Behandling av personuppgifter

GDPR

INFORMATION KRING WISE GROUP-KONCERNENS BEHANDLING AV PERSONUPPGIFTER

Wise Group med dotterbolag värnar om individers personliga integritet och strävar därför efter att arbeta med kunder och leverantörer som lever upp till de krav som ställs på företag som behandlar personuppgifter. Wise Group-koncernens dotterbolag behandlar inom ramen för sina respektive verksamheter en mängd personuppgifter. Personuppgifter förekommer bl.a. i samband med rekryteringsprocesser, uthyrning av konsulter och tillhandahållande av digitala HR-tjänster. Beroende på vilken typ av tjänst som tillhandahålls kan ansvaret för behandlingen av personuppgifterna fördelas olika mellan avtalsparterna. Detta dokument har tagits fram i syfte att tydliggöra hur bolagen i Wise Group-koncernen generellt, enligt gällande personuppgiftslagstiftning, uppfattar ansvarsfördelningen för behandling av personuppgifter. Eventuella frågor kan ställas till din kontaktperson inom Wise Group eller vårt dataskyddsombud som nås via dpo@wisegroup.se.

Behandling av personuppgifter under rekryteringsprocesser

De Wise-bolag som under rekryteringsprocesser samlar in och behandlar personuppgifter för att kunna presentera lämpliga kandidater till kund gör så i egenskap av personuppgiftsansvarig. Detta beror på att Wise-bolagen utifrån erfarenhet och profession har utarbetat särskilda metoder för informationsinsamlingen och i sammanhanget bestämmer vilka personuppgifter som ska samlas in, varifrån de ska insamlas och hur behandlingen ska utföras i övrigt för rekryteringsändamål. Wise-bolagen bestämmer även övriga ändamål med behandlingen då syftet är att kunna skapa långsiktiga och relationsbyggande kontakter med kandidater. Utifrån detta intar Wise-bolagen en självständig ställning i förhållande till kund. Då Wise-bolagen är ansvariga måste de alltid se till att de har en laglig grund för sin behandling och att behandlingen sker i enlighet med gällande personuppgiftslagstiftning. Detta innefattar lämnande av nödvändig information om behandlingen till kandidaterna och inhämtande av nödvändigt samtycke från dem. Wise-bolagen har även en skyldighet att se till att kandidaterna informeras om att deras personuppgifter kan komma att överlämnas till kund.

Kunden är i sin tur personuppgiftsansvarig för sin behandling av de personuppgifter som överförs under rekryteringsprocessen, t.ex. genom en levererad kandidatprofil.

Behandling av personuppgifter vid uthyrning av konsulter

När ett Wise-bolag hyr ut en konsult till kund (oavsett om det är en anställd person eller en kontrakterad underkonsult) kommer konsulten att arbeta under kundens ledning och ansvar. Wise-bolaget ska tillse att konsulten har lämnat sitt samtycke till att de personuppgifter som kan anses nödvändiga i anledning av uppdraget lämnas över till kund. Kunden är personuppgiftsansvarig för de uppgifter som kunden mottar och behandlar.

Om en uthyrd konsult vid arbete åt kunden behandlar personuppgifter under dennes direkta ansvar och arbetsledning, t.ex. genom användning av kundens system, och ett sekretessavtal har ingåtts mellan kund och konsulten som förhindrar att personuppgifter delas med Wise-bolaget, är Wise-bolaget inte personuppgiftsbiträde för sådan behandling. Kunden ansvarar enligt kundavtalet för att ett sekretessavtal ingås med konsulten innan uppdraget påbörjas, men för att understödja detta bilägger alltid Wise-bolaget ett utkast till sekretessavtal med kundavtalet som kunden för enkelhetens skull kan utnyttja. Detta innebär att kund kan känna sig trygg i att eventuella personuppgifter som konsulten behandlar åt kunden under uppdraget inte kommer att överföras till Wise-bolaget.

Wise-bolaget kommer därmed inte att behandla några personuppgifter som förekommer hos kunden och har heller inte tillgång till de personuppgifter som den uthyrda konsulten eventuellt behandlar vid arbetet åt kunden. Eftersom några personuppgifter inte överförs mellan kunden och Wise-bolaget uppstår inte något biträdesförhållande.

