STIBs Integritetspolicy

STIB strävar efter att skydda alla personuppgifter genom att följa lagar och regler för dataskydd. Hantering av personuppgifter är nödvändigt bl.a för administration av utbildningar och utbildningsbevis.

Genom denna integritetspolicy vill vi informera om hur och varför personuppgifter kan komma att behandlas av oss samt vilka rättsliga förutsättningar som vi tillämpar.

Information riktar sig till medlemsföretagen inom STIB och utgör även informationsunderlag för medlemsföretagen när de behöver informera – och i vissa fall även inhämta tillstånd – från anställda för STIBs hantering av deras personuppgifter.

Observera att STIBs tolkning och rekommendationer nedan för hur anställdas uppgifter får samlas in utgör inte nödvändigtvis tillräcklig rättslig grund för det enskilda företaget.

STIB förutsätter att medlemsföretagen alltid informerat anställda tydligt innan deras personuppgifter lämnas ut av företaget.

Allmänt om STIBs personuppgiftshantering

I syfte att administrera utbildningar, utfärda och förnya utbildningsbevis, uppmärksamma medelmmar på aktuella nyheter för branschen samt hantera ansökningar för STIB auktorisation är det nödvändigt för STIBs kansli, samt Ställningsakademin att hantera vissa personuppgifter för anställda inom medlemsföretagen.

Endast nödvändiga uppgifter sparas och maximalt under den tid som bedöms nödvändigt för att STIB ska kunna tillhandahålla vissa tjänster gentemot medlemsföretag och deras anställda.

Under ”Personuppgifter och ändamål” nedan redogörs för hur olika uppgifter hanteras beroende på syfte. Denna information kan användas som underlag för medlemsföretaget att utforma information till anställda.

Personuppgiftsansvarig inom STIB

STIBs kansli är personuppgiftsansvarig för behandlingen av personuppgifter och ansvarar för att sådan behandling sker i enlighet med tillämplig lagstiftning.

Rättslig grund för hantering av personuppgifter

Den rättsliga grunden för vår hantering av personuppgifter baseras på föreningens syfte, möjligheten att bedriva verksamheten inom ramen för föreningens ändamål samt tillhandahålla information och tjänster till företag och anställda vid medlemsföretag såsom:

  • hantera medlemskap
  • hantera auktorisationsansökningar och förnyelser
  • genomföra utbildningsverksamhet
  • utfärda och vid behov förnya utbildningsbevis
  • skicka information om föreningens verksamhet samt om aktuella branschfrågor
  • tillhandahålla webbtjänster och onlineverktyg för medlemsföretagen.

Den rättsliga grunden för medlemsföretagen att hantera personuppgifter i relation till STIB är bland  annat att upprätthålla medlemskap och eventuell auktorisation, att utveckla företaget, kompetensen i företaget, att hålla anställa informerade och uppdaterade samt ge de anställdas förutsättningar att arbeta säkert.

Personuppgifter och ändamål

De personuppgifter som vi behandlar kan vara namn, i vissa fall personnummer, kontaktuppgifter, företag, IP-adress mm.

Exempel på ändamål och vilka nödvändiga uppgifter som kan komma att hanteras

Medlemskap – uppgifter om kontaktperson och ev nyckepersoner i företaget
Auktorisation – uppgifter om auktorisationsansvarig vid företaget samt ställningsbyggande personal/utbildningsnivåer (sparas inte)

  • Endast auktorisationsansvariga/kontaktpersoner sparas.
  • Efter behandlad ansökan om auktorisation raderas alla handlingar innehållande personuppgifter för övrig personal i ställningsföretaget.

Medlemssidan, Säker Ställning – namn, företag och epost för konto/inloggning, samt IP
Ställningsakademin och STIB utbildningsbevis – namn, personnummer och kontaktuppgifter

  • Efter avslutad utbildning sparas nödvändiga personuppgifter för att vid behov kunna utfärda nytt STIBs utbildningsbevis, dvs för att kunna verifiera behörighet om utbildningsbeviset har kommit bort.
  • Uppgifter om avslutade utbildningar kan komma att lämnas vidare för registrering i ID06 kompetensdatabas. Detta sker dock enbart om samtycke finns.

