Integritetspolicy Hörbybostäder

1 GENERELLT OM INTEGRITETSSKYDD

Den 25 maj 2018 trädde EU-förordningen ”General Data Protection Regulation” – GDPR – i kraft. Det är en förordning som gäller inom hela EU och som har kompletterats med nationell lagstiftning i varje medlemsland. Reglerna syftar till att skydda den enskildes integritet vid gäller behandling av personuppgifter. I Sverige har vi antagit dataskyddslagen och även kamerabevakningslagen som båda bygger på GDPR.

Denna policy redogör för hur Hörbybostäder behandlar personuppgifter i vår verksamhet. Vi har valt att beteckna all integritetslagstiftning nedan med den vedertagna förkortningen ”GDPR”.

Har du en fråga hur vi behandlar just dina personuppgifter i det enskilda fallet, ber vi dig kontakta oss vårt Dataskyddsombud direkt via kontaktuppgifterna nedan.

2 VEM HAR ANSVARET FÖR ATT REGLERNA FÖLJS?

Den som bestämmer över en personuppgiftsbehandling är den som ytterst har det så kallade personuppgiftsansvaret. Hörbybostäder har detta personuppgiftsansvar. Hörbybostäders styrelse har det övergripande ansvaret för att GDPR åtföljs inom organisationen. Personuppgiftsansvaret kan leda till höga sanktionsavgifter och skadestånd vid allvarliga överträdelser av reglerna in GDPR.

3 OM BEGREPPEN PERSONUPPGIFT OCH BEHANDLING AV PERSONUPPGIFTER

GDPR:s regler gäller för behandling av personuppgifter. Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk levande person. Exempel på direkt hänförliga personuppgifter är namn, personnummer, telefonnummer, adress, fotografier och film. En indirekt hänförlig uppgift är t.ex. ett lägenhetsnummer. Så snart en personuppgift används, genom t ex insamling, registrering, lagring, komplettering, ändring eller användning, utgör det behandling av personuppgift.

Reglerna i GDPR gäller vid all behandling av personuppgifter i datorer och IT-system men kan i vissa fall också omfatta manuell hantering om hanteringen sker systematiskt, exempelvis genom att uppgifter katalogiseras i ett register. Även personuppgifter som behandlas i löpande text, som t.ex. på hemsida och i e-post, omfattas av GDPR:s regler.

4 SÄRSKILT OM KÄNSLIGA PERSONUPPGIFTER

I GDPR definieras vissa slag av personuppgifter som känsliga och för dessa uppgifter är huvudregeln förbud mot behandling. Känsliga personuppgifter är t.ex. uppgifter om en persons politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgifter som rör hälsa eller sexualliv. Förbudet gäller inte bara behandling som direkt avslöjar eller rör något sådant förhållande utan även om det kan utläsas indirekt. Det är dock tillåtet med behandling av känsliga personuppgifter inom arbetsgivaransvaret, dock under förutsättning att dessa uppgifter hanteras som extra skyddsvärda. Hörbybostäder säkerställer att alla personuppgifter rörande våra anställda hanteras helt i enlighet med GDPR:s krav på säkerhetsåtgärder. Du kan läsa mer om behandling av personuppgifter inom HR nedan.

5 ÄNDAMÅL OCH NÖDVÄNDIGA UPPGIFTER

Personuppgifter får endast samlas in för på förhand bestämda, särskilt uttryckligt angivna och berättigade ändamål. Personuppgifter får inte behandlas för något annat ändamål än de ändamål för vilket/vilka uppgifterna samlades in. De personuppgifter som behandlas ska vara korrekta och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än som är nödvändigt med hänsyn till ändamålet med behandlingen.

6 LAGLIGA GRUNDER

Det krävs en så kallad laglig grund för att få behandla personuppgifter. Under förutsättning att ett ändamål med behandlingen föreligger så får Hörbybostäder bara behandla personuppgifter enligt någon av följande grunder;

  1. om det är nödvändigt för att ett avtal med den registrerade (det vill säga den fysiska person vars uppgifter som berörs) ska kunna ingås eller fullgöras,
  2. om det krävs med anledning av en rättslig förpliktelse, eller
  3. efter intresseavvägning eller
  4. om den registrerade har lämnat sitt samtycke till behandlingen,

7 SÄRSKILT OM INTRESSEAVVÄGNING

Behandling av personuppgifter är tillåten om det är nödvändigt för att ett berättigat intresse hos Hörbybostäder ska kunna tillgodoses – det vill säga om detta intresse väger tyngre än den registrerades intresse av skydd för sina personuppgifter. En bedömning av vad som är ett berättigat intresse måste göras i varje enskilt fall. Vad som måste vägas in är i vilket sammanhang uppgifterna förekommer, vilken typ av personuppgifter det handlar om, för vilket ändamål de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till. Uppgifternas innehåll påverkar också intresseavvägningen.

