POLICYDOKUMENT GDPR
POLICYDOKUMENT GDPR
AB EDETHUS LUNDQVIST BYGGFÖRVALTNING AB
LYSEKILSBOSTÄDER AB SOTENÄSTBOSTÄDER AB STIFTELSEN ORUSTBOSTÄDER TJÖRNS BOSTADS AB
ÖCKERÖ FASTIGHETS AB
2018-05-23
Innehåll
Bakgrund 2
Vad är GDPR? 2
Varför ett policydokument? 3
Begreppet personuppgift 3
Känsliga personuppgifter 3
Att hantera personuppgifter 4
Att spara personuppgifter 4
Åtaganden enligt hyreslagen 5
Annan lagstiftning och offentlighetsprincipen 5
Ställningstaganden 5
Bolagsgemensamma ställningstaganden 5
Bolagsindividuella insatser 6
Dataskyddsombud 6
Personuppgiftsansvarig 7
Hantering av e-post 7
Personuppgiftsbiträdesavtal 8
Rutin vid utlämnande av personuppgifter 8
Sammanfattning 8
Bilagor 9
Bakgrund
Vad är GDPR?
GDPR står General Data Protection Regulation och är EU:s nya dataskyddsförordning vilken börjar gälla som svensk lag från den 25 maj 2018. Lagen reglerar hur företag och organisationer ska behandla personuppgifter där sanktionsavgifterna är kännbara om man inte följer den. Det nya regelverket ersätter personuppgiftslagen (PuL) och delvis även patientdatalagen (PDL).
Tillsynsmyndighet för att se till att reglerna efterföljs är Datainspektionen.
Det huvudsakliga syftet med dataskyddsförordningen är att skydda de enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Rätten till privatliv uttrycks i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Detta innebär att samma regler ska gälla inom hela EU. Dock har Sverige, tillskillnad från de flesta EU-länder, ett historiskt arv i form av offentlighetsprincipen som i vissa fall kan upplevas ha motsatta syften.
GDPR beskrivs i följande grundläggande sex principer1:
1. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
2. Insamlingen av personuppgifter ska vara begränsad till ändamålet och ske för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får inte senare användas för ett ändamål som inte är bundet till ändamålet med de insamlade uppgifterna.
3. Insamlingen av personuppgifter ska vara uppgiftsminimerad, dvs. inte för omfattande i förhållande till de ändamål för vilka uppgifterna behandlas, och uppgifterna ska vara adekvata och relevanta.
4. Personuppgifterna ska vara korrekta och om nödvändigt uppdaterade. Den personuppgiftsansvarige ska med rimliga åtgärder säkerställa att personuppgifter som är inexakta och felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
5. Personuppgifter ska förvaras i en form som möjliggör identifiering av den registrerade endast under den tid som är nödvändig för de ändamål för vilka personuppgifterna behandlas. Uppgifter får dock förvaras längre, om de endast behandlas för arkivändamål av allmänt intresse, eller används för historiska forskningsändamål eller statistiska ändamål.
6. Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna och därmed uppgifternas integritet och konfidentialitet. Uppgifterna ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada
1 SKL PM - Allmänna Dataskyddsförordningen
genom olyckshändelse. Då ska lämpliga tekniska eller organisatoriska åtgärder användas.
Denna policy ska därför vara en grund att kunna leva upp både till dataskyddsförordnigen och säkerställa en korrekt hantering av allmänna handlingar enligt den svenska offentlighetsprincipen.
Varför ett policydokument?
Då ett normalt fastighetsbolag behandlar diverse personuppgifter innebär det nya regelverket inte nödvändigtvis stora eller omgripande förändringar. Vår bedömning är dock att ett övergripande arbete för att säkerställa rutiner är nödvändigt.
Eftersom fastighetsbolag normalt sett hanterar liknande typ av personuppgifter bildades hösten 2017 en arbetsgrupp bestående av verkställande direktörer för ett flertal bolag i Västsverige för att ta ett gemensamt grepp i arbetet. På detta sätt bedöms stordriftsfördelar kunna nyttjas och en samstämmighet i arbetet med hantering av personuppgifter. Stöd har sökts och nyttjats från bland annat respektive ägare, normalt i form av kommuner, från allmännyttans samarbetsorgan SABO och från Sveriges Kommuner och Landsting.
Detta dokument fungerar som en sammanfattning och ett ställningstagande av de slutsatser som kunnat dras av arbetet.
Begreppet personuppgift
Personuppgifter enligt GDPR är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter som hänförs till en juridisk person såsom en leverantör i bolagsform är därmed ingen personuppgift enligt denna definition. Detta kan vara namn, personnummer, ljudupptagningar och bilder men också sådana uppgifter som indirekt kan kopplas till fysiska personer. Exempel på sådana uppgifter kan vara registreringsnummer på bilar, adresser, lägenhetsnummer och IP-adresser. Kan de inte kopplas till en fysisk person räknas de därmed inte som en personuppgift.
Känsliga personuppgifter
Känsliga personuppgifter enligt GDPR omfattar:
• ras eller etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i fackförening
• genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person
• uppgifter om hälsa
• uppgifter om en fysisk persons sexualliv eller sexuella läggning
Bedömningen är att bolagen i ytterst liten utsträckning hanterar känsliga personuppgifter enligt de definitioner som presenteras ovan. Dessa avser normalt uppgifter i form av hälsa såsom sjukfrånvaro och graviditeter som ett led i att kunna fullgöra de krav som finns i anställningsavtalen.
