Policy for håndtering av personvernerklæring og cookies

Personvernerklæring

Introduksjon

Poolia er et vikarbyrå og tilbyr bemanning- og rekrutteringstjenester. Denne policyen beskriver Poolias håndtering og prosesser av gjeldende innsamling og behandling av personopplysninger. Vi i Poolia arbeider strukturert for å behandle personoppgaver på en korrekt måte. Vi skjønner at datavern og spørsmål gjeldende integritet er et langsiktig ansvar, derfor kan vi i fremtiden ha behov for å oppdatere denne policy når vi endrer vår personoppgavebehandling eller implementerer nye personoppgavepolicys.

Behandling av personopplysninger

Personoppgaver er all informasjon som gjelder en identifisert eller identifiserbar fysisk person, som for eksempel navn, adresse, telefonnummer og e-postadresse.
Poolia skal være ansvarsbevisste i håndteringen av personoppgaver, uansett om det gjelder ansatte, kunder, leverandører eller andre samarbeidspartnere. Spørsmål som på forskjellige måter gjelder behandling av personoppgaver finnes i alle deler av virksomheten. Opplysningene skal behandles på en lovlig, korrekt og åpen måte i forhold til den registrerte. Poolia skal vare transparente om hvilke opplysninger vi håndterer og se til at personer som på forskjellige måter finnes registrerte hos oss kan gjøre sine rettigheter gjeldende på en effektiv måte. Vi arbeider aktivt med å begrense lagring og vi skal med rimelige tiltak se til at oppgavene som lagres er korrekte.

Da opplysninger levnes til Poolia skal personen som levnet opplysningene føle seg trygg. Behandling av personopplysningene skjer etter bestemmelsene i norsk personvernlovgivning (GDPR).

Opplysninger som innsamles i rekrutteringsprosesser

Registrering i Poolia sin kandidatdatabase og søke jobb

Formålet med Poolia er å matche rett kandidat mot rett oppdrag. Poolias rekrutteringsprosess samler derfor inn og behandler personopplysninger for å kunne presentere passende kandidater til kunde i egenskap av behandlingsansvaret.

For at Poolia skal kunne tilby jobb – søkningsfunksjonen behandles følgende informasjon inklusivt, men ikke begrenset til-, navn, brukernavn, passord, e-post, og personopplysninger som gis i CV og andre søknadsdokument. Vi kan også etterspørre mer informasjon fra kandidater for å kunne behandle søknaden om arbeid, for eksempel: referanser, opplysninger om ferdigheter og vandelsattest. Vi etterspør ikke informasjon om kandidaters etnisitet, religion, seksuell legning, politisk oppfatning, eventuelt fagforeningsmedlemskap samt genetiske og biometriske opplysninger med det formål å tydelig identifisere en fysisk person. Helseopplysninger kan etterspørres hvis det finnes lovpålagte krav om at det aktuelle oppdraget krever det (for eksempel helseattest ved arbeid offshore).

Recruitment Manager: Behandlingsansvarlig og databehandler

Poolia Norge AS er behandlingsansvarlig, og er de som eier data som blir lagt inn i systemet. Som databehandler står Recruitment Manager AS for systemløsningen, og utvikler, drifter og vedlikeholder systemet hvor dataen din ligger. Recruitment Manager AS benytter underleverandører til å utføre databehandleroppgaver.

Det foreligger en egen databehandleravtale mellom Poolia Norge AS og Recruitment Manager AS som regulerer hvilken informasjon databehandler har tilgang til og hvordan informasjonen skal behandles.

Intervjuer, tester og referanser

Ved intervjuer og tester kan Poolia innsamle mer informasjon i rekrutteringsprosessen. Informasjonen kan for eksempel være svar på intervjuspørsmål, kunnskap- ferdigheter, referanser fra relevante kilder. Poolia kan bruke en tredje part for å gjennomføre hele eller deler av rekrutteringsprosessen, før vi kjøper slike tjenester har vi blant annet vurdert om leverandøren tilfredsstiller de kravene til sikkerhet som personopplysningsloven krever.

Din korrespondanse med Poolia

All kommunikasjon via e-post, post eller annen kommunikasjon kan beholdes for å kunne besvare spørsmål, håndtere klager eller lignende. Hvis en kandidat ønsker at personopplysningene skal slettes, eller ikke ønsker mer kontakt med Poolia, kan kandidaten slette sin profil i systemet, eller ta kontakt med Poolia for bistand med dette.

