Contract
Sekretessmeddelande – Stora Ensos register över
leverantörer och intressenter
18.11.2020
1 Syfte | Syftet med detta sekretessmeddelande är att ge dig som kommunicerar med Stora Enso eller som registrerad i Stora Ensos personuppgiftsregister i rollen som leverantör, potentiell leverantör eller annan extern intressent (eller företrädare för ovanstående) information om Stora Ensos behandling av dina personuppgifter som en registeransvarige. Detta sekretessmeddelande ger en allmän förståelse för behandling av personuppgifter, de enskilda situationer i vilka personuppgifter behandlas kan dock variera. All information som lämnas i detta sekretessmeddelande kan alltså inte vara tillämplig på varje enskild databehandlingssituation och ytterligare information kan lämnas direkt till dig i samband med insamlingen av dina personuppgifter. Om du vill ha mer detaljerad information om hur dina personuppgifter behandlas så ska du kontakta din egen kontaktperson på Stora Enso eller använda kontaktuppgifterna i avsnitt 2 i detta sekretessmeddelande. |
2 Personupp- giftsansvarig | Stora Enso Oyj och dess dotterbolag är gemensamma personuppgiftsansvariga gällande de personuppgifter som de gemensamt behandlar och delar. Stora Enso Oyj och dess dotterbolag delar den personuppgiftsansvariges skyldigheter och ansvar mellan varandra som de anser lämpligt utifrån de relevanta omständigheterna I allmänhet ansvarar Stora Enso Oyj för (i) IT-systemens funktionalitet och säkerhet, (ii) datasekretess och IT-policyer, riktlinjer och instruktioner för koncernen, och (iii) att globala personuppgiftssystem och register överensstämmer med tillämpliga sekretesslagar, medan dotterbolagen i sin tur ansvarar för (i) personuppgifternas giltighet, korrekthet och fullständighet i systemen, och (ii) att säkerställa att lokala register, system och processer rörande personuppgifter överensstämmer med gällande lokala och EU-lagar. Mer information om Stora Ensos dotterbolag och gemensamt kontrollerande enheter finns här. Oberoende av den relevanta personuppgiftsansvarige i varje situation, kan du alltid utnyttja dina rättigheter genom att kontakta Stora Enso Oyj: Adress: Stora Enso Oyj Kanavaranta 1 P.O. Box 309 FI-00101 Helsingfors Finland |
Stora Enso Kanavaranta 1
P.O. Box 309
FI-00101 Helsingfors, Finland Tel: + 000 00 00 000
Juridisk information Företags-ID 1039050-8
Xxxxxxx.xx FI 10390508
E-post: Telefon: x000 00 00 000 | |
3 | |
Juridisk grund och syften för behandling av person- uppgifter | I många fall är Stora Enso-koncernens leverantörer och övriga intressenter juridiska personer och inte fysiska personer. För att skapa och upprätthålla en leverantörsrelation är det dock oundvikligt att behandla personuppgifter för dig som företräder och arbetar för leverantörsföretag och andra juridiska personer. Stora Enso kan även samla in personuppgifter om dig som representant för en potentiell leverantör. I vissa situationer är förhållandet direkt mellan Stora Enso och dig. |
Den rättsliga grunden för behandling av personuppgifter är antingen att fullfölja ett avtal som ingåtts mellan ett företag i Stora Enso-koncernen och dig (juridisk skyldighet), Stora Ensos legitima intresse eller ditt samtycke. | |
Det är nödvändigt att tillhandahålla vissa personuppgifter till Stora Enso för att Stora Enso ska kunna ingå ett avtal med dig. Om du vägrar att lämna dessa personuppgifter så kanske Stora Enso inte kan etablera eller fortsätta affärsrelationen. | |
I vissa fall har Stora Enso ett lagstadgat krav att samla in information från sina leverantörer och andra intressenter. Dessa situationer avser, t.ex. förordning mot penningtvätt och terrorism, förordningen om marknadsmissbruk, rapportering om bristande överensstämmelse, granskning av sanktioner och andra liknande officiella listor och kontroller. | |
