För dig som köper bemanning

Vi värnar om personlig integritet och dataskydd. Den 25 maj börjar den nya dataskyddslagen, GDPR (General Data Protection Regulation), gälla inom EU och därmed även i Sverige.

För Lernia är det viktigt att du som kund känner dig trygg med hur vi behandlar dina personuppgifter och att vi säkerställer dataskydd för personuppgifter i de tjänster vi levererar till dig. Lernia behandlar inom ramen för våra dotterbolag/divisioners respektive verksamheter en stor mängd personuppgifter vilket är en naturlig följd av våra tjänsters karaktär. Personuppgiftsbehandling förekommer i alla våra tjänster såsom rekrytering, uthyrning av personal, karriärväxling och omställning samt utbildning. Reglerna skiljer sig lite mellan bemanningstjänster och utbildning. Denna information syftar primärt till att beskriva personuppgiftsbehandling inom våra bemanningstjänster samt företagsutbildning.

Lernia är medlem i branschorganisationen Kompetensföretagen. Kompetensföretagen har tillsammans med jurister och medlemsföretag bland annat Lernia, tagit fram en vägledning för att underlätta för medlemsföretagens anpassning till gällande regelverk avseende dataskydd och behandling av personuppgifter. Vi har sedan en lång tid arbetat intensivt med att anpassa vår verksamhet efter gällande Dataskyddslagstiftning och med stöd av Kompetensföretagens vägledning. Det handlar om anpassning av system, införande av en modern dataskyddsorganisation och processer och rutiner för de medarbetare som hanterar personuppgifter.

Alla Lernias medarbetare har fått grundläggande utbildning om de nya reglerna för personuppgiftshantering och utbildas löpande i förändrade processer och rutiner avseende det dagliga arbetet.

Lernia har en dataskyddsorganisation med dataskyddsombud, dataskyddsansvarig och dataskyddskommitté. Rutiner finns för hantering av dataskyddsincidenter, dokumentation och eskalering av förfrågningar avseende individernas rättigheter. Lernias Dataskyddsombud kan nås via dpo@lernia.se.

Lernia gör löpande systemanpassningar för att möta krav på hög säkerhet och för att möjliggöra effektiv hantering av behörighetsfrågor, gallringar, återkoppling till registrerade m.m. Ytterligare utvecklingsinsatser är planerade under våren och hösten för att ge bättre tekniskt och automatiserat stöd i vissa behandlingar, exempelvis delning av dokument innehållande personuppgifter.

Personuppgiftsbiträdesavtal upprättas med alla leverantörer som på något sätt behandlar personuppgifter åt någon av koncernens verksamheter. Lernias register för lagring av personuppgifter finns i huvudsak i Sverige. I den mån lagring i annat land förekommer finns dessa inom EES-området eller har ett Safe Harbour-avtal, Privacy Shield överenskommelse eller liknande.

Beroende på vilken typ av tjänst som tillhandahålls kan ansvaret för behandlingen av personuppgifterna fördelas olika mellan avtalsparterna. Nedan har vi beskrivit hur Lernia uppfattar ansvarsfördelningen utifrån gällande lagstiftning och Bemanningsföretagens vägledning.

Behandling av personuppgifter vid rekrytering

I samband med en rekryteringsprocess samlar Lernia in och behandlar relevanta personuppgifter och information om andra relevanta förhållanden som har betydelse för möjligheten att matcha kandidater mot kundernas behov. Lernia är i dessa fall Personuppgiftsansvarig för de uppgifter vi samlar in eftersom vi använder oss av vår egenutarbetade metod för insamling och behandling av personuppgifter inom ramen för uppdraget. Lernia har också ett helt självständigt ändamål med behandlingen eftersom vi vill skapa en långsiktig relation med marknadens talanger såsom kompetenspartner. Ni som kund ansvarar själv som personuppgiftsansvarig för de personuppgifter ni mottar från Lernia inom ramen för uppdraget.

