1. Inledande information
Denna informationsskrift om Veidekke Entreprenad AB:s, org.nr. 556508–6583, (”Veidekke”) behandling av personuppgifter tar du del för att:
i) du har ett användarkonto på Veidekkes leverantörsportal (”Portalen”),
ii) dina personuppgifter har lämnats av en användare av Portalen, eller
iii) Veidekke har inhämtat dina personuppgifter i samband med att Veidekke har lagt till eller uppdaterat information om din arbetsgivare/ditt företag i egenskap av en potentiell samarbetspartner, underentreprenör eller leverantör (gemensamt ”Leverantörer”) i Veidekkes leverantörsregister (”Leverantörsregistret”).
Denna informationsskrift om behandling av personuppgifter (”Informationsskriften”) syftar till att på ett tydligt sätt informera om vilken personlig information som Veidekke samlar in och behandlar, hur den behandlas, ändamålet med behandlingen, på vilken laglig grund behandlingen sker, vilka som får ta del av informationen och vilka rättigheter du och dina medarbetare har med anledning av behandlingen. Nedan följer även en redogörelse över de åtgärder som vidtas för att skydda personuppgifter och hur ni kontaktar oss om ni har några frågor om vår behandling av personuppgifter.
Din och dina medarbetares integritet är viktig för oss på Veidekke och du ska alltid känna dig trygg när du lämnar eller får information om att annan har lämnat personuppgifter till oss. Veidekke kommer alltid följa gällande lag om hur personuppgifter får behandlas, däribland EU:s allmänna dataskyddsförordning 2016/679 (förkortad titel, härefter ”GDPR”), dataskyddslagen och annan tillämplig lag.
Du kan när som helst kontakta oss med frågor avseende vår hantering av personuppgifter (se kontaktuppgifter i punkt 10).
2. Allmänna utgångspunkter
2.1 Portalen
IT-systemet och Portalen tillhandahålls av Veidekkes underleverantör Primona AB, org. nr. 556583-2374 (”Primona”), och i samband med registreringen av användarkontot på Portalen har användaren fått del av de användarvillkor som Primona uppställer för användandet av Primonas tjänst. Med hänsyn till Veidekkes potentiella behandling av personuppgifter vill vi även informera om Veidekkes personuppgiftsansvar och behandling inom ramen för Portalen.
Veidekke behandlar personuppgifter i ett antal avseenden inom ramen för användandet av Portalen.
Portalen har som syfte att möjliggöra och identifiera potentiella samarbeten avseende framtida avtal och projekt mellan Veidekke och användare av Portalen. Genom de uppgifter en användare registrerar om sin arbetsgivare/sitt företag på användarkontot i Portalen kan Veidekke komma att behandla personuppgifter inom ramen för användningen av Portalen.
Veidekke behandlar personuppgifter som en användare registrerar på sitt användarkonto i Portalen eller som användaren lämnar i samband med att hen lämnar anbud, sätter upp en bevakning eller vidtar en annan åtgärd i Portalen.
Det är användaren som anger vilka personuppgifter som ska finnas i Portalen.
2.2 Leverantörsregistret
Leverantörsregistret har som syfte att möjliggöra för Veidekke att enkelt identifiera och kvalificera Leverantörer för framtida avtal och projekt.
För att lägga in eller uppdatera information om en potentiell Leverantör i Leverantörsregistret har Veidekke hämtat uppgifter från dels tredje parter, dels från Leverantörens hemsida eller annat material distribuerat av Leverantören. Genom inhämtandet av uppgifterna har Veidekke erhållit uppgifter om enskilda personer och har lagt in dem som kontaktpersoner för Leverantören i Leverantörsregistret.
Om du har registrerats som en kontaktperson för en potentiell Leverantör i Leverantörsregistret och du anser att detta är felaktigt eller att någon annan bör vara angiven som kontaktperson i ditt ställe är du välkommen att kontakta Veidekke (se kontaktuppgifter i punkt 10). Det finns också möjlighet att skapa ett användarkonto i Portalen. Genom att skapa ett användarkonto i Portalen kan du själv redigera de uppgifter som Veidekke får del av samt få information om och delta i Veidekkes upphandlingar av Leverantörer.
