Integritetspolicy för arbetssökanden

INTEGRITETSPOLICY FÖR ARBETSSÖKANDEN

1. Omfattning och syfte

Denna integritetspolicy gäller för arbetssökande och, i förekommande fall, till tidigare arbetssökande (senare ”registrerade”, ”kandidaten”, ”du”) hos Vapo koncernen i Sverige (senare ”VAPO”, ”vi”). Den förklarar vilka personuppgifter vi samlar in i samband med en rekryteringsprocess och hur denna information används, inklusive utlämning, lagring och skydd av data. Det förklarar också kandidatens rättigheter att kontrollera behandlingen. Kandidaten rekommenderas att läsa denna integritetspolicy innan denne lämnar ut personliga uppgifter i samband med en rekryteringsprocess i VAPO.

En rekryteringsprocess består av rekryteringsrelaterade aktiviteter däribland insamling av ansökningar och att hitta lämpliga kandidater. VAPO har åtagit sig att respektera din integritet och behandlar dina personuppgifter i enlighet med Europeiska unionens allmänna dataskyddsförordning (2016/679) (senare ”GDPR”) och andra tillämpliga dataskyddslagar och reglering.

Personuppgifter är uppgifter som direkt eller indirekt avslöjar din identitet, såsom namn, personnummer, adress och Internet Protocol (IP) adress (senare ”personuppgifter”). Definitionerna av begrepp och termer för personuppgifter som anges i artikel 4 i GDPR ska gälla för denna Integritetspolicy.

2. Kontaktinformation, personuppgiftsansvarig

Neova AB
Organisationsnummer: 556151-6708
Box 1143
824 13 Hudiksvall
Sverige
Telefon: 0771-98 00 00

E-post: privacy@vapo.fi

Kontaktperson i Vapo-koncernen: Johan Nybergh, telefon: +358 (0) 40 562 55 65

3. Syften med personuppgiftsbehandlingen

Vi behandlar dina personuppgifter för att uppfylla våra juridiska åtaganden som är relaterade till rekryteringsprocessen. Behandlingens syften omfattar:

Identifiera kandidater för positioner/roller (nuvarande och framtida) genom att söka kandidater eller få jobbansökningar
Utvärdera och välja kandidater för positioner
Kommunikation mellan parterna (t.ex. e-postmeddelanden)
Bakgrundskontroller: kontakta referenser samt säkerhetskontroller (enligt gällande lag)
Administration av rekryteringsprocessen (t.ex. kalenderinbjudningar, överföring av data (se separat kapitel om överföring av data))

Dessutom kan personuppgifter behandlas för

Att uppfylla säkerhetsförpliktelser (t.ex. förebyggande av bedrägerier eller utredning)
Förvaltning av samtycke (om det behövs) och förfrågningar om utnyttjande av rättigheter enligt GDPR (t ex se separat avsnitt om de registrerade / kandidaternas rättigheter)
Skydd av juridiska rättigheter, t.ex. för att kunna försvara ett anspråk eller lösa en tvist

NOTERA! Om en kandidat blir anställd, fortsätter behandlingen av kandidatens personuppgifter i enlighet med integritetspolicy för anställda.

3.1 Automatiserat beslutsfattande inklusive profilering

VAPO kan be kandidaten att delta i lämplighetstester som utförs av ett externt rekryteringsföretag. Att delta i testerna är frivilligt. Testresultaten används som en del av det främst manuella beslutsfattandet för att anställa kandidater. Beslutet om att anställa en kandidat eller inte är inte enbart baserad på lämplighetstestresultaten, utan alla skriftliga muntliga uppgifter som samlats in under rekryteringsprocessen. Vi använder oss inte av automatiserade beslutsfattanden, inbegripet profilering.

4. Laglig grund för behandling av personuppgifter

De främsta lagliga grunderna för behandling av kandidatens personuppgifter är VAPOs legitima intressen för att rekrytera nya anställda och erbjuda öppna positioner till kandidaterna, med stöd av kandidatens samtycke om det behövs (se separat kapitel nedan).