De personopplysninger som behandles i rekrutteringsprosessen skjer med støtte fra kandidatens samtykke.

Data som automatisk innsamles ved besøk på Poolia sin hjemmeside

Loggfiler

Når internett brukes blir en del informasjon overført, så kalte loggfiler. Det er filer som inneholder en kronologisk fortegning av hendelser og tiltak i enheten som brukes (f.eks. en Smartphone eller persondator). Ved besøk av Poolias hjemmeside lagres dette besøk i loggfilene. Denne informasjon er anonymt og kan ikke utledes til noen fysisk person.

Cookies

Poolias hjemmeside bruker cookies. Det er små tekstfiler som lagres på besøkeren sin dator og som blant annet kan spare personlige innstillinger og gjør det mulig å følge hva besøkeren gjør på nettstedet. Brukere kan konfigurere sine weblesere slik at cookies ikke kan spares, eller slik at cookies kun lagres etter brukerens godkjennelse. På denne måten kan brukeren selv avgjøre om brukeren ønsker akseptere eller avvise hvert enkelte cookie.

Når brukere besøker Poolia hjemmeside informerer et pop- up vindu om hvilke forskjellige cookies nettstedet bruker, og hvordan brukeren kan tilpasse sin webleser for mottakende av disse.

Egne Cookies

Enkelte cookies er nødvendige for å kunne vise innholdet på Poolias hjemmeside, og disse er ikke mulig å slå av hvis brukeren ønsker å ta del av alt funksjonalitet på hjemmesiden. Disse lagrer ikke noe informasjon som kan identifisere brukeren som en fysisk person. Enkelte cookies er tilgjengelig for å forbedre brukeren sin bruker- opplevelse når nettstedet besøkes: Cookies for tilkobling kontroll (Sessioncookies) med formål å identifisere og autentisere brukeren under besøket på nettstedet. En sessioncookie inneholder en tilfeldig streng (Sessions- ID) som blir tildelt besøkerens enhet. Sessioncookies brukes for eksempel for å huske og tilpasse brukerinnstillinger som språk eller forhåndsutfylte felter.

Tredje part Cookies

Poolia bruker analyse- cookies for å kunne evaluere og statistikkføre våre besøkers generelle atferd på hjemmesiden. Poolia kan se hvilke eksterne nettsteder besøkerne kommer fra, hvilke, søktekst som brukes og hvilke deler av hjemmesiden som besøkes mest frekvent. Analysecookies tilpasses og håndteres av tredje part etter hva som fremgår nedenfor.

Webanalyse

Poolia innsamler statistikk over bruket på hjemmesiden. Denne informasjon innsamles for å gjøre hjemmesiden så brukervennlig og relevant som mulig for besøkeren. All informasjon som innsamles aggregeres på overordnet nivå og er anonymt.

Poolias hjemmeside bruker Google Analytics fra Google som analyseverktøy, Act-on som opt-in verktøy, samt LinkedIn og Facebook. Opt-in er skjemaet som besøkeren kan fylle ut hvis brukeren ønsker å bli kontaktet, prenumerere på stillingsannonser, få nyhetsbrev, invitasjoner og for å få adgang til for eksempel whitepappers, artikler og videos. Da registreres brukeren sin e-postadresse koblet til en IP-adresse, Act-on kan identifiseres ved neste besøk på nettstedet.

Facebook og LinkedIn er også brukt av Analysecookies. Poolia cookies er tiltenkt å forenkle for både brukeren og Poolia. Hvis brukeren fortsetter å bruke Poolias hjemmeside uten å begrense cookies i sine innstillinger utgår Poolia utefra at brukeren ikke har noe imot at få våre cookies.

De personopplysninger vi innsamler når brukere besøker hjemmesiden skjer med støtte av en interesseavveining, der Poolia vil kunne stadig forbedre brukeropplevelsen og brukbarheten for sine besøkere.

