Dataskydd
Dataskyddsbeskrivning för registret över underleverantörer och samarbetspartner
Senast uppdaterad 16.5.2024
1. Personuppgiftsansvarig
GRK Infra Abp (FO-nummer 0533768-1)
Adress: Jaakkogatan 2, 01620 Vanda
Telefon: +358 10 321 4110
E-postadress: tietosuoja@grk.fi
2. Registrets namn
Register över underleverantörer och samarbetspartner
3. Syfte med och rättsliga grunder för behandling av personuppgifter
Denna dataskyddsbeskrivning gäller för alla GRK-koncernbolag, GRK Infra Oyj, GRK Suomi Oy, GRK Sverige AB och GRK Eesti AS (nedan ”personuppgiftsansvarig” eller ”GRK”).
Den personuppgiftsansvarige behandlar de registrerades personuppgifter i enlighet med tillämplig dataskyddslagstiftning, inklusive EU:s allmänna dataskyddsförordning (2016/679) samt nationell dataskyddslagstiftning.
Syftet med behandlingen av personuppgifter är följande:
- Vidtagande av åtgärder som gäller val, utvärdering och upphandling av underleverantörer och leverantörer, ingående och förvaltning av avtal, övervakning av korrekt fakturering och upprätthållande av samarbetsrelationer.
- Planering, resursfördelning, koordinering, genomförande och kvalitetssäkring av samarbete och projekt.
- Säkerställande av arbetssäkerheten samt säkerheten och effektiviteten på arbetsplatserna
- Hantering av arbetstagares tillträdesrättigheter och tillstånd på byggarbetsplatser.
- Iakttagande av personuppgiftsansvariges och personuppgiftsansvariges kunds krav.
- Behandling av personuppgifter om användare av mobilapplikationer som tillhandahålls av den personuppgiftsansvarige; personuppgifter samlas in i registret för att arbetsprestationer och körprestationer ska kunna inriktas på rätt personer enligt lön eller faktureringsgrund.
- Övervakning av användningen av GRK:s tillgångar.
- Fullgörande av personuppgiftsansvariges lagstadgade skyldigheter, såsom iakttagande av skyldigheterna som anges i arbetarskyddslagen, lagen om beskattningsförfarande, lagen om skattenummer och skattenummerregistret för byggbranschen samt lagen om beställarens utredningsskyldighet och ansvar vid anlitande av utomstående arbetskraft och bokföringslagstiftningen.
Rättsliga grunder för behandlingen av personuppgifter är följande:
- Den personuppgiftsansvariges rättsliga förpliktelser utgör grunden för behandlingen av personuppgifter när den personuppgiftsansvarige behöver behandla den registrerades personuppgifter för att fullgöra den skyldighet som föreskrivs i lagen om den personuppgiftsansvarige. Till exempel enligt 52 b § i arbetarskyddslagen ska huvudentreprenören eller någon annan huvudsaklig genomförare av byggprojektet för säkerställandet av arbetarskyddet och övervakningen av skyldigheterna enligt denna lag föra en uppdaterad förteckning över de arbetstagare och egenföretagare som arbetar på en gemensam byggarbetsplats.
- Avtalet utgör grunden för behandling av personuppgifter när den personuppgiftsansvarige behöver behandla personuppgifter för att fullgöra avtalet mellan den personuppgiftsansvarige och den registrerade eller för att vidta åtgärder på begäran av den registrerade innan avtalet ingås. En sådan situation föreligger till exempel när den personuppgiftsansvarige tecknar ett avtal med en företagare (enskild näringsidkare) för att skaffa tjänster av denna.
- Den personuppgiftsansvariges berättigade intresse utgör grunden för behandlingen av personuppgifter när det finns en saklig koppling mellan den registrerade och den personuppgiftsansvarige. En sådan saklig koppling uppstår bland annat när den registrerade på eget initiativ är i kontakt med den personuppgiftsansvarige eller när den personuppgiftsansvarige behandlar den registrerades personuppgifter till exempel i samband med affärs- eller samarbetsverksamhet mellan den registrerades arbetsgivare och den personuppgiftsansvarige.