I samband med att vi samlar in kandidaters personuppgifter informerar vi dem noggrant om hur personuppgifterna kommer att behandlas i enlighet med gällande regler. Vi informerar också om att vi kan komma att överlämna deras information till kund.

Behandling av personuppgifter vid bemanning

När Lernia hyr ut en bemanningskonsult, arbetar denne under kundens direkta ansvar och arbetsledning. Om bemanningskonsulten under uthyrningsförhållandet behandlar personuppgifter hos kunden ska ett sekretessavtal ingås mellan kund och bemanningskonsulten som förhindrar att personuppgifter delas med Lernia (eller andra externa parter). Om Lernia inte på annat sätt har åtkomst till personuppgifterna saknar Lernia kontakt med kundens personuppgiftsbehandling. Kunden är därmed personuppgiftsansvarig för de personuppgifter som bemanningskonsulten behandlar under uthyrningsförhållandet.

Lernia är personuppgiftsansvarig för personuppgifter avseende Lernias anställda bemanningskonsulter och kandidater. Lernias anställda och kandidater får tydlig information om att personuppgifter delas med kund i samband med presentation inför och genomförande av ett uthyrningsuppdrag. Överlämnandet av denna information sker dock inte som ett lån utan som sanktionerad informationsdelning. Kunden har sitt eget ändamål för behandling av dessa personuppgifter och gör så under eget ansvar och risk.

Slutsatsen är därmed att inget personuppgiftsbiträdesavtal behövs för traditionell bemanning vilket också stödjs av Bemanningsföretagens vägledning.

Behandling av personuppgifter som kan föranleda personuppgiftsbiträdesavtal

Det kan finnas undantagsfall där Lernia har tillgång till kundens system för behandling av personuppgifter för kunds räkning. Likaså om kund överlämnar personuppgifter till Lernia som kunden uppdrar Lernia att behandla för kunds räkning, exempelvis om Lernia endast hjälper till med urval eller kompetensverifiering som ett komplement eller stöd till kundens egenrekryteringsprocess. I dessa fall kan det bli aktuellt att upprätta ett personuppgiftsbiträdesavtal.

Karriärväxling och omställning

I de fall Lernia utför uppdrag inom karriärrådgivning eller omställning är Lernia i de flesta fall personuppgiftsansvarig för de personuppgifter som behandlas inom uppdraget. Lernias tillhandahåller en tjänst och behandlar därmed självständigt personuppgifterna utifrån egna metoder, rutiner och med hjälp av egna verktyg.

I de fall Lernias och kundens processer används parallellt ansvarar respektive part för den behandling man själv utför.

Företagsutbildning

I samband med utbildning tar Lernia emot personuppgifter ifrån kund om kundens medarbetare eller i vissa fall direkt ifrån de medarbetare som ska utbildas. Lernia samlar in de uppgifter som är nödvändiga för att Lernia i självständig ställning och under eget ansvar ska genomföra och administrera aktuell utbildning med hjälp av Lernias verktyg. Personuppgifterna kan därmed inte sägas vara behandlade för kunds räkning utan Lernia är personuppgiftsansvarig för behandlingen.

I de fall utbildningsuppdraget innefattar redovisning tillbaka till kund på personnivå (t.ex. närvaro och studieresultat) sker utlämning av uppgifterna från Lernia till er med deltagarens godkännande. Kunden mottar dessa uppgifter i egenskap av arbetsgivare och är då själv ansvaring för hur ni behandlar personuppgifterna.

Därmed behövs inget personuppgiftsbiträdesavtal för den del som behandlar utbildningsdeltagarnas personuppgifter.

Behandling av personuppgifter avseende kundkontakter

Lernia behandlar också i begränsad omfattning personuppgifter om våra kunders kundkontaktpersoner. Lernia gör detta utifrån en intresseavvägning och ansvarar för att dessa registrerade personer informeras om behandlingen på det sätt som dataskyddsreglerna kräver.

Har du ytterligare frågor är du alltid välkommen att kontakta din kontaktperson hos Lernia eller vårt dataskyddsombud som nås via dpo@lernia.se.

Dela gärna