Integritetspolicy Hörby kommuns industrifastighets AB

1 GENERELLT OM INTEGRITETSSKYDD

Den 25 maj 2018 trädde EU-förordningen ”General Data Protection Regulation” – GDPR – i kraft. Det är en förordning som gäller inom hela EU och som har kompletterats med nationell lagstiftning i varje medlemsland. Reglerna syftar till att skydda den enskildes integritet vid gäller behandling av personuppgifter. I Sverige har vi antagit dataskyddslagen och även kamerabevakningslagen som båda bygger på GDPR.

Denna policy redogör för hur Hörby kommuns Industrifastighets AB nedan kallat (Hifab) behandlar personuppgifter i vår verksamhet. Vi har valt att beteckna all integritetslagstiftning nedan med den vedertagna förkortningen ”GDPR”.

Har du en fråga hur vi behandlar just dina personuppgifter i det enskilda fallet, ber vi dig kontakta oss vårt Dataskyddsombud direkt via kontaktuppgifterna nedan.

2 VEM HAR ANSVARET FÖR ATT REGLERNA FÖLJS?

Den som bestämmer över en personuppgiftsbehandling är den som ytterst har det så kallade personuppgiftsansvaret. Hifab har detta personuppgiftsansvar. Hifabs styrelse har det övergripande ansvaret för att GDPR åtföljs inom organisationen. Personuppgiftsansvaret kan leda till höga sanktionsavgifter och skadestånd vid allvarliga överträdelser av reglerna in GDPR.

3 OM BEGREPPEN PERSONUPPGIFT OCH BEHANDLING AV PERSONUPPGIFTER

GDPR:s regler gäller för behandling av personuppgifter. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk levande person. Exempel på direkt hänförliga personuppgifter är namn, personnummer, telefonnummer, adress, fotografier och film. En indirekt hänförlig uppgift är t.ex. ett lägenhetsnummer. Så snart en personuppgift används, genom t ex insamling, registrering, lagring, komplettering, ändring eller användning, utgör det behandling av personuppgift.

Reglerna i GDPR gäller vid all behandling av personuppgifter i datorer och IT-system men kan i vissa fall också omfatta manuell hantering om hanteringen sker systematiskt, exempelvis genom att uppgifter katalogiseras i ett register. Även personuppgifter som behandlas i löpande text, som t.ex. på hemsida och i e-post, omfattas av GDPR:s regler.

4 SÄRSKILT OM KÄNSLIGA PERSONUPPGIFTER

I GDPR definieras vissa slag av personuppgifter som känsliga och för dessa uppgifter är huvudregeln förbud mot behandling. Känsliga personuppgifter är t.ex. uppgifter om en persons politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgifter som rör hälsa eller sexualliv. Förbudet gäller inte bara behandling som direkt avslöjar eller rör något sådant förhållande utan även om det kan utläsas indirekt. Det är dock tillåtet med behandling av känsliga personuppgifter inom arbetsgivaransvaret, dock under förutsättning att dessa uppgifter hanteras som extra skyddsvärda. Hifab säkerställer att alla personuppgifter i vår verksamhet hanteras helt i enlighet med GDPR:s krav på säkerhetsåtgärder.

5 ÄNDAMÅL OCH NÖDVÄNDIGA UPPGIFTER

Personuppgifter får endast samlas in för på förhand bestämda, särskilt uttryckligt angivna och berättigade ändamål. Personuppgifter får inte behandlas för något annat ändamål än de ändamål för vilket/vilka uppgifterna samlades in. De personuppgifter som behandlas ska vara korrekta och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än som är nödvändigt med hänsyn till ändamålet med behandlingen

6 LAGLIGA GRUNDER

Det krävs en så kallad laglig grund för att få behandla personuppgifter. Under förutsättning att ett ändamål med behandlingen föreligger så får Hifab bara behandla personuppgifter enligt någon av följande grunder;

  1. om det är nödvändigt för att ett avtal med den registrerade (det vill säga den fysiska person vars uppgifter som berörs) ska kunna ingås eller fullgöras,
  2. om det krävs med anledning av en rättslig förpliktelse, eller
  3. efter intresseavvägning eller
  4. om den registrerade har lämnat sitt samtycke till behandlingen,

