Fastighetsskötare med inriktning Skötselansvarig

Denna integritetspolicy är upprättad av AB Kristianstadsbyggen ("ABK") och tillämpas för ABK med dotterbolag . ABK ansvarar för behandling av personuppgifter och är således personuppgiftsansvarig . ABK utfärdar riktlinjer för behandling av personuppgifter och anger ändamålen för behandlingen.

 1.             Inledning

ABK värnar om sina kunders, anställdas och övriga användares integritet. ABK följer vid var tid tillämplig lagstiftning som syftar att skydda kunders, anställda och övriga användares integritet. Den 25 maj 2018 börjar den s k dataskyddsförordningen att tillämpas vilken innebär ett förstärkt skydd för de personer vars personuppgifter behandlas. Uttrycken "personuppgift" och "behandling" förklaras närmare nedan.

 Denna integritetspolicy är antagen för att alla inom ABK skall få närmare vägledning om behandling av personuppgifter . Policyn omfattar samtliga anställda och gäller för alla ABK:s produkter och tjänster. För vissa produkter och tjänster kan det finnas särskilda villkor för personuppgiftsbehandling vilka i så fall meddelas i samband med att produkten eller tjänsten används.

 Om en behandling av personuppgifter skulle strida mot dataskyddsförordningens bestämmelser finns det risk för intrång i den personliga integriteten, men också en risk för förlorat anseende för ABK. ABK kan också bli tvingat att utge en sanktionsavgift på upp till 20 miljoner euro, eller max fyra procent av omsättningen. För att undvika att drabbas av denna sanktionsavgift är det av yttersta vikt att samtliga medarbetare följer denna policy.

 ABK ansvarar för att relevant utbildning genomförs för de anställda och att information lämnas om att överträdelse mot denna policy kan få t ex arbetsrättsliga konsekvenser.

2.             Grundläggande principer för all behandling av personuppgifter

De grundläggande principer som beskrivs nedan skall alltid iakttas när personuppgifter behandlas.

Lagliqhet. skälighet. transparens

Personuppgifter skall behandlas lagligt, korrekt och transparent i förhållande till den registrerade. Det innebär att varje typ av behandling skall baseras på en giltig s k laglig grund, såsom exempelvis fullgörande av avtal, fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse, berättigat intresse eller samtycke. Kan man inte identifiera någon laglig grund som är tillämplig för behandlingen får behandlingen således inte utföras.

Utgångspunkten för denna princip är tydlig kommunikation med den registrerade om bl a för vilka ändamål personuppgifterna behandlas, vilken typ av behandling som utförs, om och hur personuppgifterna delas med andra, hur länge personuppgifterna lagras och hur man kommer i kontakt med respektive bolag inom ABK:s koncern. De registrerade skall alltså ges tydlig och transparent information om behandlingen av deras personuppgifter .

Ändamålsbegränsning

Personuppgifter får endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

 Uppgiftsminimering

Personuppgifter som behandlas skall vara adekvata, relevanta och inte alltför omfattande i förhållande till ändamålen . Säkerställ att uppgifterna som samlas in verkligen behövs och fråga inte efter information bara för att den "kanske kan vara bra att ha".

Riktighet

Personuppgifter som behandlas skall vara korrekta och uppdaterade. ABK skall vidta lämpliga åtgärder för att se till att felaktiga eller ofullständiga uppgifter rättas (undvik dock att lagra kopior av uppgifterna i många system i syfte att undvika felkällor och att icke-uppdaterad information sparas).

 Lagringsbegränsning

Personuppgifter får inte lagras under längre tid än nödvändigt med hänsyn till ändamålen med behandlingen . När uppgifterna inte längre behövs måste dessa gallras (vilket innebär att de antingen måste raderas eller avidentifieras).

 Principen om . ansvarsskyldighet innebär att ABK måste kunna visa att dataskyddsförordningen efterlevs. ABK måste därför t ex dokumentera implementerade och planerade processer och åtgärder som avser dataskyddsfrågor.

Vidare skall det finnas ett register över alla typer av behandlingar av personuppgifter som utförs och ABK skall kunna redovisa ett sådant register för tillsynsmyndigheten när så krävs.

3. Personuppgifter och behandling av personuppgifter

 Personuppgifter

Med "personuppgift" förstås all information som direkt eller indirekt kan kopplas till en idag levande fysisk person. Det kan t ex vara namn, personnummer, fotografier eller telefonnummer . Även uppgifter som enskilt inte når upp till kravet kan tillsammans med andra uppgifter komma att utgöra en personuppgift . 