Lämnande och behandling av den registrerades personuppgifter är nödvändigt för att fullgöra skyldigheter som grundar sig på avtal mellan den personuppgiftsansvarige och den registrerade samt på lagstiftning. Om den registrerades nödvändiga personuppgifter inte kunde behandlas, skulle det inte vara möjligt för den registrerade att arbeta på den personuppgiftsansvariges arbetsplatser eller samarbeta med den personuppgiftsansvarige.
4. Kategorier av personuppgifter som behandlas
Registret innehåller uppgifter om följande personer:
- Underleverantörer och leverantörer samt deras representanter och anställda
- Övriga samarbetspartner och deras representanter och anställda
- Konsulter, firmaföretagare (enskilda näringsidkare)
- Personuppgiftsansvariges egen personal som arbetar på arbetsplatser
Följande uppgifter om den registrerade som är nödvändiga för vart och ett av ovan nämnda ändamål behandlas, såsom:
- Namn
- Födelsedatum
- Telefonnummer
- E-postadress
- Adress
- Uppgifter om samarbetsförhållandet: anställnings- och uppdragsförhållandets natur
- Närvaroinformation på arbetsplatsen
- Övriga identifieringsuppgifter (till exempel FO-nummer eller skattenummer för personer som arbetar med skattekort)
- Utbildningsbakgrund och arbetshistorik, kompetenser
- Arbetets start- och slutdatum
- Arbetsgivarens uppgifter, namn och FO-nummer eller motsvarande utländskt ID
- Introduktion
- Uppgifter om arbetsgivarens hemland
- Uppgifter om arbete och vistelse i Finland samt om försäkring
Den gemensamma byggarbetsplatsens huvudentreprenör eller annan huvudsaklig genomförare ska varje månad till Skatteförvaltningen lämna dessa uppgifter för skattekontroll om arbetstagare och egenföretagare som arbetar på den gemensamma byggarbetsplatsen samt om arbetsgivare och hyrda arbetstagare.
Uppgifter som behandlas i samband med användning av mobilappar
- Namn
- E-postadress
- Skattenummer
- Gatuadress
- Telefonnummer
- Fordonets registreringsnummer
- Arbetstidsposter
- Tids- och platsuppgifter för körning av laster
- Platsinformation
5. Ordinarie informationskällor
Personuppgifterna har i regel erhållits från följande informationskällor:
- Av den registrerade själv
- Av den registrerades arbetsgivare
- Myndigheter och offentliga register, såsom Patent- och registerstyrelsens Företags- och organisationsdatasystem
6. Utlämnande och överföring av personuppgifter
Den personuppgiftsansvarige lämnar ut personuppgifter till skattemyndigheten för att fullgöra sina lagstadgade skyldigheter gällande beskattning.
I samband med anbudsförfaranden utlämnar personuppgiftsansvarige till sina kunder nödvändiga personuppgifter om sina egna och sina underleverantörers personalmedlemmar som har utsetts till utförare av arbetet i anbudet. Sådana uppgifter som behandlas för att uppfylla kundens krav är till exempel CV-, arbetshistorik- och kompetensuppgifter som bifogas anbudet.
Den externa revisorn som granskar den personuppgiftsansvariges verksamhet kan också behandla personuppgifter i samband med granskningen.
Personuppgifter kan överföras och behandlas genom försorg av bolag som ingår i samma koncern som den personuppgiftsansvarige till följd av berättigat intresse och interna administrativa skäl såsom till exempel i samband med försäljning, marknadsföring och fakturering samt intern rapportering och affärsutveckling.
