General data protection notice for business partners Sweden
-
In the course of our business relationship with you, it is necessary for us to process your personal data. “Personal data” is any information that relates to an identified or identifiable natural person (e.g. names and addresses).
Protecting the security and privacy of personal data of our business partners (such as customers and suppliers) is very important to voestalpine group-IT AB, Hagfors Järnverk, 683 85 Hagfors, Sweden (as part of the voestalpine group-IT Group). We are obligated to protect your data and take this duty very seriously. We expect the same from our business partners.
Please find enclosed a summary of the processing of personal data of business partners:
1. Categories of personal data processed, purpose of the processing and legal basis
In the context of the business relationship with business partners, voestalpine group-IT Group may process personal data for the following purposes:
- Communicating with business partners about products, services and projects, e.g. to process inquiries from business partners
- Initiate, process and manage (contractual) relationships and maintain business relationships between voestalpine group-IT Group and the business partner, e.g. to process orders for products or services, to process payments, for accounting, billing and collection purposes, to make deliveries, to carry out maintenance activities and repairs
- Conducting customer surveys, marketing campaigns, market analysis, sweepstakes, contests, and other promotional activities or events
- Maintaining and protecting the security of our products, services and websites, preventing and detecting security threats, fraud and other criminal or malicious activities
- Ensuring compliance with (i) legal obligations (such as record keeping obligations in accordance with tax and commercial law), and (ii) voestalpine policies
- Settling disputes, enforcing our contractual agreements and establishing, exercising or defending legal claims
For the aforementioned purposes, voestalpine group-IT Group may process the following categories of personal data:
- Business contact information, such as name, work address, work telephone number and email address;
- Payment data, such as data necessary for processing payments and fraud prevention, including credit card numbers and card security codes;
- Information collected from publicly available sources, information databases and credit agencies;
- Other information that has to be processed to initiate, process and manage (contractual) relationships and maintain business relationships or that you voluntarily provide, such as orders placed, order details, inquiries or project details, correspondence, other data pertaining to the business relationship
The processing of personal data is necessary to meet the aforementioned purposes including the performance of a contractual relationship or a pre-contractual activity with the business partner.
Unless indicated otherwise, the legal basis for the processing of personal data is Article 6 (1) (a) (if consent has been given) or Article 6 (1) (b) or (f) of the General Data Protection Regulation (GDPR).
- processing is necessary for the performance of a contract to which the data subject is party or for pre-contractual measures;
- processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party;
If aforementioned personal data is not provided or is insufficient or if voestalpine group-IT Group cannot collect the respective personal data the purposes described may not be met or the received inquiry/inquiries could not be processed. Note that this would not be considered failure to fulfill our obligations under a contract.
2. Transfer and disclosure of personal data
If legally permitted to do so, voestalpine group-IT Group may transfer personal data to other voestalpine Group companies (www.voestalpine.com/locations) or courts, authorities, attorneys, or other business partners (for example shipping and logistics partners for executing and processing orders).
Furthermore voestalpine group-IT Group engages processors (service providers) to process personal data (within the scope of an IT support contract, for example). These processors are contractually bound to act in compliance with applicable data protection regulations.
Recipients of personal data may be located in countries outside of the European Union (“third countries”), in which applicable laws do not offer the same level of data protection as the laws of the respective individual’s home country. In this case, according to the legal requirements personal data is only transferred if the European Commission has adopted an adequacy decision for the third country, if adequate safeguards have been agreed (e.g. EU Standard Contractual Clauses were concluded), the recipient participates in an approved certification system, binding corporate rules are implemented in accordance with Art. 47 of the General Data Protection Regulation or there is a derogation for specific situations in accordance with Art. 49 of the General Data Protection Regulation (e.g. because you explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards). Further information and a copy of the implemented measures can be obtained from the contact listed under 6.
3. Retention periods
Unless explicitly indicated otherwise at the time of the collection of your personal data (e.g. in a declaration of consent), your personal data will be erased if the retention of the personal data is no longer necessary to fulfill the purposes for which they were collected and if no statutory retention obligations (such as tax or commercial law) or establishment, exercise or defence of legal claims require us to further retain the data.
4. Right of access to and rectification or erasure of personal data, restriction of processing, Right to object to processing, right to data portability and right to withdraw explicitly granted consent
- In accordance with Art. 15 GDPR, you have the right to obtain from the controller confirmation as to whether or not personal data concerning you are being processed and access to information about this data.
- In accordance with Art. 16 GDPR, you have the right to obtain without undue delay the rectification of inaccurate personal data and to have incomplete personal data completed.
- In accordance with Art. 17 GDPR, you have the right to erasure of your personal data.
- In accordance with Art. 18, you have the right to restrict processing
- In accordance with Art. 20 GDPR, you have the right to data portability.
