Information om personuppgiftsbehandling - konsulter och leverantörer
Senast uppdaterad juni 2022
Denna informationstext beskriver behandlingen av personuppgifter för:
- Konsulter och leverantörer som utför uppdrag för NCC antingen genom eget företag (t.ex. enskild firma) eller genom att din arbetsgivare tillhandahåller konsulttjänster till NCC.
- Inhyrd personal.
- Anställda hos underentreprenör till NCC
Med personuppgifter menas information som direkt eller indirekt kan identifiera dig, t.ex. ditt namn eller din IP-adress.
Vem är personuppgiftsansvarig för behandlingen av dina personuppgifter?
Det bolag inom NCC-koncernen där du är anlitad som konsult eller inhyrd personal, eller om du är anställd hos en underentreprenör, det NCC-bolag som anlitat din arbetsgivare är personuppgiftsansvarig enligt denna informationstext.
Varifrån samlar vi in personuppgifter?
Vi samlar in personuppgifter från:
- Dig själv. Vi samlar in de personuppgifter som du själv lämnar till oss t.ex. i samband med kommunikation.
- Din arbetsgivare eller uppdragsgivare. Vi samlar in de personuppgifter om dig som din arbetsgivare eller uppdragsgivare delar med oss, t.ex. för att hantera uppdraget hos NCC.
- Anhöriga och andra närstående. I samband med en olyckshändelse, sjukdom eller en liknande händelse kan vi samla in de personuppgifter om dig som en anhörig eller närstående till dig lämnar till oss.
- Koncernbolag. Bolagen inom NCC-koncernen samarbetar med varandra och kan t.ex. i samband med kommunikation dela uppgifter sinsemellan.
- Externa personer. Vi kan även samla in personuppgifter om dig från externa personer som lämnar dina personuppgifter till oss, t.ex. i samband med kommunikation.
- Allmänt tillgängliga informationskällor. Vid anlitandet kan vi även samla in personuppgifter från allmänt tillgängliga informationskällor, t.ex. från sociala nätverksplattformar eller offentliga register.
Vilka personuppgifter samlar vi in?
Vilka personuppgifter vi samlar in beror på hur du interagerar med oss. Vi samlar bara in de personuppgifter som vi behöver, i huvudsak inom följande kategorier av personuppgifter:
- Identitetsuppgifter. Uppgifter som gör det möjligt att identifiera dig, t.ex. ditt namn.
- Kontaktuppgifter. Uppgifter som gör det möjligt att kontakta dig, t.ex. adress, e-postadress och telefonnummer.
- Ersättningsuppgifter. Uppgifter rörande ersättningen för uppdraget, t.ex. timpris och utfört arbete.
- Faktureringsuppgifter. T.ex. betalningsvillkor, kostnadsställe, eller referensnummer, antal timmar, involverad personal.
- Profiluppgifter. Uppgifter om din profil, t.ex. kön, ålder, uppgift om nuvarande arbetsgivare eller uppdragsgivare.
- Kompetensuppgifter. Uppgifter om din kompetens, t.ex. utbildning, yrkeserfarenhet, språkkunskaper och certifieringar.
- Bild- och ljudmaterial. Uppgifter såsom din bild och din röst som har fotograferats eller spelats in, t.ex. fotografi, film eller ljudinspelning.
- Kommunikation. Innehåll i kommunikation med oss, t.ex. innehåll i e-postmeddelanden.
- Logguppgifter. Uppgifter i loggar, t.ex. åtkomstloggar i våra IT-system.
- Incidentuppgifter. Uppgifter rörande en inträffad incident, t.ex. typ av incident, tid och plats för incidenten och information om incidenten i sig.
Om det krävs för att fullgöra ändamålet med behandlingen av personuppgifter kan vi i vissa fall även samla in och behandla andra typer av personuppgifter.
För vilka ändamål och med vilken rättslig grund använder vi dina personuppgifter?
Vi använder dina personuppgifter bland annat för att hantera uppdraget, utvärdera och följa upp avtal och överenskommelser, hantera och dokumentera verksamheten, i samband med kommunikation, för att bemöta rättsliga krav och för att följa lag.
Nedan listar vi närmare information om varför vi använder dina personuppgifter i olika fall. Samtliga behandlingar av personuppgifter behöver inte gälla för dig utan vilka behandlingar som du omfattas av beror på hur du interagerar med oss och om du är konsult, inhyrd personal eller anställd hos underentreprenör.