Dessutom behandlas personuppgifter för att uppfylla lagliga skyldigheter som att säkerställa säkerheten och skyddet av andra berörda parters lagliga rättigheter.

Om kandidaten blir vald för en position/roll ingår den rättsliga grunden för behandlingen i anställningsavtalet och dess förberedelse.

4.1 Samtycke

VAPO kommer att begära samtycke från kandidaten om behandlingen av personuppgifter för ett visst ändamål kräver samtycke enligt gällande dataskyddsförordning.

4.2 Återkallande av samtycke

Om kandidaten har gett sitt samtycke till viss behandling kan hen när som helst återkalla sitt samtycke till vidare behandling av dennes personuppgifter genom att kontakta VAPO (se kontaktinformationen i början av dokumentet samt kandidatens rättigheter senare i dokumentet).

5. Personuppgifter som behandlas och dess källor

Källor för personuppgifter:

Kandidaten är huvudkällan till personuppgifter. Hen tillhandahåller personuppgifter genom att delta i en rekryteringsprocess som förvaltas av VAPO (t.ex. inlämning av en ansökan, intervjuer, tester, kommunikation)
VAPO kan också ta emot personuppgifter från kandidaten från tredje part, rekryteringsföretag (oberoende kontrollanter) som samlar in information från olika kandidater genom att intervjua, testa och utvärdera dem. Vi tar således emot personuppgifter som sökanden har lämnat till rekryteringsbolaget
VAPO mottar också personuppgifter om kandidaten från referenserna delgivna av kandidaten

Vi samlar bara in personuppgifter som är relevanta för rekryteringsprocessen. Vi samlar in följande kategorier av personuppgifter:

Kategorier av personuppgifter	Exempel på personuppgift
Kontaktuppgifter	Namn, adress, telefonnummer, mailadress, födelsedata
Yrkeserfarenhet och utbildning	CV, utbildningar och kurser, tidigare arbetserfarenhet, kompetenser, certifikat
Annan personlig information som lämnats av kandidaten	Information som på eget initiativ lämnas av kandidaten som komplettering
Lämplighetstest	Testresultat
Utvärdering	Bedömning av kandidatens lämplighet för en nuvarande eller framtida tjänst inom VAPO
Resultat från bakgrundskontroller	UC-sökning, kommentarer från referenser
IT-hantering och elektronisk identifiering	Användarnamn och lösenord till VAPOs HR system

Kandidaterna är inte skyldiga att lämna personuppgifter till VAPO, men underlåtenhet att lämna information kan leda till avslut av kandidatens rekryteringsprocess eller svårigheter att utvärdera kandidaten korrekt.

6. Lagringstider

VAPO behåller dina personuppgifter så länge som nödvändigt för de ändamål som presenteras i denna integritetspolicy, såvida inte längre lagringstid krävs enligt gällande lagstiftning.

Om kandidaten blir anställd, kommer personuppgifter som behandlas i rekryteringsprocessen inte längre att behandlas enligt denna integritetspolicy, men enligt integritetspolicy för anställda och de lagringstider som anges där.

När personuppgifterna inte längre behövs tas uppgifterna bort eller anonymiseras inom en rimlig tid. Längden av lagringstiden beror på syftet med behandlingen. Lagringstider presenteras i tabellen nedan:

Kategorier av personuppgifter	Lagringstider
Personuppgifter om kandidater som ingår i en rekryteringsprocess för en specifik tjänst:
Rekryteringsuppgifter	2 år efter avslutad rekryteringsprocess såtillvida inte kandidaten blir anställd varpå lagringstiderna fastställs i integritetspolicyn för anställda
Resultat från bakgrundskontroller	Maximalt 6 månader
Personuppgifter om kandidater som lämnat intresseansökan:
Rekryteringsuppgifter	6 månader såtillvida inte kandidaten blir aktuell för en rekryteringsprocess för en specifik tjänst varpå ovan lagringstider blir gällande

Lagringstiderna för de personuppgifter som samlats in för informationssäkerhetsändamål, såsom elektroniska identifieringsdata eller loggdata, kan skilja sig från de lagringstider som beskrivits ovan. Lagringstiderna är IT-systemspecifika eller definierade i en allmän policy eller procedur. Mer information kan vid behov erhållas från personuppgiftsansvarig.

