Integritet och behandling av personuppgifter (GDPR) | Byggföretagen

Integritet och behandling av personuppgifter (GDPR)

För Byggföretagen är personlig integritet viktigt. Vi vill därför alltid eftersträva en hög nivå av dataskydd. I denna policy förklarar vi hur vi samlar in och använder personuppgifter. Vi beskriver också dina rättigheter och hur du kan göra dem gällande. Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Vad är en personuppgift och vad är en behandling av personuppgifter?

Allt som direkt eller indirekt kan härledas till en fysisk person som är i livet omfattas av begreppet personuppgifter. Det handlar inte bara om namn och personnummer utan även om till exempel bilder och e-postadresser.

Behandling av personuppgifter är allt som sker med personuppgifterna i IT-systemen, oavsett om det handlar om mobila enheter eller datorer. Det handlar om till exempel insamling, registrering, strukturering, lagring, bearbetning och överföring. I vissa fall kan även sådant som sker utanför IT-systemen ses som behandling.

Personuppgiftsansvarig

För de behandlingar som sker inom Byggföretagens verksamhet är Förbundet Byggföretagen eller Byggföretagen Service AB personuppgiftsansvarig.

Föreningen Byggföretagen, org. nr. 802000-4860, 102 42 Stockholm, Sverige

Byggföretagen Service AB, org. nr. 556061-2524, 102 42 Stockholm, Sverige.

För vissa behandlingar, såsom t ex medlemsregistret, använder vi gemensamma system med Svenskt Näringsliv. Ansvaret mellan oss och Svenskt Näringsliv är då reglerat i avtal.

Vilka personuppgifter samlar vi in om dig och varför?

Generellt:

Vi behandlar i huvudsak ditt namn, din e-postadress, ditt telefonnummer och din befattning. Ibland kan ytterligare information behandlas, till exempel om du är riksdagsledamot eller lokalpolitiker, men bara om du själv kan anses ha offentliggjort informationen. För vissa tjänster kan du även, men måste inte, uppge intresseområden. Om du skapar ett användarkonto hos oss kommer vi även behandla dina inloggningsuppgifter. Eftersom vi vill säkerställa en säker identifiering sker inloggning genom Bank-ID. Du behöver då ange ditt personnummer, som därför också kommer att behandlas av oss.

Vi behandlar dina personuppgifter i syfte att tillhandahålla de tjänster och produkter du har begärt (exempelvis ett nyhetsbrev eller deltagande i en utbildning). Vi kommer även behandla dina personuppgifter för att vårda och administrera vår relation med dig samt, i tillämpliga fall, för att administrera avtalet med dig eller med din arbetsgivare. Vi kan även komma att informera dig om våra kurser, evenemang och annat som vi finner ligga i såväl ditt som vårt intresse.

Därutöver kan vi komma att använda dina personuppgifter för att informera dig om produkter och tjänster som vi erbjuder och som kan vara av intresse för dig. Om du är en yrkesanvändare kan vi även informera dig om produkter och tjänster från våra partners.

Om du är yrkesanvändare kan analys och bearbetning av uppgifterna (inklusive för profilering) som vi får ta del av enligt ovan (såsom uppgifter i samband med beställning av tjänster eller produkter eller deltagande i seminarium eller aktiviteter anordnade av oss) komma att ske. Syftet är att ge mer anpassad och relevant information till dig.

Byggföretagen behandlar alltid dina personuppgifter i enlighet med tillämplig lagstiftning. Vi behandlar dina personuppgifter då det är nödvändigt för att fullgöra ett avtal med dig eller svara på din begäran om service eller då vi har ett annat legitimt och berättigat intresse av att behandla dina personuppgifter, t ex vårt intresse av att kunna tillhandahålla, och våra medlemsföretags intresse av att få del av, information och tjänster som är exklusiv för medlemsföretag, vårt intresse av att få marknadsföra våra tjänster eller för att kunna utföra behövliga kontroller vid ansökan av medlemskap eller när företaget är medlem.