Bearbetning av personuppgifter baserad på legitima intressen gäller i samband med etablering, hantering och utveckling av Stora Ensos relation (inklusive ingående och hantering av avtal med organisationer som du representerar) med aktiviteter relaterade till marknadsföring, inköp och kommunikation med Stora Ensos affärspartners och intressenter. Stora Enso kan använda personuppgifter för att möjliggöra uppfyllande av kontrakt, leveranshantering, fakturering och andra transaktioner. Leverantörs- och intressentdata kan också användas för kommunikationsändamål och utförande av undersökningar. Personuppgifterna som samlas in genom leverantörs- och intressentsamverkan och annan samverkan kan användas för att utvärdera behovet av verksamhetsförbättring samt för att förbättra Stora Ensos produkter, tjänster och verktyg. | |
Dessutom bearbetar Stora Enso personuppgifter för att kunna garantera besökare säkerhet, och dess anläggningar och lokaler säkerhet mot missbruk, stölder eller obehörig åtkomst. Stora Enso kan även behöva behandla personuppgifter för att kunna garantera säkerhet och funktionalitet, och för att spåra användningen av Stora Ensos IT-system och onlinetjänster. | |
I begränsade fall (vanligtvis när det krävs enligt lokala lagar) kan Stora Enso behöva begära samtycke för viss specifik datainsamling eller -behandling. Sådant samtycke kan när som |
helst upphävas av dig med hjälp av tekniska medel eller genom att kontakta Stora Enso i enlighet med avsnitt 11. | |
4 Registrets innehåll | Personuppgifter som Stora Enso kan samla in och behandla i kundregister inkluderar följande personuppgiftskategorier: 1) Kontaktinformation, inklusive namn, jobbtitel/annan befattning, e-postadress, telefonnummer, föredraget kontaktspråk och eventuell annan nödvändig information för att möjliggöra effektiva och snabba kontakter och kommunikationssätt. 2) Annan nödvändig identifieringsinformation, t.ex. ID-nummer och födelsedatum 3) Användar- och identifierings- och aktivitetsinformation relaterad till onlineverktyg och -tjänster 4) Information relaterad till upphandling och andra samarbetsprojekt, affärsmöjligheter, möten, leverantörsbesök och andra pågående eller planerade projekt 5) Historisk information om tidigare kontakter och samarbeten, t.ex. möteshistorik, historik om mötesdeltagande, kommunikationshistorik, projekt- och samarbetshistorik samt historik som gäller information om oförverkligade projekt 6) Marknadsförings- och kommunikationsinformation, t.ex. kampanjer och andra kommunikationsmaterial, aktivitets- och besökshistorik och kommunikationsinnehåll 7) Feedback- och intervjuregister samt anmälan om efterlevnadsbrott mottagna från leverantörerna och andra intressenter. 8) Eventrelaterad information, såsom RSVP-data, dietrelaterad information och närvarobekräftelse 9) Uppgifter om sanktionsscreening (enligt vad som krävs och tillåts enligt nationell lagstiftning) 10) Insiderlistor, inklusive tid för bekräftelse (när personen första gången tog emot respektive insiderinformation) 11) Platsdata som samlas in från leverantörens mobila enheter eller på annat sätt. En mottagen begäran eller samtycke till detta krävs dock i enlighet med gällande lagstiftning. 12) Information om du inte vill ta emot marknadsföringsmeddelanden eller annan kommunikation 13) Uppgifter relaterade till enheten som du använder och webbinformation, dock endast i den utsträckning du har samtyckt till användningen av cookies eller insamlingen av nämnd data Registret kan också innehålla annan liknande och relevant kontakt- och affärsinformation i syfte att hantera kundrelationer enligt beskrivningen i avsnitt 3. Stora Enso samlar inte in uppgifter om sexliv eller sexuell läggning, ras, funktionshinder, etniskt eller socialt ursprung, genetiska eller andra biometriska egenskaper, religion eller tro, politisk eller ekonomisk eller samhällelig åsikt (oavsett situationer där sådan information är relaterad till personens samhälleliga eller ekonomiska offentliga roll och informationen kan betraktas som offentlig enligt individen själv) eller tillhörighet i en nationell minoritet, såvida inte detta krävs enligt lag eller nödvändigt för att uppfylla en lagstadgad skyldighet som Stora Enso omfattas av. |