- In accordance with Art. 21 GDPR, you have the right to object to the processing of personal data.
- Finally, you are entitled to file a complaint with the supervisory authority.
- If processing of your personal data is based on your consent, you have the right to withdraw your consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.
In order for us to efficiently respond to such a request, we ask you to contact us using the contact data listed below and to provide us with confirmation of your identity, for example, by sending us an electronic copy of your ID.
5. Protection of your personal data
The security of your personal data is extremely important to us. We take specific measures to protect your personal data against loss, misuse, unauthorized access, manipulation or disclosure, including the following:
- Limited access to our premises (access control)
- Implementation of access rights and protection of media (access and transfer control)
- Deployment of network security measures such as antivirus software, firewalls, security updates, etc. (network control)
All processors engaged by us are bound by our security concept and are obligated to adhere to similar or equal security measures.
6. Contact
For any questions related to data protection and asserting the rights as listed, please contact the voestalpine data protection organization at:
Louhelainen Tuulikki, Data protection manager, tuulikki.louhelainen@voestalpine.com
This General Data Protection Notice for business partners will be revised from time to time.
-
I vår affärsrelation med dig behöver vi behandla dina personuppgifter. Personuppgifter är alla uppgifter som kann knytas till en identifierad eller identifierbar fysisk person (t.ex. namn och e-postadresser).
Att skydda säkerheten och integriteten för personuppgifter hos våra affärspartners (såsom kunder och
leverantörer) är mycket viktigt för voestalpine group-IT AB, 683 85 Hagfors, Sverige , nedan kallat ”vi” och ”oss”. Vi är skyldiga att skydda dina personuppgifter och vi tar mycket seriöst på denna förpliktelse. Vi förväntar oss detsamma från våra affärspartners.
Bifogat finner du en sammanfattning av hur vi behandlar våra affärspartners personuppgifter:
1. Kategorier av personuppgifter som behandlas, ändamål med behandlingen och rättslig grund
I affärsrelationerna med våra affärspartners kan vi komma att behandla personuppgifter för följande
ändamål:
- Kommunicera med affärspartners om produkter, tjänster och projekt, t.ex. vid behandling av förfrågningar från affärspartners
- Inleda, bearbeta och hantera (avtalsmässiga) relationer och upprätthålla affärsrelationer mellan oss och våra affärspartners, t.ex. vid behandling av beställningar av produkter eller tjänster, hantering av betalningar, för redovisnings-, fakturerings- och insamlingsändamål, genomförande av leveranser och utförande av underhåll och reparationer
- Utföra kundundersökningar, marknadsföringskampanjer, marknadsanalyser, sweepstakes, tävlingar och andra marknadsföringsaktiviteter eller evenemang
- Upprätthålla och skydda säkerheten för våra produkter, tjänster och webbplatser, förebygga och upptäcka säkerhetshot, bedrägerier och annan brottslig eller skadlig verksamhet
- Säkerställa fullgörandet av (i) lagstadgade skyldigheter (såsom redovisningsskyldighet i enlighet med skatte- och handelsrätten) och (ii) voestalpines riktlinjer
- Lösa tvister, genomdriva våra avtalsmässiga överenskommelser och fastställa, utöva eller försvara rättsliga anspråk
För ovannämnda ändamål kan vi komma att behandla följande kategorier av personuppgifter:
- Affärskontaktinformation, t.ex. namn, arbetsadress, telefonnummer och e-postadress
- Betalningsuppgifter, t.ex. uppgifter som behövs för att hantera betalningar och förebygga bedrägerier
- Uppgifter som hämtas från allmänt tillgängliga källor, informationsdatabaser och kreditbyråer
- Andra uppgifter som behövs för att inleda, bearbeta och hantera (avtalsmässiga) relationer och upprätthålla affärsrelationer eller som du frivilligt lämnar till oss, till exempel gjorda beställningar, beställningsuppgifter, förfrågningar eller projektuppgifter, korrespondens och andra uppgifter rörande affärsrelationen
Behandlingen av personuppgifter är nödvändig för att kunna uppfylla ovannämnda ändamål och för fullgörandet av ett avtal eller för att genomföra åtgärder innan avtalet ingås med affärspartnern.
Om inte annat anges är den rättsliga grunden för behandling av personuppgifter artikel 6.1 a (om samtycke har lämnats) eller artikel 6.1 b eller f i Dataskyddsförordningen (GDPR):
- Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder innan ett sådant avtal ingås.
- Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen.
Om ovannämnda personuppgifter inte tillhandahålls eller är otillräckliga eller om vi inte kan samla in de ifrågavarande personuppgifterna kan detta leda till att de angivna ändamålen inte kan uppfyllas eller att mottagna förfrågningar inte kan behandlas. Observera att detta i så fall inte ska betraktas som en underlåtenhet att uppfylla våra skyldigheter enligt avtal.