Formålet med å innsamle personopplysningene
Kandidaters personopplysninger behandles for å kunne håndtere den bemanning- og rekrutteringstjenesten som kandidaten har godkjent ved søknad til en stilling eller registrering for ledige oppdrag. Formålet er å kunne skape profiler, for at våre rekruttere skal kunne søke profiler, intervjue, ta referansesjekk, teste og kommunisere med kandidatene, og andre relevant aktivitet for utvalget i rekrutterings- og bemanningsprosessen. Informasjonen brukes for å forbedre våre tjenester og service til kandidatene, utføre analyser gjeldende tjenestenes brukbarhet og ytelse med å forbedre prosessen, inkludert testing av tjenesten. Kandidatens informasjon brukes også til å opprettholde sikkerhetstiltak for personopplysninger for å forhindre bedragerier, sikkerstille nettverk- og informasjonssikkerhet, inkludert å forhindre ubehørig adgang og skader på elektroniske nettverk og enheter.

Våre kunder har et eget ansvar for behandling av de personopplysninger som overføres ved rekrutteringsprosessen, for eksempel gjennom en levert kandidatprofil.

De personopplysninger som kandidatene gir ved sin søknad levnes aldri til tredje part for kommersielle formål.

Hvor lenge lagres personopplysningene?

Kandidaters personopplysninger lagres så lenge Poolia tjenester krever det, eller hvis Poolia anser at det foreligger en legitim interesse for ytterligere lagring.

Etter at kandidaten har søkt en stilling eller registrert seg for ledige oppdrag spares kandidaten sine søknadshandlinger i to år. Vandelsattester lagres ikke i det hele tatt av Poolia.

De ansattes personopplysninger lagres under hele ansettelsen og inntil 7 år pluss inneværende år etter at ansettelsen er opphørt. Dette for å kunne ivareta lover om bokføring, lønn, skatterett og arbeidsmiljøloven.

IT sikkerhet

Innkjøp av IT-tjenester

Vanligvis vil Poolia opptre som behandlingsansvarlig når virksomheten kjøper IT-tjenester fra en tjenesteleverandør. Vi har da fortsatt ansvaret for at personvernlovgivningen blir etterlevd ved kjøp av IT-tjenester, for eksempel HR-løsninger eller kundedatabaser/CRM.
Før vi kjøper IT-tjenester skal vi derfor blant annet vurdere om leverandøren tilfredsstiller de kravene til sikkerhet som personopplysningsloven krever. Poolia skal også sørge for å inngå en databehandleravtale som regulerer hvordan databehandleren skal håndtere personopplysningene den mottar fra og behandler på vegne av oss. Leverandører vil ofte ha egne avtaler som oppfyller kravene i regelverket.
Poolia forsøker å unngå å sende personopplysninger til andre land, men når det vurderes som passende eller nødvendig skjer dette kun etter at tilstrekkelige sikkerhetstiltak har blitt vedtatt. Dersom tjenesteleverandøren skal overføre personopplysninger til land utenfor EU/EØS, må det foreligge et lovlig grunnlag for dette.

Risikovurdering

Poolia skal løpende gjøre en risikovurdering av behandlingen av personopplysninger vi gjennomfør. Poolia skal gjøre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er passende i forhold til risikoen. Risikovurderingen og beslutninger om tiltak skal dokumenteres.

Rettigheter

Det finnes skriftlige rettighetsinstrukser for alle IT-systemer som inneholder personopplysninger. Grunnprinsippet er at rettigheter skal gis slik at kun de personene som trenger adgang til personopplysningen har det. Avhengig av opplysningenes sensitivitet kan rettighetene være begrenset til ingen adgang.

Brudd på personopplysningssikkerheten

«Brudd på personopplysningssikkerheten» betyr brudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som vi behandler.
Ved visse brudd på personopplysningssikkerheten skal Datatilsynet varsles og av og til også den registrerte. Varsling til Datatilsynet skal skje med én gang, og senest 72 timer etter at bruddet ble kjent. Det er ikke nødvendig å varsle Datatilsynet hvis det er lite trolig at bruddet på personopplysningssikkerheten vil føre med seg risiko for enkeltpersoners rettigheter. Et eksempel kan være når et sikkerhetsbrudd har ført til at uvedkommende har fått tilgang til personopplysninger som allerede er offentlig tilgjengelige.
Poolia skal varsle den registrerte dersom det er trolig at bruddet på personopplysningssikkerheten vil medføre høy risiko for enkeltpersonenes rettigheter og friheter.
Eventuelle brudd på personopplysningssikkerheten skal dokumenteres. De faktiske forholdene rundt bruddet beskrives («Hva har skjedd?»), i tillegg beskrives virkningene av bruddet og hvilke tiltak som er truffet for å avhjelpe bruddet. Denne dokumentasjonen skal gjøre det mulig for Datatilsynet å kontrollere at virksomheten har etterlevd kravene i loven.