Hantera uppdraget
Vi använder dina personuppgifter för att hantera uppdraget, t.ex. för att registrera grundläggande uppgifter om dig, hantera användarkonton och arbetsverktyg, samt för att kommunicera i samma syfte.
Personuppgifter |
Rättslig grund |
|
Uppfyllande av avtal. Om uppdragsavtalet har ingåtts med dig genomför vi behandlingen av dina personuppgifter för detta syfte med stöd av uppdragsavtalet. Berättigat intresse. Om uppdragsavtalet har ingåtts med din arbetsgivare eller uppdragsgivare sker behandlingen för att tillgodose vårt och din arbetsgivares eller uppdragsgivares berättigade intresse av att hantera uppdraget. Behandlingen av personnummer är nödvändig för det aktuella ändamålet, dvs. för att hantera uppdraget och säkerställa din identitet. |
Fakturering
Vi använder dina personuppgifter i samband med fakturering av utförda uppdrag, t.ex. för att kunna beräkna och betala ut ersättning samt för att kommunicera i samma syfte.
Personuppgifter |
Rättslig grund |
|
Uppfyllande av avtal. Om uppdragsavtalet har ingåtts med dig genomför vi behandlingen av dina personuppgifter för detta syfte med stöd av uppdragsavtalet. Berättigat intresse. Om uppdragsavtalet har ingåtts med din arbetsgivare eller uppdragsgivare sker behandlingen för att tillgodose vårt och din arbetsgivares eller uppdragsgivares berättigade intresse av att hantera fakturering. Behandlingen av personnummer är nödvändig för det aktuella ändamålet, dvs. för att hantera uppdraget och säkerställa din identitet. |
Leda och fördela arbetet
NCC behandlar dina personuppgifter för att kunna leda och fördela arbetet som du utför i ditt uppdrag.
Personuppgifter |
Rättslig grund |
|
Uppfyllande av avtal. Om uppdragsavtalet har ingåtts med dig genomför vi behandlingen av dina personuppgifter för detta syfte med stöd av uppdragsavtalet. Berättigat intresse. Om uppdragsavtalet har ingåtts med din arbetsgivare eller uppdragsgivare sker behandlingen för att tillgodose vårt och din arbetsgivares eller uppdragsgivares berättigade intresse av att leda och fördela arbetet i ditt uppdrag. |
Kompetensutveckling
NCC behandlar dina personuppgifter för att erbjuda och genomföra kompetensutveckling, t.ex. i samband med frivilliga och lagstadgade kurser och utbildningar, samt för att säkerställa att du har nödvändiga yrkesbehörigheter.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Om uppdragsavtalet har ingåtts med din arbetsgivare eller uppdragsgivare sker behandlingen för att tillgodose vårt och din arbetsgivares eller uppdragsgivares berättigade intresse av att leda och fördela arbetet i ditt uppdrag. Rättslig förpliktelse. Om viss yrkesbehörighet krävs enligt lag behandlar vi sådan uppgift för att fullgöra rättsliga förpliktelser. |
Följa upp och utvärdera avtal och relation
Vi använder dina personuppgifter när det är nödvändigt för att följa upp och utvärdera förhållandet till dig och din arbetsgivare/uppdragsgivare.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att följa upp och utvärdera vårt avtal och vår relation. |
Genomföra möten, event och andra aktiviteter
Om du deltar i ett möte, event eller en annan aktivitet som vi arrangerar använder vi dina personuppgifter för att genomföra mötet, eventet eller aktiviteten, t.ex. för att registrera ditt deltagande, för att kommunicera med dig angående aktiviteten och för att följa upp mötet, eventet eller aktiviteten.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att genomföra möten, event och andra aktiviteter. |
Hantera lokaler
Vi använder dina personuppgifter för att hantera våra lokaler, t.ex. för att hantera rumsbokningar, felanmälningar, IT-supportärenden och för post- och pakethantering. Om du besöker någon av våra arbetsplatser behandlar vi dina personuppgifter för att kunna registrera dig som besökare, hantera parkeringstillstånd och ge dig access till våra lokaler.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att hantera våra lokaler. |
Kommunicera om oss och vår verksamhet
Vi använder dina uppgifter för att kommunicera om oss och vår verksamhet, t.ex. för att publicera information i våra digitala kanaler. För deltagande i reklamaktiviteter så hänvisar vi till vid var tid gällande modellavtal som tecknas med berörda individer inför fotografering.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att kommunicera om oss, vår verksamhet och våra tjänster. |
Dokumentera verksamheten