2.3 Kvalitetssäkringsåtgärder genom Veidekkes Seriositetsgrupp
På Veidekke arbetar vi aktivt med kvalificering av Leverantörer. Vi har därför inrättat en seriositetsgrupp (”Seriositetsgruppen”) som har till uppgift att genom kvalitetssäkrande åtgärder granska en Leverantörs kvalifikationer – allt för att säkerställa att dessa uppfyller Veidekkes och/eller våra kunders och/eller samarbetspartners krav.
3. Information om personuppgiftsbehandlingsåtgärder
3.1 Personuppgiftsansvarig
Veidekke är personuppgiftsansvarig för de personuppgifter som Veidekke samlar in eller tar emot och behandlar om dig och dina medarbetare. Det innebär i korthet att det är Veidekke som bestämmer över behandlingen av personuppgifterna. Kontaktuppgifter till Veidekke finner du under punkten 10 nedan.
3.2 Personuppgifter som behandlas
Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
3.2.1 Portalen
Den information som samlas in och behandlas inom ramen för Portalen omfattar information som en användare lämnar. I Portalen förekommer således personuppgifter om användaren av Portalen samt om de medarbetare och kontaktpersoner som användaren lämnar uppgifter om.
Inom ramen för användandet av Portalen kan bland annat följande personuppgifter komma att behandlas:
(i) namn,
(ii) e-postadress,
(iii) telefonnummer,
(iv) arbetsgivare/företag,
(v) eventuell yrkesroll,
(vi) kreditupplysning om företaget och dess företrädare,
(vii) IP-adress
(viii) personnummer (behandlas endast i de fall Veidekke behöver behandla personnummer för att uppfylla våra ändamål, se särskilt härom avsnitt 3.4, eller då vi i övrigt måste säkerställa att vi interagerar med rätt person) och
(ix) andra personuppgifter som Veidekke fått från dig inom ramen för de olika funktionerna i Portalen.
3.2.2 Leverantörsregistret
Inom ramen för Leverantörsregistret förekommer företrädesvis personuppgifter rörande juridiska personer, men personuppgifter om fysiska personer kan även förekomma.
Den information som samlas in och behandlas om dig inom Leverantörsregistret omfattar sådan information som du antingen själv lämnar till Veidekke och sådan information som Veidekke erhåller från tredje part eller din arbetsgivare/ditt företag. Sådan information innefattar:
(i) namn,
(ii) e-postadress,
(iii) telefonnummer,
(iv) arbetsgivare/företag,
(x) kreditupplysning om företaget och dess företrädare,
(v) eventuell yrkesroll, samt
(xi) personnummer (behandlas endast i de fall Veidekke behöver behandla personnummer för att uppfylla våra ändamål, se särskilt härom avsnitt 3.3, eller då vi i övrigt måste säkerställa att vi interagerar med rätt person).
3.3 Kvalitetssäkringsåtgärder genom Veidekkes Seriositetsgrupp
Även om Seriositetsgruppens arbete främst innebär att personuppgifter om juridiska personer behandlas (liksom för Leverantörsregistret, se avsnitt 3.2.2 ovan) förekommer även behandling av sedvanliga personuppgifter.
3.3.1 Seriositetsgruppens personuppgiftsbehandling
I allmänhet behandlar Seriositetsgruppen de personuppgifter som anges ovan under avsnitt 3.2.2, det vill säga motsvarande de personuppgifter som förekommer i Leverantörsregistret.
Veidekke har genom Seriositetsgruppen som utgångspunkt inte för avsikt att behandla några särskilda kategorier av personuppgifter, så kallade känsliga personuppgifter, avseende samtliga sina Leverantör. Vissa av Seriositetsgruppens kvalitetssäkrande åtgärder, i form av granskning avseende såväl potentiella som i Leverantörsregistret förekommande Leverantörer, kan däremot medföra att särskilda kategorier av personuppgifter behandlas, då i form av uppgifter om fällande domar i brottmål respektive lagöverträdelser som innefattar brott, när så krävs. Sådana åtgärder vidtas för att säkerställa att den granskade Leverantören uppfyller Veidekkes och/eller våra kunders och/eller samarbetspartners krav.