8 SÄRSKILT OM SAMTYCKE

Den lagliga grunden samtycke innebär att den registrerade har sagt ja till personuppgiftsbehandlingen efter att ha fått tydlig information. En vanlig missuppfattning är att man alltid kan använda, eller att det alltid krävs, samtycke för att få behandla någons personuppgifter. Men i många fall är det inte lämpligt eller ens möjligt att stödja sig på samtycke.

Hörbybostäder ansvarar för om ett samtycke är lämpligt och uppfyller kraven. För att det ska vara lämpligt måste det vara frivilligt och får inte omfatta onödiga krav, och personen ska alltid kunna säga nej utan att drabbas av konsekvenser. Maktförhållandet måste dessutom vara jämlikt, vilket det generellt sett inte anses vara mellan exempelvis en arbetsgivare och arbetstagare. Samtycket ska även alltid kunna återkallas och behandlingen måste då upphöra. Kan vi stödja en personuppgiftsbehandling på någon av de andra lagliga grunderna så får och bör vi inte inhämta samtycke.

HÖRBYBOSTÄDER BEHANDLAR HUVUDSAKLIGEN FÖLJANDE PERSONUPPGIFTER I VÅR VERKSAMHET:

9 PERSONUPPGIFTER INOM RAMEN FÖR AVTAL MED MEDLEMMAR, BOSTADSHYRESGÄSTER, EXTERNA LEVERANTÖRER OCH EXTERNA PARTER

Utgångspunkten är att Hörbybostäder har rätt att behandla personuppgifter som behövs för att fullgöra ett avtalsförhållande med den registrerade. Det mesta inom vår verksamhet grundar sig på avtal i någon form och avtal är således den huvudsakliga lagliga grunden för merparten av vår personuppgiftsbehandling. Hörbybostäder har exempelvis avtal med;

  • Privatpersoner som hyresgäster
  • Avtalsparter som juridiska personer inom ramen för vår verksamhet
  • Konsulter
  • Anställda, se mer om HR nedan

Behandling av uppgifter är även tillåten, om det sker för att tillvarata rättsliga anspråk grundade på avtalet, till exempel för att kunna driva in en fordran.

10 PERSONUPPGIFTER I MARKNADSFÖRING

Hörbybostäder behandlar personuppgifter för olika marknadsföringsändamål. Sådana kan vara när du tar del av nyhetsbrev och utskick, när du lämnar synpunkter i våra kontaktformulär eller via telefon, om du laddar ned rapporter från Hörbybostäders webbsidor eller om du anmäler dig till evenemang som Hörbybostäder anordnar.
Behandling av personuppgifter i ren marknadsföring, utan att det finns ett avtal på plats, sker enligt den lagliga grunden intresseavvägning. Avvägning sker mellan Hörbybostäders kommersiella intressen av att använda personuppgifterna för t.ex. utskick eller inbjudningar, och den registrerades intresse av att få ha sina personuppgifter i fred. Intresset av att marknadsföra bostadsrätter eller våra fastigheter och tjänster är normalt ett sådant berättigat intresse som ger Hörbybostäder rätt att behandla personuppgifter så länge personuppgifterna endast omfattar namn och kontaktuppgifter.

11 PERSONUPPGIFTER INOM HR

Hörbybostäder behandlar personuppgifter som är nödvändiga för anställningsavtalet, något annat avtal eller på grund av rättsliga förpliktelser som följer av Hörbybostäders roll som arbetsgivare. Personuppgifter kan också behöva behandlas för att administrera t.ex. registrering av sjukfrånvaro eller företagshälsovård. Information om denna behandling av personuppgifter lämnas till samtliga anställda, huvudsakligen i samband med tecknande av anställningsavtalet. Hörbybostäder får vidare behandla anställdas personuppgifter om det är nödvändigt för att fullgöra en rättslig skyldighet, t ex för att lämna ut uppgifter om anställda till statliga och kommunala myndigheter. Som exempel kan också nämnas uppgifter som behövs för att redovisa skatter och avgifter beträffande de anställda eller för att erlägga pensionsavgifter till försäkringsbolag.