Behandling av personuppgifter vid karriärrådgivnings- och utbildningstjänster

Ett Wise-bolag som erbjuder outplacementtjänster eller andra karriärrådgivningstjänster till kunder är i de flesta fall personuppgiftsansvarig för de personuppgifter som behandlas. Detta beror på att Wise-bolaget inte lagrar eller på motsvarande sätt behandlar uppgifterna för kundens räkning, utan tillhandahåller en tjänst genom vilket bolaget använder sitt egna system och sina egna utvecklade metoder, rutiner och omställningsprocesser för att coacha befintliga och före detta medarbetare hos kunden. Behandlingen av personuppgifter är således mer omfattande än att t.ex. endast erbjuda en lagringstjänst.

I de fall ett Wise-bolag erbjuder utbildningstjänster till kund är Wise-bolaget personuppgiftsansvarig för den eventuella behandling av personuppgifter som sker inför och under utbildningsuppdraget. Detta beror på att den personal som tillhandahålls för att hålla i utbildningarna inte kommer att arbeta under kundens direkta arbetsledning och ansvar. Personalen tillhandahålls för att utbilda kunden och inte för att behandla kundens personuppgifter. Ändamålet med behandlingen av personuppgifter är att kunna tillhandahålla tjänsten och behandlingen utgör en förutsättning för att tjänsten ska kunna erbjudas.

Behandling av personuppgifter vid informationstjänster

I de fall Wise-bolag erbjuder informationstjänster, såsom tillhandahållande av digitala checklistor, handböcker och processbeskrivningar m.m., behandlar inte Wise-bolaget några personuppgifter för kundens räkning. Inte heller kommer kunden att kunna överföra några personuppgifter till bolaget under avtalsförhållandet. Wise-bolaget är i stället personuppgiftsansvarig för den begränsade mängd personuppgifter som överförs till bolaget i samband med kundavtalets ingående och behandlar dem endast i syfte att kunna tillhandahålla tjänsten.

Med anledning av ovanstående bedömningar uppstår det inte något förhållande mellan Wise-bolag och kund som nödvändiggör ingåendet av ett personuppgiftsbiträdesavtal. Bestämmelserna om biträdesavtal är inte heller tillämpliga i dessa fall. Något biträdesavtal ska därför inte ingås mellan Wise-bolag och kund vid tillhandahållandet av dessa tjänster. Frågor som rör behandling av personuppgifter, immateriella rättigheter och sekretess kommer i stället att regleras i kundavtalen.  

Behandling av personuppgifter vid övriga digitala HR-tjänster

I de fall då Wise-bolag tillhandahåller andra digitala HR-tjänster, såsom talent managementsystem, intar bolagen en ställning som personuppgiftsbiträde. Detta beror på att kund, vid utnyttjandet av dessa tjänster, tillhandahåller bolagen med personuppgifter och bestämmer för vilka ändamål de får behandlas. För att säkerställa att behandlingen sker i enlighet med gällande personuppgiftslagstiftning kommer Wise-bolagen alltid vid tillhandahållande av sådana tjänster att till kundavtalen bilägga ett biträdesavtal som också behöver ingås.

Övrig behandling av personuppgifter som föranleder ett Personuppgiftsbiträdesavtal

Förutom vid behandling av personuppgifter vid digitala HR-tjänster har Wise ett fåtal tjänster där kund, vid utnyttjandet av dessa tjänster, tillhandahåller Wise-bolag med personuppgifter och bestämmer specifikt för vilka ändamål de får behandlas. Exempel på detta är verifiering av kandidatkompetenser (s.k. second opinions). För att säkerställa att behandlingen sker i enlighet med gällande personuppgiftslagstiftning kommer Wise-bolagen alltid vid tillhandahållande av sådana tjänster att till kundavtalen bilägga biträdesavtal som också behöver ingås.

Med anledning av ovanstående bedömningar uppstår det således ett ansvarig-/biträdesförhållande mellan Wise-bolag och kund i de fall då kunden inom ramen för HR-tjänsten tillhandahåller samtliga personuppgifter och med egna preciserade metoder bestämmer hur Wise-bolaget får behandla dem. Detta nödvändiggör att ett biträdesavtal ingås mellan parterna.  

Det är på denna sida som Wise Group med dotterbolag publicerar den senaste informationen kring behandling av personuppgifter, besök oss gärna igen.

Med vänlig hälsning,
Christian Rossi, DPO & Ingrid Höög, VD

föredrar du att se film än att läsa? Se vår crash-course i GDPR