Nyhetsbrev/information, kallelser och inbjudningar – namn, epost till mottagare,
Medlemsregistret  –  företagens kontaktpersoner, namn, epost, telefon

Inhämtning av personuppgifter

Personuppgifter för administration av medlemskapet i STIB inhämtas via medlemsansökan, samt via medlemsföretaget t ex vid ändring/komplettering av registrerade uppgifter. STIB förutsätter att inkomna uppgifter sammanställts och hanterats i enlighet med GDPR av företaget

Personuppgifter för administration av STIB auktorisation inhämtas via medlemsföretaget. STIB förutsätter att inkomna uppgifter sammanställts och hanterats i enlighet med GDPR av företaget.

Personuppgifter för användarkonton på STIBs webbplatser registreras av användare själv alternativ av person utsedd av arbetsgivare. STIB förutsätter att ingen person eller epostadress med personnamn registreras utan samtycke från personen ifråga. I de fall STIB tar på sig att registrera användare förutsätts att det finns ett samtycke från respektive person.

Huvudregeln för medlemsföretagens hantering av personuppgifter bör vara:

  • Tydlig och begriplig information till anställda är viktigt.
  • Om även aktivt medgivande behövs avgörs från fall till fall.
  • Vid osäkerhet kontakta Datainspektionen.

Känsliga personuppgifter

De personuppgifter som STIB hanterar är i juridisk mening inte känsliga personuppgifter, såsom personers hälsostatus etc.

De personuppgifter som hanteras av STIB betecknas inte som känsliga personuppgifter enligt dataskyddsförordningen.

Detta innebär att de personuppgifter STIB behöver kunna hantera får samlas in elektroniskt och skickas t.ex. via epost. Detta under förutsättning att uppgifterna är relevanta för ändamålet och att personerna ifråga i förväg fått information om hanteringen och ändamålet

Information och samtycke

STIB förutsätter att innan handlingar innehållande personuppgifter sammmanställs och skickas till STIB ska berörda personer ha fått information om detta, om ändamålet samt om STIBs integritetspolicy. I vissa fall ska ett aktivt samtycke ha samlats in.

STIB förutsätter att företagen i egenskap av arbetsgivare alltid inhämtat aktivt samtycke från var och en i de fall personuppgifterna rör enstaka personer samt i de fall personuppgifterna kommer att hanteras av STIB under längre tid än högst tillfälligt.

Tolkningen av lagen är att om informationen från arbetsgivarens sida utförts korrekt, tydligt, begripligt och i god tid innan uppgifterna sammanställs samt om det berör flera personer och att uppgifterna inte lagras långsiktigt av STIB krävs inget aktivt samtycke. Exempel på detta är bland annat vid ansökan och uppdatering av STIB auktorisation. Andra fall där det eventuellt också kan anses befogat enligt intresseavvavägningsprincipen – och där det samtidigt kan vara svårt att inhämta aktivt samtycke från samtliga anställda – är anmälan till kurser på Ställningsakademin. 

För hantering av personuppgifter i medlemsregister, utskick och kallelser förutsätter STIB att medlemsföretaget utser kontaktpersoner, auktorisationsansvariga etc som inte inte har skyddad identitet eller av andra skäl inte godkänner personuppgifterna registreras i bl.a. medlemsregistret.

Företagets kontaktpersonerna ska innan uppgifterna skickas till STIB:

  • ha fått information om att så sker samt om hur STIB hanterar personuppgifterna (t ex genom denna integritetspolicy) samt
  • ha gett sitt aktiva samtycke till STIBs hantering av personuppgifterna.

För hantering av personuppgifter rörande övrig personal inom medlemsföretaget förutsätter STIB att de som berörs tydligt informeras om detta samt att i de fall inget aktivt tillstånd inhämtats av arbetsgivaren så ska de anställda ha haft möjlighet att hinna inhämta ytterligare upplysningar och i förekommande fall inkomma med invändningar mot registreringen.

