TIETOSUOJASELOSTE (25.5.2018 alkaen)
Euroopan Unionin yleinen tietosuoja-asetus (EU) 2016/679, artiklat 12, 13, 14 ja 19

1. Rekisterinpitäjä
Turun Osuuskauppa (TOK), TOK HR,
Postisoite: PL 186, 20101 Turku
Käyntiosoite: Sibeliuksenkatu 3, 20100 Turku
Y-tunnus: 0142122-9

2. Tietosuojavastaavan yhteystiedot
tietosuojavastaava@sok.fi

3. Rekisteriasioita hoitava henkilö
tok.tietosuoja@sok.fi

4. Rekisterin nimi
Turun Osuuskaupan ulkoisen työvoiman rekisteri

5. Henkilötietojen käsittelyn tarkoitus
Ulkoisen työvoiman henkilötiedon käsittely

6. Henkilötietojen käsittelyn peruste
Rekisterinpitäjän oikeutettu etu

7. Kuvaus rekisterinpitäjän oikeutetusta edusta
Rekisterinpitäjän eli ulkopuolisen työvoiman käyttäjän kannalta on välttämätöntä tietää, kuka tulee suorittamaan tiettyä tehtävää. Toisaalta rekisteröity voi kohtuudella odottaa, että hänen henkilötietojaan tarvitaan käyttäjäyrityksen eli rekisterinpitäjän toiminnassa henkilön yksilöimiseksi.

8. Rekisteröityjen ryhmät
Vuokratyöntekijät, palkattomat harjoittelijat ja muu tilapäinen työvoima

9. Käsiteltävät henkilötiedot ja -ryhmät Vuokratyöntekijät:
Keikkatyöntekijän nimi näkyy paperisella työvuorolistalla seinässä. Vakio-ekstraajista saatetaan lisäksi pitää puhelinnumerotietoa. Henkilön nimi esiintyy myös kassojen istumajärjestyksessä. Kulkuoikeudet kuitataan erilliseen listaan ja kerätään puhelinnumerot unohduksien varalta. Vuokratyöntekijää pyydetään allekirjoittamaan ikärajavalvontasitoumukset. Vuokratyöntekijöiden tiedot viedään myös Massiin (rahankäsittelyjärjestelmä).

Palkattomat harjoittelijat: Henkilön kanssa tehdään oppilaitoksen tai TE-toimiston mallin mukainen harjoittelusopimus, josta ilmenee nimi, yhteystiedot, henkilötunnus. Harjoittelijat näkyvät työvuorolistoissa käsinkirjoitettuna. TET-harjoittelijoista käsitellään suppeammin tietoa käytössä olevan TET-lomakkeen mukaan, kuten henkilön nimi ja koululuokka. Muu tilapäinen työvoima (esim. inventaarityövoima): Henkilöiden nimet kerätään erilliseen listaan, sekä kunkin tekemät tunnit, joiden perusteella maksetaan sovittu tuntiperusteinen taksa yhdistykselle tms. jonka kanssa työvoiman käytöstä on sovittu.

10. Tietolähde ja kuvaus tietolähteistä, mikäli tiedot on kerätty julkisista lähteistä
Rekisterin tiedot on pääsääntöisesti saatu joko vuokratyöyritykseltä (tai sen järjestelmästä, johon rekisterinpitäjällä on pääsy) tai rekisteröidyltä itseltään tai hänet lähettäneeltä taholta, tai ne ovat kerääntyneet työskentelyn kestäessä rekisterinpitäjän järjestelmiin tai manuaalisiin aineistoihin.

11. Henkilötietojen vastaanottajat
Henkilötietoja ei luovuteta ulkopuolelle. Esim. oppilaitokselle voidaan kuitenkin luovuttaa arvio henkilön suoriutumisesta, jos kyseinen prosessi sitä edellyttää. Henkilötietoja käsitellään tässä selosteessa määriteltyihin tarkoituksiin sähköisissä järjestelmissä ja palveluissa. Käytämme ulkoisia palvelukumppaneita järjestelmä- ja tukipalveluiden tuottamisessa. Henkilötietoja voidaan siirtää käytössä oleville palvelukumppaneille siltä osin, kun nämä osallistuvat toimenpiteiden toteuttamiseen saadun toimeksiannon
puitteissa. Huolehdimme kumppaneidemme henkilötietojen suojan riittävästä tasosta lainsäädännön edellyttämällä tavalla. Luovutamme tietoja viranomaisille voimassaolevan lainsäädännön sallimissa ja velvoittamissa rajoissa esimerkiksi viranomaisten tietopyyntöihin vastattaessa.

12. Henkilötiedon siirrot kolmanteen maahan tai kansainväliselle järjestölle ja käytetyt suojatakeet
Emme siirrä henkilötietoja kolmansiin maihin Euroopan unionin tai Euroopan talousalueen ulkopuolelle tai kansainvälisille järjestöille.

