behandlingen av dina uppgifter inte är nödvändig för att uppfylla tillämpliga lagkrav, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk och/eller tillåten för arkiv-, forsknings- eller statistikändamål.
- Rätt att återkalla samtycke – Om du har lämnat särskilt samtycke till viss behandling, har du alltid rätt att återkalla ditt samtycke.
- Rätt till invändning avseende intresseavvägning – När behandling sker med stöd av s.k. intresseavvägning har du rätt att när som helst göra invändning mot behandlingen. Vi kommer då att göra en ny intresseavvägning och kommer endast fortsätta behandlingen, trots din invändning, om vi kan påvisa tvingande berättigade intressen som överväger dina intressen.
- Rätt till invändning mot direkt marknadsföring – Du har rätt att när som helst invända mot behandling av personuppgifter som avser dig för direkt marknadsföring. Då kommer vi därefter inte längre behandla personuppgifterna för sådana ändamål.
- Rätt till begränsning – Du har rätt att få dina uppgifter begränsade om du bl.a. bestrider uppgifternas korrekthet, eller om du invänt mot behandling enligt ovan, i båda fallen under den tid som vi utreder och kontrollerar din begäran.
- Rätt att inte bli föremål för automatiserat beslut – Om vi har fattat ett beslut om dig som bygger helt på en automatiserad process och beslutet har rättsliga följder eller annars i betydande grad påverkar dig, kan du begära att beslutet omprövas av oss genom förnyad och enskild bedömning. Detta gäller om vi inte kan påvisa att ett automatiserat beslut är nödvändigt för att ingå eller genomföra ett avtal mellan dig och oss.
- Rätt till dataportabilitet – Du har rätt till dataportabilitet, vilket innebär att du under vissa omständigheter har rätt att få del av sådana personuppgifter om dig som du tillhandahållit till oss, i syfte att du ska kunna överföra personuppgifterna till en annan personuppgiftsansvarig.
- Rätt att klaga till tillsynsmyndigheten – Du har rätt att klaga till Datainspektionen eller annan behörig tillsynsmyndighet om du anser att vi behandlar dina personuppgifter i strid med tillämplig dataskyddslagstiftning.
Om du vill utöva någon av dina rättigheter ovan ber vi dig att kontakta dataskyddsombudet (se kontaktuppgifter ovan).
Förändringar av innehållet i denna text
Stockholm Exergi förbehåller sig rätten att göra ändringar eller tillägg till denna text, exempelvis om tillämplig lagstiftning ändras eller om vi förändrar våra tjänster på ett sätt som påverkar vår behandling av dina personuppgifter. Information om eventuella ändringar eller tillägg meddelas dig via vårt intranät.