Uppgifter om betyg, omdömen eller andra värderande upplysningar, t.ex. från utvecklingssamtal med de anställa får registreras om det behövs för anställningsförhållandet. Användning av de anställdas namn, telefonnummer, e-mail, platsinformation och bild i vårt intranät, systemapplikationer och intern kommunikation kan förekomma. Hörbybostäders berättigade intresse för denna användning är för att underlätta kontakt med och utförande av arbetsuppgifter kollegor emellan samt för användning av systemfunktioner. Om någon inte vill att ens bild ska användas så ska sådan användning som huvudregel inte förekomma alternativt upphöra.

Vid till exempel misstanke om olycksfall eller sjukdom behöver Hörbybostäder kunna komma i kontakt med anhöriga till den anställde. Du som anställd ansvarar för att informera de anhöriga som du har lämnat kontaktuppgifter till och varför. Du får mer information i samband med undertecknande av ditt anställningsavtal.

Den som söker arbete hos oss lämnar de personuppgifter som är nödvändiga för att vi ska kunna administrera rekryteringsprocessen. I denna del har vi en separat personuppgiftspolicy, se bilaga.

Viktigt att notera är att Hörbybostäder har rätt att behandla vissa känsliga personuppgifter i egenskap av arbetsgivare. Se mer om Känsliga personuppgifter ovan. Hörbybostäder använder inte samtycke som rättslig grund för behandling av våra anställdas personuppgifter.

12 ÅTKOMST TILL PERSONUPPGIFTER

Åtkomsten till personuppgifter ska vara begränsad till de anställda som behöver ha tillgång till de aktuella personuppgifterna för att kunna utföra sina arbetsuppgifter, till exempel de som arbetar med medlemsfrågor, inom HR eller med förvaltning för våra bostadsrättsföreningar.

Värderande, kränkande eller i övrigt diskriminerande omdömen och formuleringar får inte under några omständigheter noteras, varken i Hörbybostäders IT-system eller på annan plats eller fysiskt på papper. Formulering som exempelvis ”dålig betalare” ska således inte användas, däremot får fakta om betalningsförseningar registreras.

13 GALLRING

Personuppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. När ett avtalsförhållande upphör ska gallring av personuppgifterna således ske efter en bestämd tid. Personuppgifter som inte behöver gallras omedelbart när avtalsförhållandet upphör är t.ex. uppgifter i hyresavtal eller övriga kontrakt, som får sparas så länge det är nödvändigt för att bevaka kvarstående fordringar eller så länge bokföringsregler så kräver. I praktiken innebär detta att uppgifterna vanligtvis inte får sparas längre än 10 år.

I Hörbybostäders förteckning över personuppgiftsbehandlingar framgår respektive behandlings/systems gallringsrutiner. Se mer om detta register nedan.

14 UTLÄMNANDE AV PERSONUPPGIFTER

Personuppgifter får endast ges ut till tredje man om;

  • ett avtal med den registrerade ska kunna fullgöras,
  • skyldighet att lämna ut uppgifterna följer av lag eller
  • den registrerade har lämnat sitt samtycke.

15 DEN REGISTRERADES RÄTTIGHETER

När dina personuppgifter behandlas av oss har du vissa rättigheter som vi alltid måste tillgodose dig på bästa sätt. Du kan läsa mer om dem nedan;

Insyn och registerutdrag

Du har rätt att kostnadsfritt få ut ett registerutdrag som ger dig information om vilka av dina personuppgifter vi behandlar, hur vi behandlar dem, hur länge vi sparar dem, samt vilka som tar del av dem och vilka aktörer vi eventuellt delar dem med.

Ändra uppgifter

Du har rätt att få felaktiga personuppgifter rättade eller att få ofullständiga personuppgifter kompletterade.

Radera uppgifter

I vissa fall har du rätt att få personuppgifter raderade. Det kallas också ”rätten att bli bortglömd”. I dessa fall ska Hörbybostäder utan onödigt dröjsmål radera uppgifterna. Under vissa förutsättningar har du också rätt att invända mot hur dina personuppgifter behandlas

Föra över uppgifter

Du har rätt att under vissa förutsättningar begära att få dina personuppgifter överförda till en annan personuppgiftsansvarig, s k dataportabilitet. Detta under förutsättning att överföringen är teknisk möjlig och kan ske i elektroniskt format.

