HMSREG är ett verktyg som tagits fram och som tillhandahålls av Omega 365 och HMSREG AS. Verktyget skall främja en seriös byggbransch med sund konkurrens på lika villkor mellan leverantörer.

Detta görs bland annat genom att kontrollera att de personer och leverantörer som deltar i ett projekt har nödvändiga tillstånd för att utföra arbetet och att alla som utför arbete på ett projekt är identifierade med ID06-kort som används på rätt sätt.

Om du är engagerad som personal på ett projekt som använder HMSREG, kommer dina personuppgifter att kunna behandlas i de fall:

• Du är kontaktperson för, eller på annat sätt representerar, en leverantör till vår uppdragsgivare.
• Du är anställd hos en arbetsgivare som i egenskap av leverantör till Skanska anmält att du kommer att arbeta på en av Skanskas arbetsplatser.

För HMSREG AS, som är leverantör av HMSREG, och de uppdragsgivare som använder HMSREG, är din integritet och skyddet för dina personuppgifter det allra viktigaste. Vi kommer därför alltid att behandla dina personuppgifter:

• konfidentiellt, så att inga personuppgifter delas utöver vad som är nödvändigt för de funktioner som systemet skall lösa.
• riktigt, med hänvisning till våra regler och vår integritetspolicy.
• lagligt, genom att följa gällande lagar och förordningar om integritet och informationssäkerhet.

HMSREG är knutet till ID06 genom en ackreditering, vilket innebär att all behandling av personuppgifter i systemet sker i enlighet med ID06 riktlinjer.

Den som har ansvaret som arbetsmiljösamordnare på ett projekt och som använder HMSREG för uppfyllandet av detta ansvar är personuppgiftsansvarig för behandlingen av dina personuppgifter i HMSREG (Personuppgiftsansvarig).

Ansvaret för arbetsmiljösamordningen kan tas av byggherren vid delade kontrakt. I de flesta fall med totalentreprenad överförs det ansvar och de rättigheter som arbetsmiljösamordnaren har till huvudentreprenören.

HMSREG AS är personuppgiftsbiträde för den behandling av personuppgifter som sker i HMSREG för den Personuppgiftsansvariges räkning.

Den Personuppgiftsansvariges integritetspolicy finns tillgänglig när du loggar in i HMSREG och i den information som skickas med SMS till alla som registrerats som personal på ett projekt i HMSREG. Om du inte har möjlighet att logga in i systemet kan du alltid kontakta HMSREG Support på telefon 036-34 03 02 så kommer vi att bistå dig med kontaktinformation.

I varje projekt finns hos den Personuppgiftsansvarige en ansvarig som arbetar för att personuppgifter behandlas enligt gällande lagar och regler. Den Personuppgiftsansvarige kan ha utsett ett dataskyddsombud. Kontaktinformationen finns i den Personuppgiftsansvariges integritetspolicy.

Personuppgifter samlas in av den Personuppgiftsansvarige genom att all personal som den Personuppgiftsansvariges leverantörer önskar använda sig av på ett projekt förhandsregistreras i HMSREG. Insamlingen av personuppgifter för behandling i systemet sker även genom personalens användning av ID06-kortet och de in- och utpasseringar som sker på projektet.

Vid all behandling av personuppgifter följs bestämmelserna i Dataskyddsförordningen (GDPR), EU Förordning 2016/679.

Följande uppgifter behandlas, på uppdrag av den Personuppgiftsansvarige, i samband med registrering av ID06-kortet och vid in- och ut-passering på arbetsplatsen:

• ID06 kortnummer
• Namn
• Födelsedatum
• Personnummer (Registreras för att garantera en säker identifikation av en person, men görs inte tillgängligt för användare av systemet. Därför sparas dessa nummer i en separat databas som inte är tillgänglig för projektet.)
• Arbetsgivare
• Arbetsgivares organisationsnummer
• Arbetsplats – platsen där arbetet utförs
• Kompetens registrerat på ID-06 kortet

Passeringsdata för in- och utregistrering verifierar informationen. Tidpunkt för in- och utregistrering är inte tillgänglig för projektet. Det anges endast att personen har passerat in under den aktuella dagen och om den har passerat ut.