Om så är nödvändigt sparas personuppgifter som behövs för att skydda rättigheterna för dem som är involverade i rekryteringsprocessen eller för att uppfylla lagstadgade skyldigheter så länge som det är tillåtet och nödvändigt för ändamålet (t ex för att försvara en rättslig fordran eller lösa en tvist).

7. Dataöverföringar och mottagare

VAPO överför personuppgifter inom koncernens företag om det är nödvändigt för de ändamål som anges i denna sekretesspolicy.

VAPO överför personuppgifter till de rekryteringsföretag från vilka vi köper rekryteringsrelaterade tjänster som lämplighetstester. Rekryteringsföretaget agerar som en oberoende kontrollant av personuppgifterna för den kandidat som den mottar från oss och samlar in från kandidaten när han utför rekryteringstjänsterna. VAPO kommer att fungera som mottagare för testresultat och andra personuppgifter som rekryteringsföretaget överför till oss.

VAPO:s IT-tjänsteleverantörer som har behörighet till VAPO:s IT-system och utrustning kan komma att behandla personuppgifter i dessa system, om nödvändigt, för att utföra kontrakterade tjänster.

Mottagarkategorier:

Rekryteringsföretag
IT-tjänsteleverantörer

Mer information om mottagare kan erhållas från VAPO.

VAPO kan komma att överföra personuppgifter av skyldighet enligt lag i samband med säkerhet och skydd av juridiska rättigheter.

Om VAPO är inblandad i ett fusions-, försäljnings-, joint venture-, förvärvsavtal eller liknande arrangemang kan vi överföra personuppgifter till berörda parter. VAPO kommunicerar de väsentliga ändringar i integriteten till de kandidater vars personuppgifter berörs.

7.1 Överföring av personuppgifter utanför EU/EES

Om dina personuppgifter överförs utanför Europeiska unionen (EU)/Europeiska ekonomiska unionen (EES), ser vi till att överföringen utförs med hjälp av nödvändiga skyddsåtgärder (t.ex. standardavtalsklausuler), som säkerställer att dina personuppgifter fortsätter att skyddas enligt GDPR.

8. Den registrerades rättigheter

Registrerade personer (här kandidater) har rättigheten att såsom anges i GDPR göra de förfrågningar som anges här.

8.1 Rätt till åtkomst och rättelse

Du har rätt att begära att vi informerar dig om vilka personuppgifter vi behandlar angående dig (eller att inga uppgifter behandlas) och be oss att korrigera felaktiga eller ofullständiga (eller föråldrade).

8.2 Rätt att radera (”rätt att bli glömd”) och rätt till begränsning av behandling

Du har rätt att begära att vi raderar (eller anonymiserar) eller begränsar behandlingen av personuppgifter om dig som vi behandlar. Vi kommer att fullfölja din förfrågan om vi inte har legitima grunder för att inte radera uppgifterna, i så fall kommer du att bli informerad. När vi har raderat dina personuppgifter kan alla säkerhetskopior inte raderas omedelbart, men så snart som rimligen är möjligt.

8.3 Rätt att invända mot behandling

Du har rätt att invända mot användningen av alla eller några av dina personuppgifter för utvalda ändamål. Vi kommer att uppfylla din begäran om vi inte har en legitima skäl för att fortsätta behandlingen (t.ex. juridisk skyldighet), i så fall kommer du att bli informerad.

8.4 Rätt till dataportabilitet

Du har rätt att få tillgång till personuppgifter om dig som du har tillhandahållit i ett strukturerat, allmänt och maskinläsbart format och har rätt att skicka dessa data till en annan personuppgiftsansvarig om behandlingen är baserad på samtycke eller avtal, och behandlingen görs automatiskt.