Om Byggföretagen skulle behandla dina personuppgifter för något ändamål som kräver ditt samtycke kommer vi att inhämta ditt samtycke i förväg. Vissa personuppgifter kan vara obligatoriska att tillhandahålla, t ex för att vi ska kunna tillhandahålla en tjänst eller fullgöra en annan begäran från dig. Detta kommer då att anges eller framgå i samband med att uppgifterna samlas in.

För medarbetare i medlemsföretag 

För medarbetare i medlemsföretag kan vi komma att behandla personuppgifter även på andra sätt än vad som nämnts ovan. Detta är främst kopplat till arbetsgivarens medlemskap och gäller för olika kontaktpersoner. Uppgifter om kontaktpersoner kan behövas för att hantera medlemskapet och frågor kopplade till det. Det kan röra exempelvis kontaktpersoner vid förhandlingar, uppgifter kring medlemskap i olika arbetsgrupper eller uppgifter om behörigheter och kompetenser.

För personer i ledande befattning, styrelse och ägare till medlemsföretag respektive till ansökande företag

Vid handläggningen av ansökan om medlemskap utför Byggföretagen behövliga kontroller av företrädare till företaget. Det omfattar vd, styrelseledamöter och suppleanter samt ägare till företaget. Kontrollerna avser exempelvis finansiell information. Den lagliga grunden för aktuell behandling av personuppgifter är att det finns ett legitimt och berättigat intresse att kontrollera att företagets företrädare följer Byggföretagens stadgar och lever upp till våra medlemskriterier.

Från vilka källor hämtar vi personuppgifter?

Insamling av dina personuppgifter sker exempelvis då du anger dina uppgifter i samband med att du anmäler dig för att få nyhetsbrev, deltar på seminarier och andra event, beställer tjänster och/eller produkter från oss eller tar kontakt med oss. Även när det företag du arbetar på ansöker om medlemskap och/eller ingår i en värvningskampanj kan uppgifter samlas in om personer i ledande roller på företaget. Ibland hämtar vi uppgifter från tredje part.

Vilka kan vi komma att dela dina personuppgifter med?

Personuppgiftsbiträden: 

I en del situationer är det nödvändigt för oss att anlita andra parter för att kunna utföra vårt arbete. Det handlar exempelvis om att vi använder oss av olika IT-leverantörer. De är att betrakta som personuppgiftsbiträden till oss.

Byggföretagen har ansvar för att skriva avtal med samtliga personuppgiftsbiträden och lämna instruktioner om hur dessa får behandla personuppgifterna. Vi kontrollerar självklart alla personuppgiftsbiträden för att säkerställa att de kan lämna tillräckliga garantier avseende säkerheten och sekretessen för personuppgifterna.

När personuppgiftsbiträden anlitas sker det bara för de ändamål som är förenliga med de ändamål vi själva har för behandlingen.

Aktörer som är självständigt personuppgiftsansvariga

Vi delar även dina personuppgifter med vissa andra aktörer som är självständigt personuppgiftsansvariga. Det kan både handla om myndigheter, såsom Skatteverket, och om andra medlemsorganisationer. Vissa uppgifter lämnas även för statistiska ändamål.

När dina personuppgifter delas med en aktör som är självständigt personuppgiftsansvarig gäller den organisationens integritetspolicy och personuppgiftshantering.

Vi kan vidare komma att lämna ut personuppgifter till Svenskt Näringsliv i den mån det krävs för att samverkan mellan organisationerna ska fungera. Vidare kan vi komma att anlita leverantörer och partners att utföra uppgifter för Byggföretagens räkning, t ex för att tillhandahålla IT-tjänster eller hjälpa till med marknadsföring, analyser eller statistik. Utförandet av dessa tjänster kan innebära att dessa mottagare får tillgång till dina personuppgifter.

Byggföretagen kan även komma att lämna ut personuppgifter till tredje part, som t.ex. polisen eller annan myndighet, om det rör utredning av brott eller om vi annars är skyldiga att lämna ut sådan uppgift med stöd av lag eller myndighetsbeslut.