Vi använder dina uppgifter för att i förekommande fall dokumentera vår verksamhet, t.ex. för att hantera och spara avtal, beslutsunderlag, protokoll och presentationer.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att dokumentera verksamheten. |
Genomföra verksamhetsförändringar
Om vi genomför en verksamhetsförändring hanterar vi om det är nödvändigt dina personuppgifter för samma syfte, t.ex. för att genomföra förhandlingar med berörda fackliga organisationer.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att genomföra verksamhetsförändringar. |
Utrednings- och säkerhetsskäl
Vi använder dina uppgifter av utrednings- och säkerhetsskäl, t.ex. för att hantera tillgång till våra lokaler och för att hantera åtkomst- och behörighetsstyrning till våra IT-system. För samma syfte hanterar vi dina personuppgifter i samband med loggning och uppföljning av IT-användning. Vidare kan vi använda dina personuppgifter för att övervaka efterlevnaden av våra interna policyer, rutiner och instruktioner, inklusive utredningar i samband med detta. Vid hantering av incidenter i verksamheten, t.ex. säkerhetsincidenter, olyckor eller tillbud, och vid genomförande av utredningar kopplat till sådana incidenter kan vi även, om det är nödvändigt, hantera dina personuppgifter. I undantagsfall, t.ex. vid konkreta misstankar om brott, kan vi genomföra utredningar vilka bl.a. kan innefatta platsbesök, genomgång av e-postkorrespondens och material från kamerabevakning samt intervjuer med berörda individer.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att behandla personuppgifter av utrednings- och säkerhetsskäl. För det fall NCC behandlar uppgifter om brott (enligt artikel 10 i GDPR) kommer sådan behandling ske för att tillgodose NCC:s berättigade intresse av att fastställa, göra gällande eller försvara rättsliga anspråk.
|
Följa upp och utvärdera verksamheten
Vi använder dina personuppgifter för att sammanställa rapporter på en övergripande nivå och statistik i syfte att följa upp och utvärdera verksamheten.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att följa upp och utvärdera verksamheten.
|
Genomföra enkätundersökningar
Om du väljer att delta i en enkätundersökning som vi genomför samlar vi in de personuppgifter som du lämnar i samband med enkätundersökningen.
Personuppgifter |
Rättslig grund |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att följa upp och utvärdera verksamheten.
|
Säkerställa teknisk funktionalitet och säkerhet
Vi använder dina personuppgifter för att säkerställa nödvändig teknisk funktionalitet och säkerhet i våra IT-system, t.ex. vid säkerhetsloggning, felhantering och säkerhetskopiering.
Personuppgifter |
Rättslig grund |
Berörda kategorier av personuppgifter |
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att säkerställa nödvändig teknisk funktionalitet och säkerhet i våra IT-system.
|
Hantera och bemöta rättsliga krav
Vi använder dina personuppgifter om det är nödvändigt för att fastställa, göra gällande och försvara rättsliga anspråk, t.ex. i samband med en tvist eller en rättsprocess.
Personuppgifter |
Rättslig grund |
Endast de kategorier av personuppgifter som är nödvändiga för att hantera och bemöta det rättsliga kravet i det enskilda fallet |
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att fastställa, göra gällande och försvara rättsliga anspråk.
|
Hantera visselblåsarrapporter
NCC behandlar personuppgifter om personer som förekommer i visselblåsarrapporter för att kunna ta emot, utreda och ge återkoppling på sådana rapporter samt för att kunna vidta korrigerande åtgärder.
Personuppgifter |
Rättslig grund |
|
Uppfylla rättslig förpliktelse och berättigat intresse. Behandlingen sker för att fullgöra rättsliga förpliktelser samt vårt berättigade intresse av att i förekommande fall kunna vidta korrigerande åtgärder. Om det NCC-bolag som avses har färre än 50 anställda är den rättsliga grunden berättigat intresse. För det fall NCC behandlar uppgifter om brott (enligt artikel 10 i GDPR) kommer sådan behandling ske för att fullgöra rättsliga förpliktelser och för att kunna fastställa, göra gällande och försvara rättsliga anspråk.
|
Inpassering och närvaroregistrering vid byggarbetsplatser
Om du utför arbete på någon av våra byggarbetsplatser behandlar vi dina personuppgifter för att fullgöra våra skyldigheter enligt skattelagstiftning avseende förande av personalliggare och för att främja en säker arbetsmiljö.