Vidare samlar Stora Enso inte in uppgifter som rör din hälsa förutom i enheter där hälso- och sjukvårdstjänster tillhandahålls dig genom företagsägda hälsovårdsfunktioner. I vissa sällsynta fall kan sådan information utläsas från den dietinformation du angett i samband med en händelseregistrering. Stora Enso tar hänsyn till tillämplig lokal lagstiftning vid insamling av personuppgifter och säkerställer att personuppgifter alltid är begränsade till information nödvändig för nämnda syften som beskrivs i avsnitt 3. | |
5 Regelbundna informations- källor | Personuppgifter samlas främst in direkt från dig eller hämtas via kommunikation och annat samarbete som Stor Enso har med dig. En annan typisk informationskälla är de företag och andra juridiska personer som du företräder samt dessa juridiska personers webbsidor. Stora Enso kan även hämta personuppgifter från andra tillförlitliga offentliga källor eller tredje part, t.ex. handelsregister och branschdatabaser. |
6 Datalagring | Stora Enso hanterar personuppgifterna i leverans- och intressentregistret och tar regelbundet bort och korrigerar onödig och föråldrade data när leverantörsrelation eller annan kommunikation mellan dig och Stora Enso är aktiv. När relationen mellan dig och Stora Enso övergår till att bli passiv sparar Stora Enso personuppgifterna under en förutbestämd tidsperiod. Dessa tidsperioder har fastställts utifrån Stora Ensos faktiska behov och lagstiftningskraven som Stora Enso måste uppfylla. Som grundregel ska personuppgifter som inte omfattas av lagstadgade krav på lagring raderas från leverantörs- och intressentregister efter tio års passiv lagring när kundrelationen eller annan relation mellan Stora Enso och dig har upphört. För mer information om lagringstider, kontakta Stora Enso i enlighet med avsnitt 11. |
7 Regelbunden utlämning av person- uppgifter | Personuppgifter från leverantörs- och intressentregistret lämnas ut till försäkrings- och pensionsbolag och olika myndigheter/organ (eller liknande) för att dessa ska kunna utföra sina lagstadgade uppgifter. Vid behov kan personuppgifter lämnas ut till utvalda tredje parter, t.ex. för att underlätta leveranshantering. Parter får endast behandla uppgifterna i den utsträckning som krävs för att hantera uppdrag eller tillhandahålla den tjänst som avtalats med Stora Enso. Personuppgifter kan också lämnas ut till företag inom Stora Enso-koncernen för ändamål som är kompatibla med de behandlingssyften som definieras i avsnitt 3 i detta sekretessmeddelande. Vissa personuppgiftsåtgärder kan outsourcas till noggrant utvalda tredjepartsleverantörer (t.ex. IT-tjänsteleverantörer, marknadsföringsföretag, konsulter). I dessa fall ska sådana tredjepartsbehandlare arbeta på uppdrag av Stora Enso enligt ett specifikt avtal om personuppgiftsbehandling. |
8 Dataöver- föringar från EU/EEA | Vissa av de enheter som tar emot personuppgifter från Stora Enso eller till vilka Stora Enso har outsourcat personuppgifter är placerade utanför Europeiska unionen och/eller Europeiska ekonomiska samarbetsområdet. I sådana situationer säkerställer Stora Enso att en tillräcklig dataskyddsnivå upprätthålls med lämpliga skyddsåtgärder, t.ex. genom undertecknande av EU-kommissionens modellklausuler med den part som tar emot uppgifterna. Stora Enso- koncernens interna dataöverföringar styrs av en avtalsram baserad på EU-kommissionens modellklausuler. För mer information om överföring av personuppgifter till sådana tredjeländer, kontakta Stora Enso i enlighet med avsnitt 11. |