3.4 Personuppgifter som inte är avsedda att behandlas i Portalen
Inom ramen för Portalen behandlar inte Veidekke några cookies. Förekommer eventuell hantering av sådana cookies sker detta utanför Veidekkes kontroll. En användare av Portalen är därför hänvisad till de villkor för cookies som gäller enligt Primonas användarvillkor i enlighet med ovan – se under avsnitt 2.1.
Härutöver har Användare av Portalen har ett ansvar att säkerställa att användare av Portalen inte själva registrerar känsliga personuppgifter i Portalen (såsom men inte begränsat till hälsouppgifter, uppgifter om sexuell läggning eller medlemskap i fackförening). Veidekke förbehåller sig rätten att vidta de nödvändiga åtgärder som står till buds enligt gällande lagstiftning vid missbruk som innebär här typen av personuppgiftsbehandling, däribland utkrävande av ansvar för den felaktiga behandlingen.
3.5 Ändamål och lagliga grunder
I nedanstående avsnitt redogörs Veidekkes ändamål och lagliga grunder för Veidekkes personuppgiftsbehandling i förhållande till Leverantörer.
3.5.1 Portalen
Det övergripande ändamålet med behandlingen av personuppgifterna i Portalen är att Veidekke ska ges möjlighet att kontakta och kommunicera med den berörda personen angående frågor som uppkommer inom ramen för Portalen, samt kunna bedöma och utvärdera inkomna anbud inom ramen för tjänsterna i Portalen.
Personuppgifterna kommer att behandlas av Veidekke baserat på att Veidekke efter genomförd avvägning kommit fram till att Veidekkes, liksom Veidekkes kunder och potentiella kunders, intresse av att behandla personuppgifterna väger tyngre än berörda personers intresse av att personuppgifterna inte behandlas, en så kallad intresseavvägning. Detta baserat på att Veidekke behöver behandla personuppgifterna för att kunna ha en ändamålsenlig och effektiv kommunikation med och hantering av potentiella och förekommande Leverantörer för att göra såväl effektivitets- som kvalitetsvinster.
Vid denna avvägning har Veidekke beaktat att det får antas att de personer vars personuppgifter lämnats i Portalen har till uppgift att vara kontaktperson och/eller förekomma i handlingar och underlag genom sina befattningar hos sin arbetsgivare/sitt företag har till uppgift att vara kontaktperson och/eller förekomma i de handlingar och underlag som har lämnats i Portalen.
3.5.2 Leverantörsregistret
Det övergripande ändamålet med behandlingen av personuppgifterna är att Veidekke ska ges möjlighet att kontakta den berörda personen med förfrågningar angående potentiella avtal och projekt där arbetsgivaren/företaget kan komma att vara Leverantör till Veidekke.
Personuppgifterna kommer att behandlas av Veidekke baserat på att Veidekke efter genomförd avvägning kommit fram till att Veidekkes, liksom Veidekkes kunder och potentiella kunders, intresse av att behandla personuppgifterna väger tyngre än berörda personers intresse av att personuppgifterna inte behandlas, en så kallad intresseavvägning. Detta baserat på att Veidekke behöver behandla personuppgifterna för att kunna ta fram och löpande administrera ett ändamålsenligt register över potentiella och förekommande Leverantörer för att säkerställa såväl effektivitets- som kvalitetsvinster.
Det får antas att personer som i information som Veidekke fått tillhanda från tredje part eller från personens arbetsgivares hemsida eller annat material distribuerat av arbetsgivaren om personens roll hos arbetsgivaren/företaget, är införstådd med att agera kontaktperson gentemot potentiella kunder.
