S-BUSINESS REGISTER FÖR SANKTIONSÖVERVAKNING
DATASKYDDSBESKRIVNING (uppdaterad 3/2025)
Personuppgiftsansvarig
S-Business Oy
Flemingsgatan 34, 00510 Helsingfors
FO-nummer 2389183-8
Dataskyddsombudets kontaktuppgifter
tietosuojavastaava@sok.fi
Den personuppgiftsansvariges kontaktuppgifter
S-Business Oy
E-post: s-business@sok.fi
Telefon: 010 768 0820
Ändamål med behandling av personuppgifter
Sanktioner är ett sätt för stater och internationella institutioner (t.ex. EU eller FN) att påverka verksamheten hos enskilda länder, statliga och icke-statliga individer och företag för att uppnå utrikespolitiska mål. Genom sanktioner försöker man bland annat förhindra att enskilda aktörer får tillgång till produkter, tjänster eller andra resurser och således försvåra eller förhindra aktörernas agerande.
Företags- och personuppgifter behandlas i DOKS-tjänsten i syfte att genomföra sanktionskontroller.
En sanktionskontroll av den andra parten måste genomföras innan samarbete och avtal kan ingås. Dessutom måste sanktionskontrollen göras på nytt med jämna mellanrum under hela avtalsförhållandets giltighetstid.
Grund för behandling av personuppgifter
Behandlingen av personuppgifter för sanktionsövervakning av motparten grundar sig på en lagstadgad skyldighet och ett berättigat intresse.
Det är viktigt att S-Business organiserar en ändamålsenlig sanktionsövervakning, så att inte S-Business själv bryter mot sanktionsregleringen och så att S-Gruppens produkter och tjänster inte används i strid med sanktionsregleringen, vare sig avsiktligt eller oavsiktligt. Inga transaktioner av något slag får genomföras direkt eller indirekt med parter som är föremål för sanktioner.
S-Business måste följa EU:s och FN:s sanktioner som sådana, vilka verkställs genom lagstiftning. Behandlingen av personuppgifter grundar sig i detta avseende på en lagstadgad skyldighet. Finansieringsavtal förpliktar dessutom S-Business att iaktta sanktioner utfärdade av Förenta staterna och Förenade kungariket. För dessa baseras behandlingen på ett berättigat intresse.
Uppgifter som krävs för kontrollen av sanktionslistan
- FO-nummer och företagsnamn för finska företag
- registreringsnummer, företagsnamn och landskod för utländska företag, samt tilläggsuppgifter i form av gatuadress, postadress och postort.
Personuppgifter som behandlas
- namn och födelsedatum för företagens verkliga förmånstagare
- namn och födelsedatum för företagens ansvarspersoner.
Kategorier av personuppgifter som behandlas
Namn, födelsedatum och kontaktuppgifter till representanter för kunder och leverantörer.
Uppgiftskälla och beskrivning av uppgiftskällorna, om uppgifterna har samlats in från offentliga källor
Vi samlar in företagens uppgifter från S-Business kund- och leverantörsregister, varifrån de exporteras till systemet för sanktionsövervakning.
Systemet för sanktionsövervakning jämför de inmatade uppgifterna med uppgifterna i företags- och organisationsdatasystemet och med sanktionslistor.
Mottagare av personuppgifter
Personuppgifter behandlas i elektroniska system och tjänster för de ändamål som har fastställts i denna beskrivning. Vi anlitar externa servicepartner för att tillhandahålla system- och supporttjänster. Personuppgifter kan överföras till servicepartner i den omfattning som de deltar i genomförandet av åtgärder inom ramen för det givna uppdraget.
Vi säkerställer att våra partner har en adekvat skyddsnivå för personuppgifter i enlighet med lagstiftningen.
Vi lämnar inte ut registeruppgifter till tredje part. Detta gäller inte utlämnande av uppgifter till myndigheter i enlighet med villkoren och skyldigheterna i gällande lagstiftning, till exempel när vi svarar på myndigheters uppgiftsförfrågningar.
Överföring av personuppgift till tredje land eller till internationell organisation samt tillämpade skyddsåtgärder
Vi överför inga personuppgifter till tredjeländer utanför EU eller EES eller till internationella organisationer.
Lagringstid för personuppgifter och kriterier för fastställande av lagringstid
Personuppgifter i enlighet med denna beskrivning lagras endast så länge och i den omfattning som de är nödvändiga och som den personuppgiftsansvarige använder dem för verksamhet som hänför sig till ovannämnda behandlingsändamål. Sanktionskontroller av den andra parten görs under avtalets giltighetstid, varefter uppgifterna raderas manuellt från tjänsten för sanktionsövervakning.
Uppgifter om de kontroller som gjorts för att uppfylla ansvarsskyldigheten sparas i fem år.
Den registrerades rättigheter
Registrerade personer har följande rättigheter:
- Rätt till tillgång till personuppgifter genom att lämna en informationsbegäran
- Rätt till rättelse
- Rätt till begränsning av behandling
- Rätt att motsätta sig behandling
- Rätt att få information om en personuppgiftsincident
Om en person vill utöva sina rättigheter eller få mer information om behandlingen av sina personuppgifter kan hen kontakta den personuppgiftsansvarige som anges i denna dataskyddsbeskrivning.
Personen har också rätt att lämna in ett klagomål till tillsynsmyndigheten, om hen anser att vi bryter mot de tillämpliga bestämmelserna om dataskydd vid behandlingen av personuppgifterna.
Följder av att personuppgifter inte lämnas vid avtal
Om personuppgifterna inte lämnas till S-Business Oy kan en kundrelation inte ingås.
Allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna
Vi skyddar personuppgifterna omsorgsfullt under hela deras livscykel genom adekvata skyddsåtgärder. I S-gruppen skyddar vi personuppgifterna bland annat genom proaktiv riskhantering och säkerhetsplanering, metoder för att skydda datakommunikationen, ständigt underhåll av datasystemen och säkerhetskopiering samt genom att använda säkra IT-lokaliteter, åtkomstkontroll och säkerhetssystem. Beviljande och övervakning av användarbehörigheter sker kontrollerat. Vi utbildar regelbundet vår personal som deltar i behandlingen av personuppgifter. Vi väljer våra underleverantörer med omsorg. Vi uppdaterar kontinuerligt vår interna praxis och våra anvisningar.
Om vi trots alla våra säkerhetsåtgärder upptäcker en personuppgiftsincident, börjar vi genast utreda denna och strävar efter att förhindra skador. Vi informerar behöriga myndigheter och de registrerade om personuppgiftsincidenter i enlighet med kraven i lagstiftningen.