9 Datasäkerhet | Personuppgifter i Stora Ensos IT-system skyddas mot obehörig åtkomst med olika informationssäkerhetsåtgärder. Varje användare har ett personligt användar-ID och lösenord för att komma in i systemen och åtkomst till personuppgifter beviljas endast till personer som behöver åtkomst för att fullgöra de uppgifter och åtaganden som gäller deras roll inom Stora Enso. Dessutom övervakar Stora Enso och dess tjänsteleverantörer aktivt sekretessen, integriteten och tillgängligheten i IT-miljön och har genomfört tekniska åtgärder för att förebygga och upptäcka incidenter som kan hota personuppgifter. Säkerheten för personuppgifter säkerställs också vid överföring eller utlämning av uppgifter till andra personuppgiftsbehandlare. De åtgärder som används varierar baserat på hur känsliga personuppgifterna är och omfattar bland annat identifiering av behöriga mottagare och kryptering. |
10 Dina rättigheter | Åtkomst till information Du har rätt att erhålla information om personuppgifterna om dig som Stora Enso behandlar samt att få en kopia av sådana personuppgifter. Du ombeds att använda mallen som finns på den här sekretesswebbsidan för en sådan begäran. Det ifyllda formuläret eller en begäran som innehåller liknande uppgifter kan framföras i enlighet med avsnitt 11 i detta sekretessmeddelande. Rätt till rättelse, radering och begränsning Du har rätt att få personuppgifter som är felaktiga, föråldrade, onödiga eller i strid med syftet med databehandlingen korrigerade eller raderade. Du ombeds att använda mallen som finns på den här sekretesswebbsidan för en sådan begäran. Begäran om korrigering och radering kan framföras i enlighet med anvisningarna i avsnitt 11 i detta sekretessmeddelande. |
Du har också rätt att begränsa Stora Ensos behandlingen av dina personuppgifter, t.ex. när du väntar på Stora Ensos svar på din begäran om åtkomst eller radering. Rätt till invändning mot behandling Av skäl som hänför sig till din specifika situation har du rätt att invända mot behandlingen av dina personuppgifter, förutsatt att behandlingen baseras på Stora Ensos legitima intresse. Personuppgiftslämnare ombeds att använda mallen som finns på sekretesswebbsidan för en sådan begäran och framföra dessa invändningar i enlighet med anvisningarna i avsnitt 11 i detta Sekretessmeddelande. I denna begäran ska du förklara den särskilda situation som gör att du protesterar mot behandlingen av personuppgifterna. Stora Enso har rätt att avslå en sådan begäran av lagstadgade skäl. Personuppgifternas portabilitet Du har rätt att få en elektronisk kopia av de personuppgifter som du lämnat för att utföra avtalet mellan dig och Stora Enso eller där behandlingen baseras på samtycke. Dessutom kan personuppgifterna överföras direkt till annan personuppgiftsansvarige på din begäran, om detta är tekniskt möjligt. Rätt att återkalla samtycke I händelse av lagstadgad skyldighet att begära ditt samtycke för databehandling har du rätt att ta tillbaka ditt samtycke. Rätt att lämna in ett klagomål Du har rätt att lämna in ett klagomål till en behörig dataskyddsmyndighet gällande Stora Ensos behandling av personuppgifter. | |
11 Kontakta den personupp- giftsansvarige | Om du har frågor om behandlingen av personuppgifter eller dina rättigheter så kontaktar du Stora Enso. Du kan använda dina rättigheter genom att skicka ett e-postmeddelande till xxxx.xxxxxxx@xxxxxxxxx.xxx. Stora Enso har rätt att avslå begäran utifrån lagstadgade skäl. Stora Enso ska informera dig om ett sådant avslag, inklusive skälen till avslaget. |