3.5.3 Seriositetsgruppens arbete med kvalitetssäkrande åtgärder
Det övergripande ändamålet med behandlingen av personuppgifterna är att Veidekke ska få möjlighet att vidta en nödvändig kvalitetssäkring av potentiella Leverantörer eftersom vi ställer höga krav på våra Leverantörers kvalifikationer. Då även Veidekkes kunder ofta har långtgående krav på såväl Veidekke som de underentreprenörer vi i vår tur anlitar, där vi även gentemot slutkunden har ett ansvar för sistnämnda kategori, måste vi säkerställa att de krav som ställs efterlevs även i vårt Leverantörsled.
Personuppgifterna kommer att behandlas av Veidekke baserat på att Veidekke efter genomförd avvägning kommit fram till att Veidekkes, liksom Veidekkes kunder och potentiella kunders, intresse av att behandla personuppgifterna väger tyngre än berörda personers intresse av att personuppgifterna inte behandlas, en så kallad intresseavvägning. Detta baserat på att Veidekke behöver behandla personuppgifterna för att kunna ta fram och löpande administrera ett ändamålsenligt register över potentiella och förekommande Leverantörer för att säkerställa såväl effektivitets- som kvalitetsvinster samt fastställa, göra gällande eller försvara rättsliga anspråk.
I händelse av att särskilda kategorier av personuppgifter hanteras inom ramen för de kvalitetssäkringsåtgärder som vidtas sker det med stöd av att uppgifterna är nödvändiga för Veidekke för att fastställa, göra gällande eller försvara rättsliga anspråk, alternativt, för att uppfylla en rättslig förpliktelse när en sådan skyldighet föreligger.
3.5.4 Kreditupplysningar i Portalen respektive Leverantörsregistret
Veidekke har inom ramen för såväl Portalen som Leverantörsregistret möjlighet att inhämta kreditupplysningar från ett kreditupplysningsföretag om respektive företag som även inkluderar en kontroll av Leverantörens företrädare. Ändamålet med inhämtandet av kreditupplysningarna är att de ska utgöra en del av Veidekkes underlag att bedöma ett företags ekonomiska förutsättningar och dess lämplighet att som Leverantör delta i framtida anbudsförfaranden.
Veidekke har efter genomförd intresseavvägning kommit fram till att Veidekkes, liksom Veidekkes kunder och potentiella kunders, intresse av att ha möjlighet att kontrollera respektive företags betalningsförmåga väger tyngre än berörda personers intresse av att personuppgifterna inte behandlas.
3.6 Ytterligare behandling och insamling av samtycke
För det fall Veidekke behöver behandla personuppgifterna för något annat ändamål än vad som anges i punkten 3.4 ovan, kommer Veidekke att lämna information om detta genom att uppdatera denna Informationsskrift i enlighet med punkten 9 nedan.
I det fall Veidekke och din arbetsgivare/ditt företag ingår ett avtal kan Veidekke komma att behandla personuppgifterna i enlighet med ingånget avtal och därtill hörande separat informationsskrift.
Om Veidekke skulle komma att behandla personuppgifterna för något ändamål som enligt tillämplig lagstiftning kräver samtycke från dig, kommer Veidekke även att inhämta samtycke innan sådan behandling påbörjas. Samtycke till sådan behandling är helt frivillig.
4. Hur delar vi informationen med andra företag?
Veidekke kommer att lämna ut sådana personuppgifter till tredje parter som Veidekke enligt lag är skyldigt att lämna ut. Personuppgifterna kan även komma att överföras inom Veidekkes koncern i syfte att avgöra om din arbetsgivare/ditt företag ska kontaktas för ett eventuellt samarbete.
Veidekke kan även komma att dela personuppgifter med ett antal samarbetspartners, exempelvis Primona, i syfte att ge användaren av Portalen tillgång till de olika tjänsterna i Portalen. Veidekke använder sig av ett antal databas- och programleverantörer dels för att upprätthålla och underhålla Portalen och Leverantörsregistret, dels för att kunna kommunicera med dig. Veidekke ingår alltid avtal med sådana externa parter som lyder under sekretess och uppfyller de krav som ställs i gällande lag på hur överföring av personuppgifterna får ske samt hur personuppgifter i övrigt får behandlas. På så sätt garanteras säkerheten samt sekretessen avseende personuppgifterna.