Behandling av personuppgifter

All behandling av personuppgifter omfattas av dataskyddsförordningen och dess regler. Med "behandling" menas en åtgärd eller kombination av åtgärder avseende personuppgifter , som utförs helt eller delvis automatiserat. Även personuppgifter i e­ post och i dokument på servrar , i en enkel lista, på webbplatser och i annat ostrukturerat material omfattas.

Känsliga uppgifter

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning är som huvudregel förbjuden .

 För att sådan behandling skall vara tillåten krävs ett giltigt undantag från förbudet. De vanligaste undantagen är att den registrerade lämnat samtycke eller själv offentliggjort uppgifterna, för att utöva rättigheter eller fullgöra skyldigheter inom arbetsrätten, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för hälso- och sjukvårdsändamål.

Personnummer

Behandling av personnummer får bara utföras om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

 Laglig grund för behandling av personuppgifter

En behandling av personuppgifter är endast laglig om och den mån någon av följande grunder är tillämplig .

 Samtycke

Den registrerade har lämnat sitt samtycke till att personuppgifterna behandlas för ett eller flera specifika ändamål.

Fullgörande av avtal

Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

Nödvändig pga. rättslig förpliktelse

Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar ABK , t ex kontrolluppgifter som lämnas till Skatteverket.

Skydda grundläggande intressen

Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (t ex när det är fara för livet).

Nödvändig för att utföra uppgift om allmänt intresse

Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning

Tillåten pga. intresseawägning

Behandlingen är nödvändig för ändamål som rör ABK eller tredje parts intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter .

 5.              Säkerhet och gallring

ABK är medvetet om risken för t ex obehörig åtkomst eller förstörelse av personuppgifter och vidtar löpnade lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna.

 Exempel på tekniska åtgärder är tillräckliga back-up rutiner, tillräckliga brandväggar , lösenordskyddade trådlösa nätverk, uppdaterat virusskydd, lösenordsskydd för mobila enheter såsom mobiltelefoner och surfplattor, skydd mot obehörig intern åtkomst, lösenordskrav, kryptering vid behov, loggning av , åtkomst till och användning av IT-system m m.

 Personuppgifter får inte bevar.as längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen . Genom att upprätta och följa en gallringsrutin för respektive databas/behandling säkerställer man det strukturerade gallringsarbetet. Även personuppgifter i så kallat ostrukturerat material såsom i dokument på servrar, i en enkel lista, på webbplatser etc. behöver raderas när ändamålet med behandlingen är uppfyllt.

 6.              Överlämnande av personuppgifter till tredje part

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s medlemsstater samt EES-länderna har ett likvärdigt skydd för personuppgifter och personlig integritet och därför kan personuppgifter föras över fritt inom det området utan begränsningar .

För länder utanför det området finns däremot inte några generella regler som ger motsvarande garantier och därför får tredjelandsöverföring endast ske under särskilda förutsättningar. Det här berör varje form av överföring av information över gränserna, t ex flertalet online IT-tjänster, molnbaserade tjänster, tjänster för extern åtkomst eller globala databaser m m och behöver analyseras särskilt.

7. Konsekvensbedömning

ABK har en rutin på plats för att kunna identifiera och hantera särskilda integritetsrisker inom verksamheten och för strukturerad uppföljning.

 Särskilda risker för fysiska personers rättigheter och friheter kan exempelvis förekomma i samband med en viss typ av behandling av uppgifter, särskilt känsliga uppgifter, behandling i särskilt stor omfattning, användning av ny teknik eller dylikt. Om en ny eller ändrad personuppgiftsbehandling i visst avseende sannolikt kan komma att medföra hög risk för fysiska personers rättigheter och friheter skall rutinen följas och en bedömning göras av effekterna av de påtänkta behandlingarna för skyddet av personuppgifter innan behandlingen påbörjas.

Innan sådan personuppgiftsbehandling påbörjas skall dataskyddsombudet kontaktas för utredning om en konsekvensbedömning krävs och vid behov utförs konsekvensbedömning tillsammans med den ansvarige genom t ex besvarande av vissa särskilda frågor, arbetsmöten samt riskbedömning .

 8. Utlämnande av personuppgifter

Dataskyddsförordningen ger de registrerade ett flertal rättigheter vad gäller behandling av personuppgifter . Det är ABK:s uppgift att uppfylla dessa rättigheter och tillse att tillräckliga processer härför finns för att tillmötesgå de registrerade.