Personuppgifter |
Rättslig grund |
|
Uppfylla rättslig förpliktelse och berättigat intresse. Behandlingen sker för att fullgöra rättsliga förpliktelser samt vårt berättigade intresse av att säkerställa en säker och trygg arbetsmiljö.
|
Hur skyddar vi dina personuppgifter?
Vi vidtar åtgärder för att säkerställa att de personuppgifter vi behandlar alltid är skyddade och att vår behandling av dem sker i enlighet med gällande dataskyddsregler och våra interna riktlinjer och rutiner. Informationssäkerhet och säkerställande av lämpligt skydd av personuppgifter är avgörande för oss. Vi strävar efter att genomföra säkerhetsåtgärder enligt den internationella standarden ISO 27000 för att fastställa lämplig skyddsnivå för information och för att förhindra och upptäcka avslöjande av personuppgifter till obehöriga parter.
Vilka mottagare delar vi dina personuppgifter med?
Nedan beskriver vi vilka mottagare som vi delar dina personuppgifter med. Vilka mottagare som vi delar dina personuppgifter beror på hur du interagerar med oss. Om vi inte har angivit annat nedan ansvarar mottagaren för sin egen hantering av dina personuppgifter.
Tjänsteleverantörer
För att hantera personuppgifter delar vi personuppgifter med tjänsteleverantörer som vi har anlitat. Dessa tjänsteleverantörer tillhandahåller exempelvis IT-tjänster. När tjänsteleverantörerna behandlar personuppgifter på vårt uppdrag och enligt våra instruktioner är de personuppgiftsbiträden till oss och vi ansvarar för hanteringen av dina personuppgifter. Tjänsteleverantörerna får inte använda dina personuppgifter för sina egna ändamål och de är skyldiga enligt lag och avtal med oss att skydda dina uppgifter.
Din arbetsgivare eller uppdragsgivare
För att hantera uppdraget, för att följa upp och utvärdera förhållandet, i samband med kommunikation och av utrednings- och säkerhetsskäl samt för att kunna fastställa, göra gällande och försvara rättsliga anspråk delar vi, i förekommande fall, personuppgifter med din arbetsgivare eller uppdragsgivare.
Ändamål |
Personuppgifter |
Rättslig grund |
Hantera uppdraget |
|
Uppfyllande av avtal. Om uppdragsavtalet har ingåtts med dig genomför vi behandlingen av dina personuppgifter för detta syfte med stöd av uppdragsavtalet. Berättigat intresse. Om uppdragsavtalet har ingåtts med din arbetsgivare eller uppdragsgivare sker behandlingen för att tillgodose vårt och din arbetsgivares eller uppdragsgivares berättigade intresse av att hantera uppdraget. |
Följa upp och utvärdera avtal och relation |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att hantera uppdraget. |
Kommunikation mellan medarbetare och extern personal |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att medarbetare och externa personer kommunicerar. |
Utredning och säkerhetsskäl |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att behandla personuppgifter av utrednings- och säkerhetsskäl. |
Hantera och bemöta rättsliga krav | Endast de kategorier av personuppgifter som är nödvändiga för att hantera och bemöta det rättsliga kravet i det enskilda fallet |
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att hantera och bemöta rättsliga krav. |
Myndigheter och fackliga organisationer
I vissa fall delar vi personuppgifter med fackliga organisationer, t.ex. för att genomföra en verksamhetsförändring eller för att hantera och bemöta rättsliga krav (t.ex. i samband med en tvist eller rättsprocess).
Ändamål |
Personuppgifter |
Rättslig grund |
Hantera och bemöta rättsliga krav. |
Endast de kategorier av personuppgifter som är nödvändiga för att hantera och bemöta det rättsliga kravet i det enskilda fallet. |
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att hantera och bemöta rättsliga krav. |
Fullgöra rättsliga förpliktelser t.ex. inom arbetsrättens område och skatteområdet |
Endast de kategorier av personuppgifter som är nödvändiga för att hantera och bemöta det rättsliga kravet i det enskilda fallet. |
Rättslig förpliktelse. Behandlingen är nödvändig för att vi ska kunna fullgöra rättsliga förpliktelser, t.ex. inom arbetsrätten och skatteområdet. |
Koncernbolag
Bolagen i koncernen samarbetar med varandra och delar därför uppgifter sinsemellan. I den utsträckning koncernbolag hanterar personuppgifter på vårt uppdrag och enligt våra instruktioner, t.ex. för att hantera uppdraget, är de personuppgiftsbiträden till oss och vi ansvarar för deras hantering av dina personuppgifter.