Om passering sker med ogiltigt ID06-kort, om kortet missbrukas eller personen/bolaget som kortanvändaren representerar inte uppfyller lagkraven eller kontraktskraven for arbetet på projektet, så kommer det vid inpassering att upprättas en händelse knuten till leverantören. Denna händelse kan behandlas genom ärendehantering baserat på allvarlighetsgrad.

Vid uppdatering av personallistor kan den Personuppgiftsansvarige komma att efterfråga andra uppgifter från leverantören om enskilda arbetstagare, beroende på de konkreta kontraktskrav som finns i projektet, i syfte att kunna efterleva arbetsmiljölagens krav på säkerhet på arbetsplatsen. Detta kan vara uppgifter om språk/nationalitet och eventuella nödvändiga tillstånd, certifieringar eller utbildningar som krävs för att utföra arbete. Det kan även efterfrågas information om vem som är skyddsombud för en leverantör.

Om den Personuppgiftsansvarige använder sig av modulen för ”Seriositetskontroller” i HMSREG (kontroll av lön- och arbetsvillkor, begäran om insyn) kan följande uppgifter komma att samlas in och behandlas för den Personuppgiftsansvariges räkning:

• Namn
• Födelsedatum och personnummer
• Adress
• Telefonnummer och e-postadress
• Lön, lönetillägg, utstationeringstillägg, ob-tillägg, reseutgifter, arbetskläder, kost och logi, anställda hos entreprenörer, underleverantörer och andra anlitade.
• Uppgifter som framgår av avtal om genomsnittsberäkning av arbetstid, anställningsavtal, lönespecifikationer med dokumentation och tidsrapporter.

I HMSREG behandlas inte känsliga personuppgifter.

De övergripande ändamålen med behandlingen av personuppgifter i HMSREG är att den Personuppgiftsansvarige ska kunna hantera och administrera relationen och avtalet med bolaget/organisation du representerar för att uppfylla sina kontraktuella förpliktelser och rättsliga skyldigheter utifrån arbetsmiljölagstiftning, skattelagstiftning och utlänningslagstiftning.

Behandlingen av personuppgifter i HMSREG möjliggör att den Personuppgiftsansvarige kan systematisera kontrollen över arbetsplatsen och följa upp de krav som ställs på leverantörer och deras personal. På så sätt kan den Personuppgiftsansvarige minimera risken för ”social dumping” och arbetslivskriminalitet på projektet, samt även främja den allmänna säkerheten på arbetsplatsen.

Genom behandling av uppgifter i samband med personalens användning av ID06 kort, och i samband med utförande av närvarokontroller, kan den Personuppgiftsansvarige uppfylla sitt ansvar att säkerställa att endast behöriga personer befinner sig på byggarbetsplatsen och att de närvarande på arbetsplatsen registreras på ett korrekt sätt. Korrekt registrering medför att det finns underlag för skattekontroll.

Genom behandling av uppgifter i samband med uppdatering av personallistor och utförande av seriositetskontroller kan den Personuppgiftsansvarige säkerställa att kraven på arbetsmiljön efterlevs, till exempel att förutsättningar för kommunikation inte utgör en säkerhetsrisk, att personal har kompetens for det arbete som skall utföras och att personal uppfyller specifika krav knutna till projekt som kräver speciell säkerhetsklassning.

HMSREG AS är personuppgiftsbiträde till den Personuppgiftsansvarige och kommer därför endast behandla personuppgifter i HMSREG utifrån den Personuppgiftsansvariges instruktioner.

