Dataskydd
Dataskyddsbeskrivning för kund- och intressentregistret
Senast uppdaterad 16.5.2024
1. Personuppgiftsansvarig
GRK Infra Abp (FO-nummer 0533768-1)
Adress: Jaakkogatan 2, 01620 Vanda
Telefon: +358 10 321 4110
E-postadress: tietosuoja@grk.fi
2. Registrets namn
Kund- och intressentregister.
3. Syfte med och rättsliga grunder för behandling av personuppgifter
Denna dataskyddsbeskrivning gäller för alla GRK-koncernens bolag: GRK Infra Oyj, GRK Suomi Oy, GRK Sverige AB och GRK Eesti AS (nedan ”personuppgiftsansvarig” eller ”GRK”).
Den personuppgiftsansvarige behandlar de registrerades personuppgifter i enlighet med tillämplig dataskyddslagstiftning, inklusive EU:s allmänna dataskyddsförordning (2016/679) samt nationell dataskyddslagstiftning.
Den personuppgiftsansvarige behandlar personuppgifter om företrädare för organisationskunder och om konsumentkunder och till vilket det som rättslig grund enligt artikel 6 i EU:s allmänna dataskyddsförordning (2016/679) hör:
- Fullgörande av lagstadgad skyldighet, till exempel att följa den redovisnings- och skattelagstiftning som ska tillämpas på respektive koncernbolag.
- Den registrerades samtycke när personuppgifter behandlas, till exempel för att ordna servering.
- Vidtagande av åtgärder som föregår avtalet med den personuppgiftsansvarige på begäran av den registrerade (t.ex. behandling av den registrerades förfrågningar, anbudsinfordringar och beställningar) samt fullgörande av avtalet mellan den registrerade och den personuppgiftsansvarige.
- Den personuppgiftsansvariges berättigade intresse när det mellan den registrerade och den personuppgiftsansvarige föreligger en saklig koppling. En sådan saklig koppling uppstår bland annat när den registrerade på eget initiativ är i kontakt med den personuppgiftsansvarige eller när den personuppgiftsansvarige behandlar den registrerades personuppgifter till exempel i samband med affärs- eller samarbetsverksamhet mellan den registrerades arbetsgivare och den personuppgiftsansvarige. Dessutom kan den personuppgiftsansvarige i enlighet med berättigat intresse registrera i kundregistret uppgifter om sådana potentiella kunder och deras kontaktpersoner och företrädare, som den personuppgiftsansvarige rimligen kan förvänta sig vara intresserade av att förvärva tjänster eller produkter som den personuppgiftsansvarige erbjuder.
Den personuppgiftsansvarige behandlar personuppgifter i följande syften:
- Skapande, skötsel, upprätthållande och utveckling av kundrelationer, kundservice och annan relation som gäller samarbete.
- Tillgodoseende av rättigheter och skyldigheter som gäller kunden eller en leverantör som hör till en annan intressentgrupp samt personuppgiftsansvarige.
- Kundkommunikation.
- Upptäckande, förebyggande och utredning av missbruk och brott.
- Behandling av personuppgifter i syften som rör den personuppgiftsansvariges produkter och tjänster, såsom utveckling, tillhandahållande, leverans och marknadsföring av produkter och tjänster.
Den registrerade är inte i sig tvungen att lämna sina personuppgifter till den personuppgiftsansvarige, även om underlåtenhet att lämna personuppgifter kan försvåra det ovan nämnda förhållandet mellan den personuppgiftsansvarige och den ovan beskrivna leverantör som den registrerade företräder.
4. Kategorier av personuppgifter som behandlas
Registret innehåller uppgifter om följande personer:
- Den personuppgiftsansvariges kunder och potentiella kunder samt deras företrädare och kontaktpersoner. Den personuppgiftsansvariges kunder är både organisationer och privatpersoner.
- Andra personer som tillhör intressentgrupper.