Var behandlar vi dina personuppgifter?

Vi strävar alltid efter att dina personuppgifter ska behandlas inom EU/EES men ibland är det inte möjligt.

Vi använder i viss utsträckning tjänsteleverantörer som tillhandahåller sina tjänster i länder utanför EU/EES, vilket innebär att dina personuppgifter kan behandlas i ett land utanför EU/EES. Vi har säkerställt att det finns lagligt stöd för sådan överföring genom att ingå EU-kommissionens standardavtalsklausuler med berörda leverantörer. Leverantörerna vidtar även kompletterande tekniska och organisatoriska åtgärder för att ytterligare skydda de personuppgifter som är föremål för överföringen.

Om vi överför personuppgifter till länder utanför EU/EES, i vilka skyddsnivån för uppgifterna inte bedöms vara likvärdig med den som gäller inom EU, kommer vi att vidta ytterligare skyddsåtgärder för att tillförsäkra att EU:s skyddsnivå för personuppgifter upprätthålls. Dataskyddsförordningen ställer höga krav på när och hur personuppgifter får överföras till tredje land. I den mån personuppgifter överförs till företag utanför EU/EES-området, säkerställer vi att lämpliga skyddsåtgärder har vidtagits, t.ex. genom att inkludera EU-kommissionens standardavtalsklausuler för dataöverföring (som finns tillgängliga på EU-kommissionens webbplats) i avtalet med de parter som får tillgång till personuppgifter. Vi kan i vissa fall också tillse att personuppgifterna krypteras eller pseudonymiseras på så sätt att uppgifterna inte direkt är identifierbara och därmed inte direkt kan kopplas till en enskild person. Överföringar kan under vissa förutsättningar också ske med stöd av bindande företagsbestämmelser (s.k. Binding Corporate Rules) som på förhand godkänts av Integritetsskyddsmyndigheten, IMY. Om du vill ha ytterligare information om dessa skyddsåtgärder är du välkommen att kontakta oss.

Hur länge sparar vi dina personuppgifter?

Vi sparar aldrig dina personuppgifter längre än vad som är nödvändigt för respektive ändamål. Vi har utarbetat rensningsrutiner för att säkerställa att personuppgifter inte sparas längre än vad som behövs för det specifika ändamålet. Hur länge detta är varierar beroende på skälet för behandlingen. Vissa uppgifter i bokföringen behöver p g a lagstiftning t ex sparas minst sju år medan uppgifter om specialkost raderas inom någon vecka efter att evenemanget är avslutat.

Vad är dina rättigheter som registrerad?

Som registrerad har du enligt gällande lagstiftning ett antal rättigheter. Hur du ska gå tillväga för att hantera dina rättigheter, se stycket ”Hantera dina rättigheter” längre ned. Här nedan listar vi den registrerades rättigheter.

Rätt till registerutdrag (rätt till tillgång)

Om du vill veta vilka personuppgifter vi behandlar om just dig kan du begära att få tillgång till uppgifterna. När du lämnar en sådan begäran kan vi komma att ställa en del frågor för att se till att det blir en effektiv hantering av din begäran. Vi kommer också vidta åtgärder för att säkerställa att uppgifterna begärs av och lämnas till rätt person.

Rätt till rättelse 

Om du upptäcker att något är fel har du rätt att begära att dina personuppgifter rättas. Du kan också komplettera eventuellt ofullständiga personuppgifter.

I vissa fall kan du göra korrigeringar själv, vilket vi då informerar dig om.

Rätt till radering 

Du kan begära att vi raderar de personuppgifter vi behandlar om dig bland annat om:

  • Uppgifterna inte längre är nödvändiga för de ändamål som de behandlas för.
  • Du invänder mot en intresseavvägning vi gjort baserat på vårt berättigade intresse, där ditt skäl för invändning väger tyngre än vårt berättigade intresse.
  • Personuppgifterna behandlas på olagligt sätt.
  • Om uppgiften inhämtats med stöd av ditt samtycke och du vill återkalla ditt samtycke.