Rätt till information

Den registrerade har rätt till information när personuppgifterna samlas in. Denna information ska tillhandahållas i en lättillgänglig skriftlig form med ett klart och tydligt språk.

 Registerutdrag

Den registrerade har rätt att få bekräftelse på huruvida personuppgifter som tillhör denne behandlas, och i sådana fall få en kopia av personuppgifterna (registerutdrag) . Denna rättighet gäller oberoende av den plats där personuppgifterna behandlas.

 Korrigering/radering

Om personuppgifter som behandlas är felaktiga eller ofullständiga kan den registrerade kräva korrigering. Om den registrerade visar att ändamålet för vilket personuppgifterna behandlas inte längre är tillåtet, nödvändigt eller rimligt under omständigheterna, skall de aktuella personuppgifterna raderas, om det inte finns några lagbestämmelser som anger annat.

 Dataportabilitet

Den registrerade har rätt att överföra personuppgifter som denne lämnat till ABK till annan personuppgiftsansvarig om behandlingen stöds på de lagliga grunderna avtal eller samtycke. Personuppgifterna skall tillhandahållas den registrerade i ett strukturerat, allmänt använt och maskinläsbart format. Om det är tekniskt möjligt kan den registrerade begära att uppgifterna överförs direkt till annan personuppgiftsansvarig . Rätten gäller endast för de personuppgifter som den registrerade själv har lämnat till ABK.

 Begränsning av behandling

Den registrerade har i vissa fall rätt att kräva att ABK begränsar behandlingen av dennes personuppgifter, dvs. begränsar behandlingen till vissa avgränsade syften. Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och har begärt att personuppgifterna rättas. Den registrerade kan då begära att behandlingen av personuppgifterna begränsas under tiden uppgifternas korrekthet utreds. När begränsningen upphör skall den enskilde informeras om detta.

 Invändning mot behandling

Den registrerade har rätt att invända mot behandling av personuppgifter som stöds på legitimt intresse som rättslig grund. Vid en invändning skall ABK upphöra med behandlingen om man inte kan visa tvingande legitima grunder för behandlingen som överväger den registrerades intressen, rättigheter och friheter eller om behandlingen av personuppgifter utförs för etablering, utövande eller försvar av rättsliga anspråk.

 " Rätten av bli glömd"

I vissa fall har den registrerade rätt att begära radering av sina personuppgifter . Ett exempel är när samtycke är den lagliga grunden för behandlingen och den registrerade återkallar sitt samtycke.

 Särskilt om direkt marknadsföring

När personuppgifter behandlas för direktmarknadsföring har den registrerade rätt att när som helst invända mot behandling av personuppgifter om denne. Om en registrerad motsätter sig behandling av personuppgifter för direktmarknadsändamål skall behandling för sådana ändamål upphöra

9.              Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring eller obehörig åtkomst till personuppgifter .

Exempel på personuppgiftsincidenter kan vara stöld av kundregister, oavsiktligt avslöjande av löneinformation via e-post till fel mottagare, en anställd tar hem en okrypterad arbetsdator som senare stjäls i ett inbrott och som leder till att information om anställda eller kunder avslöjas, personuppgifter publiceras på webben av misstag, en bärbar dator innehållande personuppgifter tappas bort eller stjäls etc.

 Personuppgiftsincidenter kan behöva anmälas till tillsynsmyndigheten inom 72 timmar från upptäckten av incidenten om det är sannolikt att det föreligger en risk för fysiska personers rättigheter och friheter . Inträffade incidenter skall dokumenteras och man kan behöva underrätta berörda registrerade.

 Vid en misstänkt personuppgiftsincident kontakta omedelbart dataskyddsombudet Karl-Henrik Persson på telefon 044-7803340 eller dataskyddsomb udet@abk.se. Det är dataskyddsombudet som avgör om tillsynsmyndigheten eller de registrerade behöver underrättas.

 10.  Övrigt

För definitioner avseende termer som används i den här policyn hänvisas till dataskyddsförordningen.

 Denna policy skall uppdateras årligen eller vid behov baserat på instruktioner från ABK:s styrelse.

Vid    frågor  som  anknyter  till behandling av personuppgifter, kontaktas  dataskyddsombudet  på    telefon 044-7803340 eller email dataskyddsombudet@abk.se

2018-08-30

Henrik Strand

VD

Karl-Henrik Persson

Dataskyddsombud