13. Henkilötietojen säilytysaika tai säilytysajan määrittämisen kriteerit
Tämän selosteen mukaisia henkilötietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin ne ovat tarpeellisia ja rekisterinpitäjä hyödyntää niitä ilmoitettuihin käsittelytarkoituksiin liittyvässä toiminnassa. Säilytysajat vaihtelevat prosessikohtaisesti. Ne perustuvat viime kädessä rekisterinpitäjän arvioimaan tiedon tarpeellisuuteen.
Harjoittelusopimukset säilytetään, kunnes harjoittelu on päättynyt ja siihen liittyvät toimenpiteet suoritettu (ohjeellisesti kuluva + 1 vuotta).

14. Rekisteröidyn oikeudet
- Rekisteröidyllä on oikeus päästä omiin henkilötietoihinsa tietosuoja-asetuksen 15 artiklan mukaisesti.
- Rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan mahdolliset epätarkat ja virheelliset tiedot tietosuoja-asetuksen 16 artiklan mukaisesti.
- Rekisteröidyllä on oikeus saada tietonsa poistetuiksi tietosuoja-asetuksen 17 artiklassa ilmoitettujen edellytysten täyttyessä.
- Rekisteröidyllä on oikeus tietojensa käsittelyn rajoittamiseen, jos tietosuoja-asetuksen 18 artiklan mukaiset edellytykset täyttyvät.
- Rekisteröidyllä on tietosuoja-asetuksen 20 artiklan mukainen oikeus siirtää tiedot järjestelmästä toiseen siltä osin kuin tiedot on saatu rekisteröidyltä itseltään,
niiden käsittely tehdään automaattisesti ja niiden käsittely perustuu suostumukseen tai sopimukseen.
- Rekisteröidyllä on tietosuoja-asetuksen 21 artiklan mukainen oikeus vastustaa häntä koskevien tietojen käsittelyä, jos tiedot on kerätty yleistä etua koskevan tehtävän suorittamiseksi tai oikeutetun edun perusteella, ja jos muut artiklaan sisältyvät kriteerit täyttyvät.

Jos henkilö haluaa käyttää oikeuksiaan tai saada lisätietoa henkilötietojensa käsittelystä, hän voi olla yhteydessä tässä selosteessa mainittuun rekisterinpitäjään. Henkilöllä on myös oikeus tehdä valitus valvontaviranomaiselle, jos hän katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.

15. Suostumuksen peruuttaminen
Henkilötietojen käsittely ei perustu suostumukseen.

16. Henkilötiedon antamatta jättämisen vaikutukset sopimukselle
Rekisterinpitäjä ei voi hyödyntää sellaisen ulkoisen henkilön työpanosta, joka ei ole valmis toimittamaan yllä mainittuja henkilötietojaan.

17. Automatisoidun päätöksenteon tai profiloinnin merkitykselliset tiedot
Henkilötietojen käsittelyyn ei liity automatisoitua päätöksentekoa eikä henkilötietojen perusteella tehdä profilointia.

18. Henkilötietojen käsittelyn vaikutukset ja yleinen kuvaus teknisistä ja organisatorisista turvatoimista
Suojaamme henkilötietoja huolellisesti koko niiden elinkaaren ajan käyttämällä asianmukaisia tietosuoja- ja tietoturvallisuuskeinoja. Järjestelmätoimittajat käsittelevät henkilötietoja tietoturvallisissa palvelintiloissa. Pääsyä henkilötietoihin on rajoitettu ja henkilöstöllä on salassapitovelvollisuus. S-ryhmässä suojaamme henkilötietoja muun muassa ennakoivalla riskienhallinnalla ja turvallisuussuunnittelulla, tietoliikenteen suojakeinoin, tietojärjestelmien jatkuvalla ylläpidolla, varmuuskopioimalla sekä käyttämällä turvallisia laitetiloja, kulunvalvontaa ja turvallisuusjärjestelmiä. Henkilötietoja sisältävät fyysiset asiakirjat säilytetään alkukäsittelyn jälkeen lukituissa ja paloturvallisissa
säilytystiloissa. Käyttöoikeuksien myöntäminen ja seuranta on hallittua. Koulutamme henkilötietojen käsittelyyn osallistuvaa henkilökuntaamme säännöllisesti ja huolehdimme siitä, että myös yhteistyökumppaniemme henkilöstö ymmärtää henkilötietojen luottamuksellisen luonteen ja turvallisen käsittelyn merkityksen. Valitsemme käyttämämme alihankkijat huolellisesti. Päivitämme jatkuvasti sisäisiä käytäntöjämme ja ohjeitamme.

Jos kaikista suojatoimistamme huolimatta henkilötiedot joutuvat vääriin käsiin, on mahdollista, että henkilöllisyys varastetaan tai henkilötietoja käytetään muuten väärin. Jos havaitsemme tällaisen tapahtuman, ryhdymme viipymättä selvittämään sitä ja pyrimme estämään aiheutuvat vahingot. Informoimme tietoturvaloukkauksesta tarvittavia viranomaisia ja rekisteröityjä lainsäädännön vaatimusten mukaisesti.