Vi kan dock ha rätt att neka din begäran om det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Det kan också vara så att behandlingen är nödvändig för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Om vi är förhindrade att radera dina personuppgifter kommer vi att blockera personuppgifterna från att kunna användas för andra syften än det syfte som gör att de inte kan raderas.

Rätt till begränsning

Du har rätt att begära att vår behandling av dina personuppgifter begränsas. Om du motsätter dig att personuppgifterna vi behandlar är korrekta kan du begära en begränsad behandling under den tid vi behöver för att kontrollera huruvida personuppgifterna är korrekta.

Om, och när, vi inte lägre behöver dina personuppgifter för de fastställda ändamålen är vår rutin normalt att uppgifterna raderas. Om du behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, kan du begära begränsad behandling av uppgifterna hos oss. Det innebär att du kan begära att vi inte rensar och raderar dina uppgifter.

Om du har invänt mot en intresseavvägning av berättigat intresse som vi har gjort som laglig grund för ett ändamål kan du begära begränsad behandling under den tid vi behöver för att kontrollera huruvida våra berättigade intressen väger tyngre än dina intressen av att få uppgifterna raderade.

Om behandlingen har begränsats enligt någon av situationerna ovan får vi bara, utöver själva lagringen, behandla uppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter eller ifall du har lämnat ditt samtycke.

Rätt att göra invändningar mot viss typ av behandling 

Du har alltid en rätt att invända mot all behandling av personuppgifter som bygger på en intresseavvägning. Du har också alltid rätt att slippa direktmarknadsföring.

Rätt till dataportabilitet 

Du har, som registrerad rätt till dataportabilitet om vår rätt att behandla dina personuppgifter grundar sig antingen på ditt samtycke eller fullgörande av ett avtal med dig. En förutsättning för dataportabilitet är att överföringen är tekniskt möjlig och kan ske automatiserat.

Hantera dina rättigheter

Ansökan om registerutdrag eller om du vill åberopa någon av dina andra rättigheter ska vara skriftligt och egenhändigt undertecknad av den utdraget avser. Vi kommer besvara dina önskemål utan onödigt dröjsmål och senast inom 30 dagar. Ladda ner dokumentet här och svara på frågorna samt underteckna det. Maila därefter det ifyllda dokumentet samt en vidimerad kopia av din ID handling till dataskydd@byggforetagen.se.  Mailet ska i möjligaste mån skickas från den mailadress du är registrerad med hos Byggföretagen.

Hur hanterar vi personnummer?

I möjligaste mån undviker vi att behandla personnummer. I vissa fall är det dock motiverat med hänsyn främst till att vi behöver ha en säker identifiering.

Vad avser behandling av personnummer i form av organisationsnummer för enskild näringsverksamhet så krävs denna behandling så länge företaget är medlem genom att organisationsnumret utgörs av personnumret.

Hur skyddas dina personuppgifter?

Vi arbetar aktivt för att säkerställa att personuppgifter hanteras på ett säkert sätt. Det gäller såväl genom tekniska som organisatoriska skyddsåtgärder.

Tillsynsmyndighet

Integritetsskyddsmyndigheten (IMY) är ansvarig tillsynsmyndighet med uppgift att övervaka tillämpningen av lagstiftningen rörande dataskydd. Om du anser att vi agerar felaktigt kan du kontakta Integritetsskyddsmyndigheten, se imy.se.

Kontakta oss vid frågor om hur vi behandlar personuppgifter!

Om du har frågor om hur vi behandlar personuppgifter eller har en begäran med stöd av dina rättigheter enligt dataskyddslagstiftningen (se ovan) är du alltid välkommen att kontakta oss på: dataskydd@byggforetagen.se

Vi kan komma att göra ändringar i vår integritetspolicy. Den senaste versionen av integritetspolicyn finns alltid här på webbplatsen.