Dataskydd
Dataskyddsbeskrivning för etiska kanalens register
Senast uppdaterad 19.6.2024
1. Personuppgiftsansvarig
GRK Infra Abp (FO-nummer 0533768-1)
Adress: Jaakkogatan 2, 01620 Vanda
Telefon: +358 10 321 4110
E-post: tietosuoja@grk.fi
2. Registrets namn
Etiska kanalens register.
3. Syfte med och rättsliga grunder för behandling av personuppgifter
Den personuppgiftsansvarige behandlar de registrerades personuppgifter i enlighet med tillämplig dataskyddslagstiftning, inklusive EU:s allmänna dataskyddsförordning (2016/679) samt nationell dataskyddslagstiftning.
Den personuppgiftsansvarige behandlar personuppgifter i registret över etiska kanaler, till vars rättsliga grunder i enlighet med artikel 6 i EU:s allmänna dataskyddsförordning (2016/679) hör:
- Upprättande av en rapporteringskanal vilket hör till den personuppgiftsansvariges lagstadgade skyldighet och som grundar sig på lagen om skydd för personer som rapporterar om överträdelser av EU-rätten och den nationella lagstiftningen (1171/2022) (visselblåsarlagen).
- Den personuppgiftsansvariges berättigade intresse av att få information om missbruk avseende personuppgiftsansvarige och dennas verksamhet för att det ska vara möjligt att ingripa vid missbruk och för att säkerställa att den personuppgiftsansvariges anställda och samarbetspartner (såsom leverantörer och underleverantörer) agerar på ett lagligt och etiskt sätt.
Den personuppgiftsansvarige behandlar personuppgifter i följande syften:
- Upptäcka, utreda och förhindra lagöverträdelser och förfaranden som strider mot den personuppgiftsansvariges etiska principer.
- Utveckling, analys och statistikföring av tillsynen.
Den etiska kanalen är ett lagstadgat verktyg som gör det möjligt för den personuppgiftsansvarige att övervaka lagenligheten i sin verksamhet och efterlevnaden av de etiska principerna. För att kunna ingripa i tid kan information om eventuella missbruk och intrång samlas in via den etiska kanalen. Syftet är att främja öppenhet och transparens genom att ge visselblåsare möjlighet att framföra berättigade misstankar om verksamhet som strider mot lagen eller etiska principer.
Anmälningar till den etiska kanalen kan göras av nuvarande och tidigare anställda hos den personuppgiftsansvarige samt representanter för intressenter (t.ex. leverantörer, underleverantörer) och aktieägare, styrelseledamöter och verkställande direktören.
4. Kategorier av personuppgifter som behandlas
Registret kan innehålla följande personuppgifter i enlighet med vad visselblåsaren meddelat och i den omfattning som visselblåsaren meddelat uppgifterna. Visselblåsaren kan göra en anmälan anonymt. Anmälan kan också innehålla andra personuppgifter än de som anges nedan, om de uppgetts av visselblåsaren. Om anmälan innehåller personuppgifter som enligt den personuppgiftsansvariges bedömning inte har uppenbar betydelse för utredningen av det anmälda fallet, raderar personuppgiftsansvarige sådana uppgifter utan onödigt dröjsmål.
- Visselblåsarens namn och kontaktuppgifter om de lämnats av visselblåsaren
- Information om föremålet eller föremålen för anmälan
- Uppgifter om den person eller de personer som misstänks vara föremål för anmälan och om deras agerande som strider mot lagen eller de etiska principerna
- Uppgifter om vittnen till händelsen som är föremål för anmälan
Registret kan innehålla följande personuppgifter för behandling av anmälningar:
- Uppgifter som har samlats in i samband med en intern utredning om förfarandet hos den person eller de personer som är föremål för anmälan och en bedömningen av förfarandets laglighet eller efterlevnad av verksamhetsprinciper
- Information om de personer som behandlar anmälningar
- Uppgifter om de personer som ansvarar för det tekniska underhållet av den personuppgiftsansvariges etiska kanal (t.ex. namn, befattning, e-postadress, telefonnummer)
- Tekniska uppgifter som rör användningen av registret (såsom användarnamn, inloggningsuppgifter och logguppgifter)
5. Ordinarie informationskällor
Personuppgifterna erhålls i regel via anmälningar som gjorts i den etiska kanalen och via eventuell begäran om ytterligare information. Dessutom erhålls uppgifter ur den personuppgiftsansvariges interna system och av tredje parter som är involverade i utredningen av ärendet, i det fall att anmälan leder till en utredning.
6. Utlämnande och överföring av personuppgifter
Personuppgifterna behandlas endast av personuppgiftsansvariges utsedda anställda som genomför och övervakar utredningarna och behöver uppgifterna för dessa ändamål.
Om visselblåsarens identitet är känd, avslöjas den inte för de personer som är föremål för anmälan. Visselblåsarens identitet kan endast lämnas ut om visselblåsaren ger sitt samtycke till det, om det krävs i straffrättsliga förfaranden eller om visselblåsaren gör en falsk anmälan i syfte att orsaka olägenhet.
Personuppgifter lämnas ut till tredje part, såsom myndigheter eller externa revisorer, i den utsträckning som tillåts och krävs enligt gällande lagstiftning. Detta kan ske till exempel när myndigheterna besvarar begäran om information eller när det krävs enligt personuppgiftsansvariges berättigade intresse, till exempel i samband med en brottsanmälan, förundersökning eller domstolsbehandling.