7 SÄRSKILT OM INTRESSEAVVÄGNING

Behandling av personuppgifter är tillåten om det är nödvändigt för att ett berättigat intresse hos Hifab ska kunna tillgodoses – det vill säga om detta intresse väger tyngre än den registrerades intresse av skydd för sina personuppgifter. En bedömning av vad som är ett berättigat intresse måste göras i varje enskilt fall. Vad som måste vägas in är i vilket sammanhang uppgifterna förekommer, vilken typ av personuppgifter det handlar om, för vilket ändamål de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till. Uppgifternas innehåll påverkar också intresseavvägningen.

8 SÄRSKILT OM SAMTYCKE

Den lagliga grunden samtycke innebär att den registrerade har sagt ja till personuppgiftsbehandlingen efter att ha fått tydlig information. En vanlig missuppfattning är att man alltid kan använda, eller att det alltid krävs, samtycke för att få behandla någons personuppgifter. Men i många fall är det inte lämpligt eller ens möjligt att stödja sig på samtycke.

Hifab ansvarar för om ett samtycke är lämpligt och uppfyller kraven. För att det ska vara lämpligt måste det vara frivilligt och får inte omfatta onödiga krav, och personen ska alltid kunna säga nej utan att drabbas av konsekvenser. Samtycket ska även alltid kunna återkallas och behandlingen måste då upphöra. Kan vi stödja en personuppgiftsbehandling på någon av de andra lagliga grunderna så får och bör vi inte inhämta samtycke.

HÖRBY KOMMUNS INDUSTRIFASTIGHETS AB BEHANDLAR HUVUDSAKLIGEN FÖLJANDE PERSONUPPGIFTER I VÅR VERKSAMHET

9 PERSONUPPGIFTER INOM RAMEN FÖR AVTAL MED HYRESGÄSTER, EXTERNA LEVERANTÖRER OCH EXTERNA PARTER

Utgångspunkten är att Hifab har rätt att behandla personuppgifter som behövs för att fullgöra ett avtalsförhållande med den registrerade. Det mesta inom vår verksamhet grundar sig på avtal i någon form och avtal är således den huvudsakliga lagliga grunden för merparten av vår personuppgiftsbehandling. Hifab har exempelvis avtal med;

  • Privatpersoner som företrädare för våra fastighetshyresgäster
  • Avtalsparter som juridiska personer inom ramen för vår verksamhet

Behandling av uppgifter är även tillåten, om det sker för att tillvarata rättsliga anspråk grundade på avtalet, till exempel för att kunna driva in en fordran.

10 PERSONUPPGIFTER I MARKNADSFÖRING

Hifab behandlar personuppgifter för olika marknadsföringsändamål.

Behandling av personuppgifter i ren marknadsföring, utan att det finns ett avtal på plats, sker enligt den lagliga grunden intresseavvägning. Avvägning sker mellan Hifabs kommersiella intressen av att använda personuppgifterna för t.ex. utskick eller inbjudningar, och den registrerades intresse av att få ha sina personuppgifter i fred. Intresset av att marknadsföra tex våra fastigheter och tjänster är normalt ett sådant berättigat intresse som ger Hifab rätt att behandla personuppgifter så länge personuppgifterna endast omfattar namn och kontaktuppgifter.

11 ÅTKOMST TILL PERSONUPPGIFTER

Åtkomsten till personuppgifter ska vara begränsad till de som behöver ha tillgång till de aktuella personuppgifterna för att kunna utföra sina arbetsuppgifter.

Värderande, kränkande eller i övrigt diskriminerande omdömen och formuleringar får inte under några omständigheter noteras, varken i Hifabs IT-system eller på annan plats eller fysiskt på papper. Formulering som exempelvis ”dålig betalare” ska således inte användas, däremot får fakta om betalningsförseningar registreras.

12 GALLRING

Personuppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. När ett avtalsförhållande upphör ska gallring av personuppgifterna således ske efter en bestämd tid. Personuppgifter som inte behöver gallras omedelbart när avtalsförhållandet upphör är t.ex. uppgifter i hyresavtal eller övriga kontrakt, som får sparas så länge det är nödvändigt för att bevaka kvarstående fordringar eller så länge bokföringsregler så kräver. I praktiken innebär detta att uppgifterna vanligtvis inte får sparas längre än 10 år.