8.5 Rätt att återkalla samtycke

Om du har gett ditt samtycke till viss behandling har du rätt att återkalla ditt samtycke när som helst när det gäller fortsatt behandling av dina personuppgifter.

8.6 Hur du använder dessa rättigheter

Du kan använda dessa rättigheter genom att kontakta oss med hjälp av kontaktinformationen som finns i början av denna integritetspolicy. Förfrågningarna måste lämnas in skriftligen och vara tillräckligt specifika. Vi kan begära ytterligare information om det behövs för att bekräfta din identitet. Vi kommer att svara på begäran senast en månad efter det att du har identifierats och vi har fått tillräckligt med information för att utföra förfrågan.

Vi kommer att informera mottagarna av dina personuppgifter om du har begärt att uppgifterna ska åtgärdas, raderas eller begränsas, om inte detta visar sig omöjligt eller innebär oproportionerlig ansträngning.

Vi har rätt att vägra att agera på förfrågningar som är uppenbart ogrundade (uppenbarligen obefogade) eller överdrivna, särskilt på grund av deras återkommande karaktär, eller ta ut en rimlig avgift baserad på kostnaderna för att uppfylla begäran.

8.7 Rätt att lämna in ett klagomål hos tillsynsmyndigheten

Du har rätt att klaga till den behöriga tillsynsmyndigheten om du anser att dina personuppgifter har behandlats felaktigt.

9. Säkerhetsåtgärder

VAPO behandlar personuppgifter i enlighet med gällande dataskyddslagstiftning och regleringar och säkerställer efterlevnad av tjänsteleverantörerna (personuppgiftsbiträdena) genom avtalade åtgärder (personuppgiftsbiträdesavtal).

Vi har infört moderna tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter från obehörig tillgång eller överföring och oavsiktlig eller olaglig förstörelse, förlust eller ändring. Informationssäkerheten och dataskyddet för våra system och miljöer som innehåller personuppgifter hanteras på ett lämpligt sätt som helhet. Vi säkerställer säkerheten för lagrade data, åtkomsträttigheter och behandling av konfidentiella och känsliga personuppgifter.

Tillgång till personuppgifter är begränsad till dem som behöver det för att utföra sitt jobb. Dina personuppgifter behandlas av HR-representanter och deltagare i rekryteringsprocessen (t ex chefer vars område rekryteringen gäller samt de som hjälper till vid rekrytering) och om nödvändigt ett rekryteringsföretag.

Känsliga data lagras separat från andra personuppgifter. Personuppgifterna kan nås av personer med begränsad tillgång att utföra nödvändiga uppgifter som administration, grundläggande anställningstjänster och IT-tjänster. Alla personer som behandlar personuppgifter är skyldiga att behandla uppgifterna som konfidentiella. Användarna av IT-miljön identifieras och tillgången till systemen är säkerställd och begränsad genom användarrättigheter. Tillgång till den fysiska platsen är också baserad på individuella tillgångsrättigheter och åtkomstnycklar.

10. Ändringar av denna integritetspolicy

VAPO förändrar och uppdaterar denna Integritetspolicy närhelst det är nödvändigt på grund av t.ex. förändringar i rekryteringsprocess, tjänsteleverantörer eller lagar och regleringar. Betydande förändringar kommer att meddelas kandidaterna vars personuppgifter VAPO behandlar.

11. Versionshistorik

Publicerad 2019-06-25, version 1.0

Kaka	Typ	Varaktighet	Beskrivning
__cfduid		1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
cookielawinfo-checbox-analytics	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	0	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement		1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	0	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
CONSENT	16 years 8 months 25 days 11 hours 20 minutes	No description
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.

Kaka	Varaktighet	Beskrivning
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_UA-12072761-3	1 minute	No description
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
_hjFirstSeen	30 minutes	This is set by Hotjar to identify a new user’s first session. It stores a true/false value, indicating whether this was the first time Hotjar saw this user. It is used by Recording filters to identify new user sessions.
_hjid	1 year	This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjTLDTest	session	No description

Kaka	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.