Ändamål |
Personuppgifter |
Rättslig grund |
Kommunikation mellan medarbetare och externa personer |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att medarbetare och externa personer kommunicerar. |
Hantera och bemöta rättsliga krav |
Endast de kategorier av personuppgifter som är nödvändiga för att hantera och bemöta det rättsliga kravet i det enskilda fallet |
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att hantera och bemöta rättsliga krav. |
Utrednings- och säkerhetsskäl |
|
Berättigat intresse.Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att behandla personuppgifter av utrednings- och säkerhetsskäl. För det fall NCC behandlar uppgifter om brott (enligt artikel 10 i GDPR) kommer sådan behandling ske för att tillgodose NCC:s berättigade intresse av att fastställa, göra gällande eller försvara rättsliga anspråk. |
Utredning och säkerhetsskäl |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att behandla personuppgifter av utrednings- och säkerhetsskäl. |
Hantera visselblåsarrapporter |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att behandla personuppgifter för att hantera visselblåsarrapporter. |
Hotell och konferensanläggningar
Vi delar dina personuppgifter med hotell- och konferensanläggningar, t.ex. i samband med genomförande av möten, event och andra aktiviteter.
Ändamål |
Personuppgifter |
Rättslig grund |
Genomföra möten, event och andra aktiviteter |
|
Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att genomföra möten, event och andra aktiviteter. |
Övriga mottagare
I vissa fall, när det är nödvändigt, delar vi dina personuppgifter med andra mottagare för vissa syften.
Ändamål |
Personuppgifter |
Rättslig grund |
Domstolar, skiljenämnder och ombud |
För att fastställa, göra gällande och försvara rättsliga anspråk |
För att tillgodose vårt och ditt berättigade intresse av att få tvister avgjorda av behöriga instanser. |
Leverantörer, kunder och samarbetspartners |
Hantera vårt förhållande till leverantörer, kunder och samarbetspartners |
För att tillgodose vårt berättigade intresse av att hantera vårt förhållande till leverantörer, kunder och samarbetspartners |
Försäkringsbolag |
Hantera vårt förhållande till leverantörer, kunder och samarbetspartners |
För att tillgodose vårt berättigade intresse av att fastställa göra gällande och försvara rättsliga anspråk. |
Potentiella köpare |
Genomföra eventuell avyttring av hela eller delar av vår verksamhet |
För att tillgodose vårt berättigade intresse av att genomföra eventuell avyttring. |
Kreditupplysningsföretag och företag som gör bakgrundskontroller |
Genomföra kreditupplysning inför kund/leverantörsrelation på juridiska personer samt bakgrundskontroller. |
För att tillgodose vårt berättigade intresse av att genomföra kreditupplysning inför kund/leverantörsrelation på juridiska personer samt bakgrundskontroller. |
Var behandlar och lagrar vi personuppgifterna?
Vi strävar alltid efter att spara personuppgifter inom EU. I vissa fall delas dina personuppgifter med mottagare utanför EU/EES-området, t.ex. tjänsteleverantörer som vi har anlitat.
För att säkerställa att personuppgifterna är skyddade ser vi till att det finns lämpliga skyddsåtgärder på plats med samtliga tjänsteleverantörer som hanterar dina personuppgifter utanför EU/EES-området i ljuset av mottagarlandets lagstiftning. Normalt ingår vi dataöverföringsavtal som innehåller s.k. standardavtalsklausuler för överföring av personuppgifter.
Om du vill ha närmare information om till vilka länder utanför EU/EES-området vi överför dina personuppgifter och vilka skyddsåtgärder som vi har vidtagit för att skydda dina personuppgifter vänligen kontakta oss, se nedan för kontaktuppgifter.
Hur länge sparar vi dina personuppgifter?
NCC bevarar dina personuppgifter så länge som det är nödvändigt för att uppfylla de ändamål som framgår i denna informationstext om inte en längre bevarandeperiod krävs eller är tillåten enligt lokal lag som NCC är bunden av. Vi använder följande kriterier för att fastställa bevarandeperioden:
- så länge vi har en pågående relation med dig (antingen som enskild individ eller i din roll som anställd hos ett av NCC anlitat företag);
- så länge som krävs enligt rättsliga förpliktelser som NCC är bunden av (såsom skatte- och redovisningsförpliktelser);
- så länge som är lämpligt mot bakgrund av vår rättsliga ställning (såsom tillämpliga preskriptionsbestämmelser i lag) och
- så länge det är nödvändigt för andra berättigade verksamhetsskäl (t.ex. uppföljning av leverantörsförhållanden och dokumentering av verksamheten).