De personuppgifter som behandlas är:
- Namn
- E-postadress
- Telefonnummer
- Företagets namn, FO-nummer, kontaktperson och befattning
- Beställningsuppgifter, avtals- och offertuppgifter, faktura- och betalningsuppgifter
- Kundåterkoppling och kontaktuppgifter
- Uppgifter baserade på kund- och samarbetsrelationen, såsom kontakthistorik, återkoppling och uppföljningsuppgifter
- Tilläggsuppgifter som den registrerade själv lämnat
Den personuppgiftsansvarige behandlar i princip inte känsliga personuppgifter som till exempel avslöjar uppgifter om den registrerades ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelser eller fackföreningsmedlemskap, eller som rör den registrerades hälsa, sexualliv eller sexuella läggning (artikel 9 i EU:s allmänna dataskyddsförordning). Som undantag till detta kan den personuppgiftsansvarige enligt den registrerades uttryckliga samtycke samla in och behandla uppgifter om den registrerades livsmedelsallergier i samband med anmälan till ett evenemang. Uppgifterna som samlats in om livsmedelsallergier kan ge en antydan om den registrerades hälsouppgifter eller religiösa övertygelse. Det är nödvändigt att behandla uppgifter om livsmedelsallergier för att kunna erbjuda evenemangsdeltagarna säker och lämplig mat och dryck.
5. Ordinarie informationskällor
Personuppgifter samlas i huvudsak in direkt av den registrerade själv när denne är i kontakt med den personuppgiftsansvarige, skickar kontaktförfrågningar, ingår avtal, är personligen eller i samband med en annan samarbetsrelation i kontakt elektroniskt eller per telefon.
Uppgifter kan också erhållas från offentliga/allmänt tillgängliga källor (t.ex. företags webbplatser, sociala medier och handelsregister) eller av en representant för den registrerades arbetsgivare eller annan part som har ett kund-, affärs-, samarbets- eller avtalsförhållande med den registeransvarige.
Dessutom kontrolleras företagsuppgifter i samband med affärsverksamhet i Suomen Asiakastieto Oy:s eller motsvarande register. Rapporterna kan också innehålla uppgifter om företagens representanter.
6. Utlämnande och överföring av personuppgifter
I samband med det tekniska genomförandet av sina tjänster använder den personuppgiftsansvarige betrodda tjänsteleverantörer. Dessa behandlar personuppgifter för den personuppgiftsansvariges räkning med stöd av ett databehandlingsavtal som enligt tillämplig dataskyddslagstiftning ingåtts mellan den personuppgiftsansvarige och respektive tjänsteleverantör. Tjänsteleverantörerna behandlar personuppgifterna som den personuppgiftsansvarige ansvarar för i enlighet med databehandlingsavtalet och den personuppgiftsansvariges dokumenterade anvisningar.
Från fall till fall enligt separat överenskommelse med den registrerade kan den personuppgiftsansvarige även lämna ut personuppgifter till en annan personuppgiftsansvarig eller tredje part. Personuppgifter kan också lämnas ut om myndigheterna i enlighet med lagen kräver det eller om det krävs enligt tvingande lagstiftning.
Om förutsättningarna i dataskyddslagstiftningen uppfylls kan den registrerades kontaktuppgifter dessutom i enskilda fall lämnas ut till den personuppgiftsansvariges samarbetspartner, till exempel när den personuppgiftsansvarige ordnar ett gemensamt kundevenemang eller utbildning tillsammans med en samarbetspartner. Nämnda samarbetspartner ansvarar för sin del för behandlingen av personuppgifterna.
Personuppgifter kan överföras och behandlas genom försorg av bolag som ingår i samma koncern som den personuppgiftsansvarige till följd av berättigat intresse och interna administrativa skäl såsom till exempel i samband med försäljning, marknadsföring och fakturering samt intern rapportering och affärsutveckling.
Personuppgifter överförs i princip inte utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. Personuppgifter kan dock överföras utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet om det är nödvändigt för att man ska kunna använda och underhålla informationssystem. Eventuell överföring av personuppgifter sker alltid i enlighet med gällande dataskyddslagstiftning.
7. Lagringstid för personuppgifter
Den personuppgiftsansvarige behandlar och lagrar uppgifterna endast så länge som en lagstadgad skyldighet kräver eller så länge som det är nödvändigt för det ändamål som på förhand fastställts för personuppgifterna. Till exempel förutsätter bokföringslagen att verifikat lagras i 6 år. Personuppgifter som blivit onödiga och som den personuppgiftsansvarige inte längre har någon grund för eller skyldighet att lagra eller behandla raderas regelbundet i enlighet med den personuppgiftsansvariges egen dataskyddspraxis. Den personuppgiftsansvarige kan också behandla personuppgifterna så länge det är nödvändigt för att uppgöra, framställa eller försvara rättsliga anspråk.