För information om vilken rättslig grund som den Personuppgiftsansvarige använder för behandlingen av personuppgifter i HMSREG, hänvisar vi till den Personuppgiftsansvariges integritetspolicy. Den finns tillgänglig när du loggar in i HMSREG och i den information som skickas med SMS till alla som registrerats som personal på ett projekt i HMSREG.

En rättslig grund som den Personuppgiftsansvarige kan använda för behandling av personuppgifter i HMSREG är intresseavvägning. Även annan rättslig grund kan aktualiseras.

Personuppgifter kommer inte lämnas ut till tredje part utöver vad som framgår av denna integritetspolicy.

En översikt av registrerad personal kan överföras till projektets inpasseringssystem för att säkra identifiering av personer som skall ha tillgång till projektet.

När det är fråga om totalentreprenad kan ansvaret och de rättigheter som arbetsmiljösamordnaren har överföras till huvudentreprenören. Vid dessa tillfällen har inte byggherren tillgång till några personuppgifter, med undantag för när ett arbete utförs av ett enmansföretag och information om denna leverantör delas. När detta sker så skall ett godkännande som medger att leverantörinformationen behandlas som personuppgifter inhämtas.

Enligt GDPR har du som enskild person ett antal rättigheter som du i vissa fall kan göra gällande mot den Personuppgiftsansvarige. Vi ber dig här notera att HMSREG AS är personuppgiftsbiträde för behandlingen av personuppgifter i HMSREG. För att göra dina rättigheter gällande ska du vända dig till den Personuppgiftsansvarige.

Rättigheter som du kan ha gentemot den Personuppgiftsansvarige innefattar:

• En rätt för dig att få information om vilka uppgifter som behandlas om dig.
• En rätt för dig att få felaktiga uppgifter rättade.
• En rätt för dig att i vissa fall begära att personuppgifter raderas.
• En rätt för dig att invända mot den Personuppgiftsansvariges behandling av dina uppgifter.
• En rätt för dig att få dina uppgifter överförda i enlighet med de förutsättningar som finns i gällande personuppgiftslagstiftning.
• En rätt för dig att i vissa fall kräva att behandlingen av dina personuppgifter begränsas.
• En rätt för dig att rikta klagomål om hur dina uppgifter behandlas till Datainspektionen, vars kontaktuppgifter finns på www.datainspektionen.se.

Hur länge uppgifter lagras bestäms av den Personuppgiftsansvarige men det vanliga är att Personuppgifter lagras under projektets livstid, och anonymiseras därefter automatiskt efter att det avslutats. Statistik på en aggregerad nivå sparas och tas tillvara efter detta.

HMSREG använder sig av erkända standarder och bästa praxis i arbetet med säkerhet. Omega genomför kontinuerliga riskbedömningar och systemsäkerhetstest, och samråder med Datainspektionen vid varje ändring i systemet som kan påverka skyddet för dina personuppgifter.

HMSREG har implementerat följande säkerhetsåtgärder i systemet (listan visar ett urval):

• Autentisering med hjälp av användarnamn och lösenord
• Allt informationsutbyte sker med stark kryptering (SSL)
• Allt som utförs av driftspersonal och systemförvaltare loggas i egna separata händelseregister.
• Servrarna som HMSREG använder är placerade i ett säkert driftcenter, hos en leverantör som har lång erfarenhet av att hantera verksamhetskritisk och känslig information.

Modulen för Seriositetskontroller har en egen tillgångsstruktur som innebär att bara den ansvariga kontrollanten och eventuella medkontrollanter har tillgång till personuppgifter som behandlas inom ramen för kontrollen. Alla uppgifter som kan kopplas till enskilda personer och tillhörande dokumentation raderas automatiskt när kontrollen är genomförd.

Om du har frågor om hur dina personuppgifter samlas in, används, skyddas och delas så är du välkommen att höra av dig till den Personuppgiftsansvarige eller till vårt Dataskyddsombud. Vi besvarar din förfrågan inom 30 dagar.