IT-policy

Poolia har en IT-policy der våre ansattes forhold til IT-miljøet reguleres i detalj.

Register over behandling av personopplysninger

Poolia har et register over behandling av personopplysninger etter gjeldende lov. Respektive systemeiere er ansvarlig for å holde registeret oppdatert ved forandringer.
Vurdering av personvernkonsekvenser og forhåndskonsultering med Datatilsynet
Personvernkonsekvensene skal utredes ved planlegging av en behandling av personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, som retten til personvern. I vurderingen av om det er nødvendig med en slik utredning skal hensyn bli tatt til arten, omfanget, sammenhengen og formålet med behandlingen. Den skal også ta hensyn til om den benytter ny teknologi.
Det er noen typetilfeller der det er nødvendig å utrede personvernkonsekvenser: Systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser, behandling av sensitive personopplysninger i stort omfang eller systematisk overvåking av offentlig område i stort omfang.
I tilfellene ovenfor skal vi sette oss inn i de særlige reglene som gjelder, blant annet om at Datatilsynet av og til skal involveres i forhåndsdrøftelser.

Innebygd datavern og datavern som standard

Det skal løpende vurderes mulighetene til å gjennomføre tekniske tiltak, for eksempel pseudonymisering og oppgaveminimering for å effektivt leve opp til kravene i GDPR og verne den registrertes rettigheter.
Videre gjennomføres løpende passende tekniske og organisatoriske tiltak for å sikkerstille at kun personopplysninger som er nødvendige for hvert spesifikt formål med behandlingen behandles.
Utdannelse

Ansatte skal få relevant informasjon og ved behov utdannelse om behandling av personopplysninger. Ved behov gis fordypet eller tilpasset utdannelse til dem som håndterer sensitive opplysninger. Deltakende ved slike utdannelser skal dokumenteres.
Oppfølgning og intern revisjon
Etterlevelse av denne policy skal kontrolleres med stikkprøver og ved interne revisjoner. Poolia skal løpende vurdere hvis datavernarbeidet lever opp til lovens krav og gjennomføre endringer når Poolia trenger det.

Kandidatens rettigheter

Poolia skal besvare henvendelser fra kandidater uten ugrunnet opphold. Mottar Poolia slike henvendelser, skal de sendes til personalsjef hvis ingen andre i virksomheten kan besvare henvendelsen.
Poolia skal sørge for at kandidatene får gjennomført rettighetene sine hos oss.
Kandidater kan når som helst slette sin profil i systemet, eller ta kontakt med Poolia for bistand med dette. Fra profilen kan også kandidaten endre på informasjon som kandidaten har lagt inn på profilen i systemet.
Personopplysninger som grunner seg på avtaler eller rettslige forpliktelser er det behov for å dokumentere at Poolia har oppfylt forpliktelser etter lov og avtale etter at de er oppfylt. Slike opplysninger lagres etter hva som fremgår under stykket «hvor lenge lagres opplysningene».

Behandlingsansvarlig og kontaktopplysninger til personvernombud

Uniflex & Poolia Norge AS, Fredrik Selmers vei 6, 0663 Oslo (Org nr. 995 419 408) er behandlingsansvarlig for virksomhetens behandling av personopplysninger.

Hvis du har spørsmål eller av andre grunner ønsker å komme i kontakt med oss i forbindelse med denne personvernerklæringen eller ønsker annen informasjon rundt personvern, kan du benytte følgende kontaktopplysninger.

Joakim Karlsson, personvernombud
Epostadresse: dataskydd@uniflex.se

Du kan også levne klager til Datatilsynet.

Endring av personvernerklæring

Poolia forbeholder seg retten til å endre personvernerklæringen når som helst. Når seneste endringen har blitt gjort fremgår av datoen i denne personvernerklæring i begynnelsen av dokumentet.