2. Överföring och utlämnande av personuppgifter
Om det är tillåtet enligt lag kan vi komma att överföra personuppgifter till andra företag inom koncernen voestalpine (www.voestalpine.com/locations) eller domstolar, myndigheter, advokater eller andra affärspartners (till exempel frakt- och logistikpartners för genomförande och behandling av beställningar).
Vidare anlitar vi personuppgiftsbiträden (tjänsteleverantörer) för behandling av personuppgifter (till exempel inom ramen för ett IT-supportavtal). Dessa personuppgiftsbiträden är enligt avtal skyldiga att agera i enlighet med gällande bestämmelser om dataskydd.
Mottagare av personuppgifter kan befinna sig i länder utanför EU (”tredje länder”), där tillämpliga lagar inte erbjuder samma dataskydd som lagarna i respektive persons hemland. I enlighet med lagstadgade krav överförs i detta fall personuppgifter endast om Europeiska kommissionen har antagit ett beslut om adekvat skyddsnivå för tredjelandet, om lämpliga skyddsåtgärder har vidtagits (t.ex. EU:s Standardavtalsklausuler) om mottagaren deltar i ett godkänt certifieringssystem (t.ex. Privacy Shield mellan EU och USA), om bindande företagsbestämmelser tillämpas i enlighet med artikel 47 i Dataskyddsförordningen eller om det finns ett undantag för särskilda situationer i enlighet med artikel 49 i Dataskyddsförordningen (till exempel när den registrerade uttryckligen har samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder). Mer information och en kopia av de genomförda åtgärderna kan erhållas från den kontakt som anges under 6.
3. Lagringstider
Om inte annat uttryckligen anges vid tidpunkten för insamlingen av dina personuppgifter (t.ex. i en samtyckesförklaring), kommer dina personuppgifter att raderas om de inte längre behövs för att uppfylla de ändamål för vilka de samlades in och om vi inte har några lagstadgade skyldigheter att behålla dem (såsom skatterättsliga eller handelsrättsliga) eller behöver dem för fastställande, utövande eller försvar av rättsliga anspråk.
4. Rätt till tillgång till och rättelse eller radering av personuppgifter, begränsning av behandling, rätt att invända mot behandling, rätt till dataportabilitet och rätt att dra tillbaka uttryckligen beviljat samtycke
- I enlighet med artikel 15 i Dataskyddsförordningen har du rätt att erhålla bekräftelse från den personuppgiftsansvarige på huruvida personuppgifter som rör dig håller på att behandlas eller inte och att i så fall få tillgång till information om dessa uppgifter.
- I enlighet med artikel 16 i Dataskyddsförordningen har du rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter rättade och att komplettera ofullständiga
- I enlighet med artikel 17 i Dataskyddsförordningen har du rätt att få dina personuppgifter raderade.
- I enlighet med artikel 18 i Dataskyddsförordningen har du rätt att kräva att behandlingen begränsas.
- I enlighet med artikel 20 i Dataskyddsförordningen har du rätt till dataportabilitet.
- I enlighet med artikel 21 i Dataskyddsförordningen har du rätt att göra invändningar mot behandling av dina personuppgifter.
- Slutligen har du rätt att inlämna klagomål till tillsynsmyndigheten.
- Om behandlingen av dina personuppgifter grundar sig på ditt samtycke har du rätt att återkalla ditt samtycke när som helst. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke innan detta återkallas.
För att vi effektivt ska kunna besvara en sådan begäran ber vi dig att kontakta oss med hjälp av kontaktuppgifterna nedan och att förse oss med en bekräftelse på din identitet, till exempel genom att sända oss en elektronisk kopia av din ID-handling.
5. Skydd av dina personuppgifter
Säkerheten för dina personuppgifter är oerhört viktig för oss. Vi vidtar specifika åtgärder för att skydda dina personuppgifter mot förlust, missbruk, obehörig åtkomst, ändring eller avslöjande. Dessa innefattar följande:
- Begränsad tillgång till våra lokaler (åtkomstkontroll)
- Åtkomsträttigheter och skydd av medier (åtkomst- och överföringskontroll)
- Nätverksrelaterade säkerhetsåtgärder som antivirusprogram, brandväggar, säkerhetsuppdateringar etc. (nätverkskontroll)
Alla personuppgiftsbiträden som vi anlitar är bundna av vårt säkerhetskoncept och är skyldiga att införa samma eller likvärdiga säkerhetsåtgärder.
6. Kontakt
För frågor som rör dataskydd och för att göra dina rättigheter gällande, kontakta vår
dataskyddsorganisation på tuulikki.louhelainen@voestalpine.com
Detta dataskyddsmeddelande till affärspartners kan komma att revideras vid behov. Datum för senaste revidering finns angivet i sidfoten.