Utöver vad som har angetts ovan kan Veidekke komma att lämna ut personuppgifter till tredje parter för att exempelvis följa ett domstolsbeslut/myndighetsbeslut eller andra legala skyldigheter, samt för att skydda rättigheter, egendom eller för att värna om säkerheten för Veidekke samt dess koncernbolag eller annan.
Veidekke kommer alltid att sträva efter att begränsa tillgång till personuppgifter enligt punkterna 4.1-4.4 ovan och endast dela information som skäligen behövs för att mottagarna ska kunna göra sitt arbete eller tillhandahålla sina tjänster. Veidekke kommer även kräva av mottagare av personuppgifter enligt punkterna ovan att de (i) skyddar personuppgifterna i enlighet med denna Informationsskrift och tillämplig lag, samt (ii) inte använder eller avslöjar personuppgifterna i något annat syfte än det syfte de lämnats ut för.
5. Överföringar till tredje land
Veidekke kommer i normalfallet inte att föra över personuppgifter till tredje land (dvs. ett land utanför EU/EES).
Om sådan överföring sker kommer de däremot alltid att utföras på ett säkert och lagligt sätt. Vi kommer inte att överföra dina personuppgifter till en extern part utanför EU eller EES utan att, före överföringen, ha ingått ett avtal eller ha säkerställt att landet som överföringen sker till är godkänt av EU-kommissionen.
Alternativt kommer vi att se till att lämpliga skyddsåtgärder finns mellan oss, i egenskap av uppgiftsutförare och den som mottar dem, i egenskap av uppgiftsinförare. Sådana lämpliga skyddsåtgärder är, med förbehåll för själva överföringen, att vi har ingått ett avtal som innehåller antingen kontraktsklausuler eller standardavtalsklausuler som är bindande mellan oss och tredjelandets uppgiftsinförare i enlighet med relevanta bestämmelser i GDPR och annan tillämplig lag. En kopia av sådana standardavtalsklausuler hittar du här.
6. Säkerhet
Veidekke uppfyller vid var tid gällande lagkrav på säkerhet avseende behandlingen av personuppgifterna och har vidtagit de organisatoriska och tekniska säkerhetsåtgärder som krävs för att skydda personuppgifterna mot obehörig åtkomst, modifiering och radering. Åtgärder som vidtagits är bl.a. kryptering, antivirusskydd, brandväggar och behörighetsbegränsning samt strikt behörighetsbegräsning om nödvändigt.
7. Rättigheter
Veidekke ansvarar för att personuppgifter behandlas i enlighet med gällande lagstiftning. Det är vår skyldighet att endast behandla personuppgifter som är korrekta, relevanta och nödvändiga med beaktande av våra ändamål, och den personuppgifterna avser har rätt att kontrollera att så sker.
Veidekke kommer på begäran eller på eget initiativ att rätta, avidentifiera, radera eller komplettera uppgifter som upptäcks vara felaktiga, ofullständiga eller missvisande.
Du som individ har ett antal rättigheter enligt gällande lag.
7.1 Rätt till tillgång, rättelse, radering m.m.
Du har rätt att få besked om vilka personuppgifter Veidekke behandlar. Du har även rätt att få felaktiga personuppgifter korrigerade samt begära att Veidekke raderar vissa eller samtliga personuppgifter. Veidekke kan dock inte radera personuppgifter om det föreligger juridiska skäl till fortsatt behandling.
7.2 Rätt att kräva begränsning
Du har, under vissa förutsättningar, rätt att få dina personuppgifter markerade så att de endast får behandlas för vissa avgränsade ändamål. Du kan bland annat begära begränsning när du anser att uppgifter är felaktiga och har begärt rättelse enligt ovan. Under tiden uppgifternas korrekthet utreds kommer behandlingen av dem att begränsas.