I samband med det tekniska genomförandet av sina tjänster använder den personuppgiftsansvarige betrodda tjänsteleverantörer. Dessa behandlar personuppgifter för den personuppgiftsansvariges räkning med stöd av ett databehandlingsavtal som enligt tillämplig dataskyddslagstiftning ingåtts mellan den personuppgiftsansvarige och respektive tjänsteleverantör. Tjänsteleverantörerna behandlar personuppgifterna som den personuppgiftsansvarige ansvarar för i enlighet med databehandlingsavtalet och den personuppgiftsansvariges dokumenterade anvisningar.
Den personuppgiftsansvarige använder Zeroni-tjänsten för administrationen av personer som arbetar på arbetsplatsen.
Personuppgifter kan överföras utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet i enlighet med dataskyddslagstiftningen och inom dess ramar. Den personuppgiftsansvarige säkerställer en tillräcklig dataskyddsnivå i enlighet med kraven i tillämplig dataskyddslagstiftning, även i situationer där personuppgifter överförs utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet genom att följa likvärdighetsbeslut som utfärdats av Europeiska kommissionen och vid behov genom att använda modeller för avtalsklausuler som godkänts av Europeiska kommissionen tillsammans med nödvändiga kompletterande skyddsåtgärder för överföringar av personuppgifter.
7. Lagringstid för personuppgifter
Den personuppgiftsansvarige behandlar personuppgifter i regel under den tid samarbetsförhållandet varar.
Den personuppgiftsansvarige behandlar och lagrar uppgifterna endast så länge som en lagstadgad skyldighet kräver eller så länge som det är nödvändigt för det ändamål som på förhand fastställts för personuppgifterna. Till exempel ska en förteckning över personer som arbetar på en gemensam byggarbetsplats lagras i sex år efter utgången av det år då arbetsplatsen stod färdig. Personuppgifter som blivit onödiga och som den personuppgiftsansvarige inte längre har någon grund för eller skyldighet att lagra eller behandla raderas regelbundet i enlighet med den personuppgiftsansvariges egen dataskyddspraxis. Den personuppgiftsansvarige kan också behandla personuppgifterna så länge det är nödvändigt för att uppgöra, framställa eller försvara rättsliga anspråk.
Zeroni-tjänsten registrerar och lagrar uppgifter som den personuppgiftsansvarige har lämnat via Zeroni-tjänsten eller på annat sätt angett i Zeroni-tjänsten så länge som den personuppgiftsansvarige är registrerad i Zeroni-tjänsten. Efter att personuppgiftsansvarige slutat använda Zeroni-tjänsten sparas personuppgifterna av Zeroni-tjänsteleverantören i fem år i syfte att Zeroni-tjänsteleverantören ska kunna besvara eventuella frågor/förfrågningar om den personuppgiftsansvariges uppgifter inom ramen för registrets användningsändamål. Därefter raderas den personuppgiftsansvariges personuppgifter från Zeroni-tjänsteleverantörens datasystem, med undantag för de uppgifter som enligt lag ska lagras. Den personuppgiftsansvariges registeruppgifter publiceras i Zeroni-tjänsten och överlämnas till användare av Zeroni-tjänsten.
8. Skydd av personuppgifter och datasäkerhet
Tillgång till personuppgiftsregistret har endast beviljats sådana företrädare för personuppgiftsansvarige som är bundna av tystnadsplikt och som med tanke på skötseln av sina arbetsuppgifter har ett grundat behov av att behandla personuppgiftsregistrets datainnehåll.
Den personuppgiftsansvarige har gett sina anställda och tjänsteleverantörer bindande skriftliga anvisningar och bestämmelser om behandling av personuppgifter och dataskydd, som dessa har förbundit sig att följa.
Informationssystemens datasäkerhet har ordnats på ett vederbörligt sätt, bland annat med kryptering och tekniska begränsningar.
Den personuppgiftsansvarige granskar regelbundet sin behandling av personuppgifter och de system och den utrustning som används i detta sammanhang och bedömer bland annat de risker som ingår i behandlingen av personuppgifter, till exempel när ny teknik tas i bruk.