Tjänsteleverantören av det tekniska systemet för den etiska kanalen är Centralhandelskammaren. Tjänsteleverantören behandlar personuppgifter som den personuppgiftsansvarige ansvarar för i enlighet med ett databehandlingsavtal i enlighet med tillämplig dataskyddslagstiftning och i enlighet med den personuppgiftsansvariges dokumenterade anvisningar.
Personuppgifter överförs inte utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet.
7. Lagringstid för personuppgifter
Den personuppgiftsansvarige ska radera uppgifter som kommer via rapporteringskanalerna fem år efter att anmälan mottagits, såvida det inte är nödvändigt att lagra dem för att tillgodose och fullgöra de rättigheter eller skyldigheter som föreskrivs i visselblåsarlagen eller annan lag eller för att fastställa, göra gällande eller försvara rättsliga anspråk. Personuppgifter som uppenbart inte har betydelse för behandlingen av en anmälan ska raderas utan onödigt dröjsmål.
8. Skydd av personuppgifter och datasäkerhet
Tillgång till personuppgiftsregistret har endast beviljats sådana företrädare för personuppgiftsansvarige som är bundna av tystnadsplikt och som med tanke på skötseln av sina arbetsuppgifter har ett grundat behov av att behandla personuppgiftsregistrets datainnehåll.
Den personuppgiftsansvarige har gett sina anställda och tjänsteleverantörer bindande skriftliga anvisningar och bestämmelser om behandling av personuppgifter och dataskydd, som dessa har förbundit sig att följa.
Informationssystemens datasäkerhet har ordnats på ett vederbörligt sätt, bland annat med kryptering och tekniska begränsningar.
Den personuppgiftsansvarige granskar regelbundet sin behandling av personuppgifter och de system och den utrustning som används i detta sammanhang och bedömer bland annat de risker som ingår i behandlingen av personuppgifter, till exempel när ny teknik tas i bruk.
9. Automatiskt behandling av personuppgifter och profilering
Den personuppgiftsansvarige använder inte automatiskt beslutsfattande, såsom automatisk profilering, som en del av behandlingen av personuppgifter.
10. Den registrerades rättigheter
Den registrerades rättigheter anges i EU:s allmänna dataskyddsförordning.
| Rättighet | Beskrivning |
| Rätt att få tillgång till personuppgifter | Den registrerade har rätt att av den personuppgiftsansvarige få en bekräftelse på att personuppgifter som rör honom eller henne behandlas eller inte behandlas. Om personuppgifter behandlas har berörda person rätt att få tillgång till uppgifterna. Rätten att få tillgång till personuppgifter får dock inte på ett oskäligt sätt påverka andras rättigheter och friheter negativt. Dessutom kan rätten att få tillgång till personuppgifter begränsas i fråga om personuppgifter som anmälts med stöd av visselblåsarlagen, om det är nödvändigt och proportionerligt för att säkerställa att anmälan är korrekt eller för att skydda visselblåsarens identitet. |
| Rätt att kräva rättelse, radering eller begränsning av behandlingen av en uppgift | Den registrerade har rätt att begära att den personuppgiftsansvarige rättar felaktiga uppgifter som gäller honom eller henne samt raderar vissa personuppgifter som gäller honom eller henne på grunder som föreskrivs i lag. Den registrerades rätt till att få uppgifter raderade gäller inte sådana uppgifter vars behandling är nödvändig för att uppfylla ett lagstadgat krav eller för att upprätta, framlägga eller försvara ett rättsligt anspråk. Vissa personuppgifter som behandlas av den personuppgiftsansvarige omfattas av en lagstadgad lagringsskyldighet, och den personuppgiftsansvarige kan därför inte radera sådana uppgifter innan den lagstadgade lagringstiden upphör. Rätten till begränsning av behandlingen tillämpas inte på behandling av personuppgifter som avses i visselblåsarlagen. |
| Rätt att göra invändningar | Av skäl som hänför sig till den registrerades specifika situation har den registrerade rätt att göra invändningar mot behandlingen av sina personuppgifter då den personuppgiftsansvarige behandlar personuppgifterna i enlighet med ett berättigat intresse. |
| Rätt att lämna in klagomål till en tillsynsmyndighet | Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, har den registrerade som anser att behandlingen av personuppgifter som avser henne eller honom strider mot dataskyddsförordningen rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks. I Finland är tillsynsmyndigheten Dataombudsmannens byrå, vars kontaktuppgifter och anvisningar finns på adressen www.tietosuoja.fi. |
Utövande av rättigheter
Den registrerade kan utöva sina rättigheter genom att kontakta den personuppgiftsansvariges företrädare via de kontaktuppgifter som anges i punkt 1. Den personuppgiftsansvarige strävar efter att besvara begäran så snabbt som möjligt och vid behov ge ytterligare anvisningar eller ställa ytterligare frågor till följd av begäran.
Innan en begäran verkställs har den personuppgiftsansvarige rätt och skyldighet att kontrollera identiteten på den person som ställer begäran, och därför ska den personuppgiftsansvarige kunna identifiera den som ställer begäran på ett tillräckligt sätt.
Om begäran är uppenbart ogrundad eller oskälig kan den personuppgiftsansvarige antingen ta ut en skälig avgift baserad på administrativa kostnader för att utföra den begärda åtgärden eller vägra att utföra den begärda åtgärden.
11. Läs vidare här
Du kan begära mer information om behandling av personuppgifter genom att kontakta oss via kontaktuppgifterna som anges i punkt 1 i denna dataskyddsbeskrivning. Den personuppgiftsansvarige kan tidvis uppdatera denna dataskyddsbeskrivning.