Veidekke kommer att underrätta dig om utredningen kommit fram till att behandlingen ska begränsas. Veidekke kommer att se till att nödvändiga rättelser eller radering av uppgifter samt begränsning av behandling av uppgifter även görs av de bolag som Veidekke har lämnat ut personuppgifterna till, se punkten 4 ovan.
7.3 Rätt att göra invändningar
Du har när som helst rätt att göra invändningar mot behandlingen av dina personuppgifter som baseras på intresseavvägning. Efter sådan begäran kommer Veidekke att upphöra med att behandla sådana personuppgifter på grunden intresseavvägning. Detta såtillvida Veidekke inte kan visa tvingande berättigade skäl för att fortsätta behandla personuppgifterna som väger tyngre än ditt intresse av att behandlingen upphör, eller att det föreligger juridiska skäl till fortsatt behandling.
7.4 Dataportabilitet
Du har, under vissa förutsättningar, rätt att få alla personuppgifter som baseras på ett samtycke eller avtalets fullgörande överförda från Veidekke till en annan personuppgiftsansvarig (s.k. rätt till dataportabilitet). Veidekke kommer då att skicka personuppgifterna till den av dig utpekade mottagaren av informationen.
7.5 Begäran och klagomål
Begäran om att utöva någon av de rättigheter som anges i punkterna 7.4 - 7.7 ovan görs till Veidekke. Begäran ska vara skriftlig och undertecknad av dig som sökande och skickas till den adress som anges i punkten 10 nedan.
Du har vidare rätt att närsomhelst vända dig till Veidekke eller till Integritetsskyddsmyndigheten (IMY) för att framföra klagomål avseende Veidekkes hantering av personuppgifterna.
8. Lagringsperiod
Personuppgifterna kommer att behandlas och lagras av Veidekke under den period som krävs för att uppfylla de ändamål som specificeras i punkten 3.4 ovan. Därefter kommer personuppgifterna att raderas eller anonymiseras. Vid fastställande av den period under vilken personuppgifterna kommer att lagras beaktar Veidekke särskilt de krav på lagringstider som följer av lag, preskriptionsfrister, myndigheters rekommendationer och branschpraxis.
Veidekke kommer också med erforderliga mellanrum skicka en förfrågan till de kontaktpersoner som har registrerats i Portalen eller Leverantörsregistret för att efterhöra om personuppgifterna är inaktuella eller felaktiga. I samband med detta lämnas information om hur du kan gå tillväga om du vill att Veidekke ska radera eller ändra personuppgifterna.
I Portalen skickas ett e-postmeddelande ut till dig efter att du varit inaktiv i Portalen i tre (3) år. Svarar du inte på meddelandet kommer de uppgifter som registrerats om dig i portalen att tas bort inom tre veckor från det att meddelandet skickades.
Är du registrerad i Leverantörsregistret kommer ett e-postmeddelande att skickas ut till dig en gång vart annat år. Av meddelandet kommer det framgå hur du kan gå tillväga för att radera eller ändra de personuppgifter Veidekke har registrerade om dig där.
Ytterligare information om hur länge Veidekke avser att behandla specifika personuppgifter framgår ur Veidekkes arkiveringspolicy som finns att hitta på Veidekkes hemsida www.veidekke.se.
9. Ändringar
Veidekke förbehåller sig rätten att ändra denna Informationsskrift. Om Veidekke uppdaterar Informationsskriften kommer Veidekke att via mail till de mailadresser du registrerat informera om väsentliga förändringar och bifoga den uppdaterade versionen av Informationsskriften. Den aktuella versionen av Informationsskriften finns även tillgänglig på Veidekkes hemsida www.veidekke.se.
10. Kontaktuppgifter
I det fall att du har några frågor eller om någonting är oklart i denna Informationsskrift, vänligen kontakta Veidekke via postadressen, mailadressen eller telefonnumret nedan.
Veidekke Entreprenad AB, org.nr: 556550–7307
Adress: Box 1503, 172 29 Sundbyberg, Sverige
Tel: 08-635 61 00
Email: dataskydd@veidekke.se