9. Automatiskt behandling av personuppgifter och profilering
Den personuppgiftsansvarige använder inte automatiskt beslutsfattande, såsom automatisk profilering, som en del av behandlingen av personuppgifter.
10. Den registrerades rättigheter
Den registrerades rättigheter anges i EU:s allmänna dataskyddsförordning.
| Rättighet | Beskrivning |
| Rätt att få tillgång till personuppgifter | Den registrerade har rätt att av den personuppgiftsansvarige få en bekräftelse på att personuppgifter som rör honom eller henne behandlas eller inte behandlas. Om personuppgifter behandlas har berörda person rätt att få tillgång till uppgifterna. |
| Rätt att kräva rättelse, radering eller begränsning av behandlingen av en uppgift | Den registrerade har rätt att begära att den personuppgiftsansvarige rättar felaktiga uppgifter om den registrerade eller raderar vissa personuppgifter som rör den registrerade eller att behandlingen begränsas på grunder som föreskrivs i lag. Den registrerades rätt till att få uppgifter raderade gäller inte sådana uppgifter vars behandling är nödvändig för att uppfylla ett lagstadgat krav eller för att upprätta, framlägga eller försvara ett rättsligt anspråk. Vissa personuppgifter som behandlas av den personuppgiftsansvarige omfattas av en lagstadgad lagringsskyldighet, och den personuppgiftsansvarige kan därför inte radera sådana uppgifter innan den lagstadgade lagringstiden upphör. |
| Rätt att göra invändningar | Den registrerade har rätt att invända mot behandlingen av sina personuppgifter i anknytning till sin särskilda situation när den personuppgiftsansvarige behandlar personuppgifter enligt ett berättigat intresse. |
| Rätt att flytta uppgifterna mellan system | Den registrerade har rätt att få de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i en allmänt använd och maskinellt läsbar form, och rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om behandlingen grundar sig på samtycke eller avtal och utförs automatiskt. Den registrerade har rätt att få personuppgifterna överförda direkt från en personuppgiftsansvarig till en annan, om det är tekniskt möjligt. |
| Rätt att återkalla samtycke | När den registrerades personuppgifter behandlas i överensstämmelse med hens samtycke har den registrerade rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket påverkar inte lagligheten av behandling av personuppgifter som skedde med samtycket före återkallandet. |
| Rätt att lämna in klagomål till en tillsynsmyndighet | Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, har den registrerade som anser att behandlingen av personuppgifter som avser henne eller honom strider mot dataskyddsförordningen rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks. I Finland är tillsynsmyndigheten Dataombudsmannens byrå, vars kontaktuppgifter och anvisningar finns på adressen www.tietosuoja.fi. |
Utövande av rättigheter
Den registrerade kan utöva sina rättigheter genom att kontakta den personuppgiftsansvariges företrädare via de kontaktuppgifter som anges i punkt 1. Den personuppgiftsansvarige strävar efter att besvara begäran så snabbt som möjligt och vid behov ge ytterligare anvisningar eller ställa ytterligare frågor till följd av begäran.
Innan en begäran verkställs har den personuppgiftsansvarige rätt och skyldighet att kontrollera identiteten på den person som ställer begäran, och därför ska den personuppgiftsansvarige kunna identifiera den som ställer begäran på ett tillräckligt sätt.
Om begäran är uppenbart ogrundad eller oskälig kan den personuppgiftsansvarige antingen ta ut en skälig avgift baserad på administrativa kostnader för att utföra den begärda åtgärden eller vägra att utföra den begärda åtgärden.
11. Läs vidare här
Du kan begära mer information om behandling av personuppgifter genom att kontakta oss via kontaktuppgifterna som anges i punkt 1 i denna dataskyddsbeskrivning. Den personuppgiftsansvarige kan tidvis uppdatera denna dataskyddsbeskrivning.