I Hifabs förteckning över personuppgiftsbehandlingar framgår respektive behandlings/systems gallringsrutiner. Se mer om detta register nedan.

13 UTLÄMNANDE AV PERSONUPPGIFTER

Personuppgifter får endast ges ut till tredje man om;

  • ett avtal med den registrerade ska kunna fullgöras,
  • skyldighet att lämna ut uppgifterna följer av lag eller
  • den registrerade har lämnat sitt samtycke.

14 DEN REGISTRERADES RÄTTIGHETER

När dina personuppgifter behandlas av oss har du vissa rättigheter som vi alltid måste tillgodose dig på bästa sätt. Du kan läsa mer om dem nedan;

Insyn och registerutdrag

Du har rätt att kostnadsfritt få ut ett registerutdrag som ger dig information om vilka av dina personuppgifter vi behandlar, hur vi behandlar dem, hur länge vi sparar dem, samt vilka som tar del av dem och vilka aktörer vi eventuellt delar dem med.

Ändra uppgifter

Du har rätt att få felaktiga personuppgifter rättade eller att få ofullständiga personuppgifter kompletterade.

Radera uppgifter

I vissa fall har du rätt att få personuppgifter raderade. Det kallas också ”rätten att bli bortglömd”. I dessa fall ska Hifab utan onödigt dröjsmål radera uppgifterna. Under vissa förutsättningar har du också rätt att invända mot hur dina personuppgifter behandlas

Föra över uppgifter

Du har rätt att under vissa förutsättningar begära att få dina personuppgifter överförda till en annan personuppgiftsansvarig, s k dataportabilitet. Detta under förutsättning att överföringen är teknisk möjlig och kan ske i elektroniskt format.

Klagomål

Om du inte är nöjd med hur dina personuppgifter behandlats eller upplever att dina uppgifter blivit felaktigt hanterade har du möjlighet att lämna klagomål hos Integritetsskyddsmyndigheten (f d Datainspektionen), Box 8114, 104 20 Stockholm.

15 PERSONUPPGIFTSINCIDENTER

En personuppgiftsincident uppstår om Hifab förlorar kontrollen över personuppgifter som Hifab har ansvar för. Det kan röra sig om intrång i IT-system men gäller också om någon på Hifab tappar bort en dator eller telefon. Även ett e-postmeddelande med personuppgifter i som av misstag har skickats till obehörig person är en incident. Om Hifab misstänker att personuppgifter som företaget hanterar kan ha läckt till obehöriga ska det anmälas till Hifabs dataskyddsombud så snart det bara går. Anmälan till Integritetsskyddsmyndigheten ska även ske inom 72 timmar från dess att Hifab har fått vetskap om personuppgiftsincidenten, om det efter en utredning om incidenten bedöms nödvändigt.

16 REGISTER ÖVER PERSONUPPGIFTSBEHANDLING

De register och system som innehåller personuppgifter hos Hörby Industrifastighets AB är sammanställda i ett s k register över personuppgiftsbehandlingar. Registret finns hos vår VD som har det övergripande ansvaret att tillse att detta uppdateras löpande och att instruktionerna i det följs.

17 KONTAKT RÖRANDE GDPR

Hifab har ett Dataskyddsombud som ansvarar för att Hifab behandlar personuppgifter i enlighet med gällande lagar, regler och praxis. Om du vill utnyttja någon av dina rättigheter eller om du har generella frågor kring hur personuppgifter behandlas vänligen kontakta oss via nedan uppgifter;

Hörby kommuns Industrifastighets AB
Vallgatan 6 A
242 31 Hörby
e-mail: dataskyddsombud@horbyindustrifastigheter.se

ÄNDRING AV VÅR INTEGRITETSPOLICY
Hifab kan komma att från tid till annan göra ändringar i denna integritetspolicy. Den senaste versionen av integritetspolicyn finns alltid tillgänglig på vår webbsida. Denna version är senast uppdaterad 210203.

Fick du hjälp av informationen på sidan?

Kontakta oss