Detta kan exempelvis vara:

  • Köp av kurser till anställda via Ställningsakademin eller STIB.
  • Registrering av anställda på STIBs webbplatser för medlemmar.
  • Ansökan respektive uppdatering av auktorisation*.

*Vid ansökan om, eller vid uppdatering av, STIB auktorisation är det nödvändigt att lämna ut vissa uppgifter om de anställda. Detta i syfte att säkerställa utbildningsnivån inom företaget. Dessa uppgifter kommer dock inte att registreras eller sparas av STIB utan enbart utgöra underlag för STIBs bedömning om auktorisationskriterierna uppfylls.

För att uppfylla dataskyddslagstiftningen är det dock viktigt att i förväg informera de anställda på ett tydligt och lättbegripligt sätt om detta, inklusive syftet och att uppgifterna inte sparas av STIB längre tid än handläggningen pågår.

Bra att veta

Skyddad identitet

Om någon anställd har skyddad identitet eller annat skäl att vara försiktig med sina personuppgifter. Kontakta STIB innan personuppgifterna samlas in och lämnas till oss.

Samarbetsparters hantering av personuppgifter

Personuppgifter hanteras av STIB kansli samt i förekomnnade fall av de personer som arbetar med de digitala tjänster, servrar och plattformar som STIB använder för hemsida, onlineverktyg, nyhetsbrev, utbildning.

Personuppgifter som hanteras och registreras av tredje part är bland annat:

  • Personuppgifter som registreras hos BYN för deras hantering av lärlingsutbildningar och yrkesbevis. För denna hantering av personuppgifter gäller BYNs policy. Lärlingar, handledare och yrkesutbildningsansvariga måste dock informeras om registreringen – i förväg om villkoren i GDPR ska vara uppfyllda..
  • Personuppgifter som behövs för eventuella bokningar i samband med mässor, och resor.

Hur länge sparas personuppgifterna av STIB?

Vi behandlar aldrig personuppgifter under en längre tid än vad som krävs och är tillåtet. Detta innebär att endast de uppgifter som är nödvändiga sparas och då endast under så lång tid som krävs för att syftet med personuppgiftshanteringen ska kunna uppfyllas.

Radering av personuppgifter

Medlemsföretagen ska omgående meddela STIB om en medarbetare som är registrerad hos STIB som kontakt/nyckelperson slutar sin anställning vid företaget. På samma sätt har medlemsföretaget ansvar för att hålla registrerade medarbetarkonton på STIBs webbplatser uppdaterade, genom att kontakta STIB eller sjäv radera konton efterhand som medarbetare slutar, byter befattning eller av annan orsak inte längre ska ha kvar sitt användarkonto.

För personuppgifter som lagras för att kunna utfärda utbildningsbevis åt enskilda personer ansvarar personerna själva för att uppdatera sin uppgifter, t ex kontaktuppgifter.

Dina rättigheter

I enlighet med dataskyddslagstiftning har du rätt att få tillgång till information om vilka personuppgifter som vi behandlar om dig samt rätt att begära rättelse av dina personuppgifter.

Under vissa förutsättningar har du även rätt att begära radering av dina personuppgifter alternativt begränsning av behandlingen av dina personuppgifter eller invända mot vår behandling. Du har även under vissa förutsättningar rätt att få ut dina i ett maskinläsbart format.

Du har även rätt att när som helst invända mot användning av dina personuppgifter för informationsutskick .

Synpunkter eller klagomål på STIBs behandling av dina personuppgifter kan meddelas till STIBs kansli. Vid fortsatt missnöjd med STIBs hantering av dina uppgifter har du möjlighet att kontakta Datainspektionen eller annan behörig tillsynsmyndighet som utövar tillsyn över hantering av personuppgifter.

Kontakta STIB

Om du vill komma i kontakt med oss med anledning av vår behandling av dina eller dina anställdas personuppgifter kan du göra detta genom att kontakta STIBs Kanslichef per telefon 072-329 48 02 eller e-post hakan@stib.a.se eller info@stib.a.se
______________________
Denna integritetspolicy fastställdes av
STIBs Kansli den 13 oktober 2020
Ställningsentreprenörerna STIB, org.nr 802012-4551, Box 38, 294 21 Sölvesborg,