Klagomål

Om du inte är nöjd med hur dina personuppgifter behandlats eller upplever att dina uppgifter blivit felaktigt hanterade har du möjlighet att lämna klagomål hos Integritetsskyddsmyndigheten (tidigare Datainspektionen), Box 8114, 104 20 Stockholm, https://www.imy.se/kontakta-oss/

16 PERSONUPPGIFTSINCIDENTER

En personuppgiftsincident uppstår om Hörbybostäder förlorar kontrollen över personuppgifter som Hörbybostäder har ansvar för. Det kan röra sig om intrång i IT-system men gäller också om någon på Hörbybostäder tappar bort en dator eller telefon. Även ett e-postmeddelande med personuppgifter i som av misstag har skickats till obehörig person är en incident. Om Hörbybostäder misstänker att personuppgifter som företaget hanterar kan ha läckt till obehöriga ska det anmälas till Hörbybostäders dataskyddsombud så snart det bara går. Anmälan till Integritetsskyddsmyndigheten ska även ske inom 72 timmar från dess att Hörbybostäder har fått vetskap om personuppgiftsincidenten, om det efter en utredning om incidenten bedöms nödvändigt.

17 KAMERABEVAKNING

Det förekommer kamerabevakning i Hörbybostäders verksamhet. För kamerabevakning gäller en särskild lag (nedan Kamerabevakningslagen) som kompletterar GDPR:s regler. Kamerabevakningslagens ändamål är att tillgodose behovet av kamerabevakning för berättigade ändamål samtidigt som enskilda skyddas mot otillbörliga intrång i den personliga integriteten. Lagen är tillämplig när kameror används på ett sätt som innebär personbevakning och måste alltid uppfylla kraven i GDPR. Det innebär bland annat att man måste kunna visa vilken laglig grund man har för att övervaka, till exempel att man har gjort en intresseavvägning som visar att behovet av övervakningen väger tyngre än rätten till integritet hos de som kan komma att övervakas.

All Hörbybostäders kamerabevakning dokumenteras och intresseavvägningen motiveras i vårt register över behandlingar.

Hörbybostäder informerar alltid att kamerabevakning sker, genom till tydlig skyltning. Huvudregeln är att sekretess gäller för allt inspelat material och att materialet bara får användas för det ändamål för vilket det spelades in. Så få personer som möjligt har tillgång till materialet och de som behandlar materialet skyddar detta med lämpliga säkerhetsåtgärder. Hörbybostäder har tagit fram rutiner för kamerabevakning, se bilaga Policy Kameraövervakning.

Man får lämna ut inspelat material till bl.a. åklagare, polis eller Skatteverket, om uppgiften behövs för att utreda ett brott som kan medföra fängelse eller för att förebygga, förhindra eller upptäcka ett sådant brott. Ibland får även uppgiften lämnas ut till exempelvis kommun eller myndighet som ansvarar för räddningstjänst om uppgiften behövs för att förebygga eller minska effekterna av en olycka. I frågor rörande kamerabevakning i verksamheten ska alltid chefsjuristen konsulteras.

18 REGISTER ÖVER PERSONUPPGIFTSBEHANDLING

De register och system som innehåller personuppgifter hos Hörbybostäder är sammanställda i ett s k register över personuppgiftsbehandlingar. Registret finns hos vår VD som har det övergripande ansvaret att tillse att detta uppdateras löpande och att instruktionerna i det följs.

19 KONTAKT RÖRANDE GDPR

Hörbybostäder har ett Dataskyddsombud som ansvarar för att Hörbybostäder behandlar personuppgifter i enlighet med gällande lagar, regler och praxis. Om du vill utnyttja någon av dina rättigheter eller om du har generella frågor kring hur personuppgifter behandlas vänligen kontakta oss via nedan uppgifter;

Hörbybostäder AB
Vallgatan 6 A
242 31 Hörby
e-mail: dataskyddsombud@horbybostader.se

ÄNDRING AV VÅR INTEGRITETSPOLICY

Hörbybostäder kan komma att från tid till annan göra ändringar i denna integritetspolicy. Den senaste versionen av integritetspolicyn finns alltid tillgänglig på vår webbsida. Denna version är uppdaterad 210202.

Fick du hjälp av informationen på sidan?

Kontakta oss