8. Skydd av personuppgifter och datasäkerhet
Tillgång till personuppgiftsregistret har endast beviljats sådana företrädare för personuppgiftsansvarige som är bundna av tystnadsplikt och som med tanke på skötseln av sina arbetsuppgifter har ett grundat behov av att behandla personuppgiftsregistrets datainnehåll.
Den personuppgiftsansvarige har gett sina anställda och tjänsteleverantörer bindande skriftliga anvisningar och bestämmelser om behandling av personuppgifter och dataskydd, som dessa har förbundit sig att följa.
Informationssystemens datasäkerhet har ordnats på ett vederbörligt sätt, bland annat med kryptering och tekniska begränsningar.
Den personuppgiftsansvarige granskar regelbundet sin behandling av personuppgifter och de system och den utrustning som används i detta sammanhang och bedömer bland annat de risker som ingår i behandlingen av personuppgifter, till exempel när ny teknik tas i bruk.
9. Automatiskt behandling av personuppgifter och profilering
Den personuppgiftsansvarige använder inte automatiskt beslutsfattande, såsom automatisk profilering, som en del av behandlingen av personuppgifter.
10. Den registrerades rättigheter
Den registrerades rättigheter anges i EU:s allmänna dataskyddsförordning.
| Rättighet | Beskrivning |
| Rätt att få tillgång till personuppgifter | Den registrerade har rätt att av den personuppgiftsansvarige få en bekräftelse på att personuppgifter som rör honom eller henne behandlas eller inte behandlas. Om personuppgifter behandlas har berörda person rätt att få tillgång till uppgifterna. |
| Rätt att kräva rättelse, radering eller begränsning av behandlingen av en uppgift | Den registrerade har rätt att begära att den personuppgiftsansvarige rättar felaktiga uppgifter om den registrerade eller raderar vissa personuppgifter som rör den registrerade eller att behandlingen begränsas på grunder som föreskrivs i lag. Den registrerades rätt till att få uppgifter raderade gäller inte sådana uppgifter vars behandling är nödvändig för att uppfylla ett lagstadgat krav eller för att upprätta, framlägga eller försvara ett rättsligt anspråk. Vissa personuppgifter som behandlas av den personuppgiftsansvarige omfattas av en lagstadgad lagringsskyldighet, och den personuppgiftsansvarige kan därför inte radera sådana uppgifter innan den lagstadgade lagringstiden upphör. |
| Rätt att göra invändningar | Av skäl som hänför sig till den registrerades specifika situation har den registrerade rätt att göra invändningar mot behandlingen av sina personuppgifter då den personuppgiftsansvarige behandlar personuppgifterna i enlighet med ett berättigat intresse. |
| Rätt att flytta uppgifterna mellan system | Den registrerade har rätt att få de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i en allmänt använd och maskinellt läsbar form, och rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om behandlingen grundar sig på samtycke eller avtal och utförs automatiskt. Den registrerade har rätt att få personuppgifterna överförda direkt från en personuppgiftsansvarig till en annan, om det är tekniskt möjligt. |
| Rätt att lämna in klagomål till en tillsynsmyndighet | Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, har den registrerade som anser att behandlingen av personuppgifter som avser henne eller honom strider mot dataskyddsförordningen rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks. I Finland är tillsynsmyndigheten Dataombudsmannens byrå, vars kontaktuppgifter och anvisningar finns på adressen www.tietosuoja.fi. |
Utövande av rättigheter
Den registrerade kan utöva sina rättigheter genom att kontakta den personuppgiftsansvariges företrädare via de kontaktuppgifter som anges i punkt 1. Den personuppgiftsansvarige strävar efter att besvara begäran så snabbt som möjligt och vid behov ge ytterligare anvisningar eller ställa ytterligare frågor till följd av begäran.
Innan en begäran verkställs har den personuppgiftsansvarige rätt och skyldighet att kontrollera identiteten på den person som ställer begäran, och därför ska den personuppgiftsansvarige kunna identifiera den som ställer begäran på ett tillräckligt sätt.
Om begäran är uppenbart ogrundad eller oskälig kan den personuppgiftsansvarige antingen ta ut en skälig avgift baserad på administrativa kostnader för att utföra den begärda åtgärden eller vägra att utföra den begärda åtgärden.
11. Läs vidare här
Du kan begära mer information om behandling av personuppgifter genom att kontakta oss via kontaktuppgifterna som anges i punkt 1 i denna dataskyddsbeskrivning. Den personuppgiftsansvarige kan tidvis uppdatera denna dataskyddsbeskrivning.