Utöver sådana personuppgifter som klassificeras som känsliga kan ändå personuppgifter som kan anses som integritetskänsliga uppgifter hanteras i bolagens verksamheter. Sådana uppgifter kan vara störningsärenden, skadedjur, felparkeringar, inkomstuppgifter mm.
Att hantera personuppgifter
Att spara personuppgifter
Enligt dataskyddsförordningen får den personuppgiftsansvarige behandla personuppgifter om de uppfyller ett antal olika krav. De som är mest aktuella för våra bolags verksamhet bedöms vara:
• behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås
• behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige
• den registrerade har lämnat sitt samtycke
Bolagens ambition ska vara att minimera insamlandet av personuppgifter och att sådana uppgifter som inte är nödvändiga för att fullgöra åtaganden enligt hyresavtal eller andra ingångnaöverenskommelser inte skall sparas. System och processer som hanterar personuppgifter har vid GDPRs införande genomgåtts, dokumenterats och nödvändiga rensningar genomförts. System och processer skall sedan löpande revideras och utvecklas för att säkerställa en så korrekt och rättssäkerhetsmässig hantering som är möjlig.
De personuppgifter som insamlas skall hanteras säkert och inte användas till andra ändamål än vad de är avsedda för. Endast personal som är av behov av information skall ha åtkomst till dessa. Exempel på detta kan vara uppgifter om frånvaro och sjukdom som ska begränsas till de personer som handlägger löner.
För personuppgifter som insamlas där det inte finns lagligt eller avtalsenligt stöd skall medgivande för insamlandet av sådan information inhämtas från den enskilda innan personuppgifterna lagras. Information hur den enskilde kan tillvarata sina rättigheter och begära att personuppgifter utrangeras skall finnas lätt tillgängligt enligt lagar, rekommendationer och praxis. Exempel på sådana situationer kan vara vid anmälan till lägenhet eller bostadskö som sker frivilligt.
Åtaganden enligt hyreslagen
Hyreslagens krav och hyresgästens förväntningar på hyresvärden är vida varför vår bedömning är att det är nödvändigt att behålla relativt stora mängder information om boendet, de boende och förhållanden inom fastighetsbeståndet.
Hyresvärdens grundläggande skyldighet är att ställa en lägenhet i användbart skick till hyresgästens förfogande. Hyresgästens skyldighet är sedan att använda lägenheten som man avtalat, att hyran betalas i rätt tid, att lägenheten vårdas väl och att grannar inte störs.
För hyresvärdens fullgörande av dessa åtaganden krävs god ordning avseende inkomna felanmälningar, störningsärenden, uppföljning av betalda avier inklusive eventuell kravhantering mmoch vidare krävs att personuppgifter sparas för att till exempel åtgärda rapporterade felanmälningar, anmodan att vidtaga rättelse, kontroll på utlämnade nycklar mm.
Information om historiska felanmälningar behövs därför t.ex. sparas för att vi som hyresvärdar även i framtiden skall kunna fullgöra våra åtaganden. Sådan information som insamlas för att fullgöra avtalsenliga förhållanden enligt hyreslagen kräver därmed inte att den enskilde i förväg ger sitt medgivande.
Annan lagstiftning och offentlighetsprincipen
Då flertalet av bolagen som samarbetat i detta projekt lyder under offentlighetsprincipen är en stor mängd uppgifter allmänna handlingar. Av detta framgår ett lagstadgat krav att spara information enligt gällande lag och respektive kommuns arkivreglemente. Xxxxx lagstiftning kräver också att information sparas såsom bokföringslag, kommunallagen och årsredovisningslagen. Då information som sparas enligt annan lag inte kräver den enskildes medgivande skall sådan information sparas som är tillräcklig för att fullgöra de lagmässiga krav som kan ställas från myndigheter, revisorer eller andra.
Ställningstaganden
Bolagsgemensamma ställningstaganden
Bolagen har gjort bolagsindividuella inventeringar av system och processer där personuppgifter insamlas och registreras. Ett antal sådana processer finns i samtliga bolag och kan ses som branschövergripande insamling. Exempel på sådana processer är:
• Hyressystem inklusive avtal, avisering och kravhantering
• Affärssystem för bokföring
• Lägenhetskö
• Låssystem/passersystem/larm
• Personalsystem inklusive lönehantering
• Ärendehantering
• Styr/övervakning av drift
Återkommande för dessa processer är att är nödvändiga för att fullfölja de avtal som tecknats oavsett de avser hyresavtal, anställningsavtal eller leveransavtal/ramavtal. Undantag avser lägenhetskö. Vår bedömning är därför att för sådana processer krävs inget i förväg medgivande från hyresgäster, anställda eller leverantörer. Loggar och ärenden bör därför sparas över tid för att säkerställa en långsiktigt säkert och tryggt boende. Detta innebär också att vår bedömning är att t.ex. loggar för in- och utpassager är nödvändiga för att säkerställa trygghet i våra bostadsområden. Man kan på detta sättet även i efterhand kontrollera vilka som passerat vid störningsmoment i gemensamma utrymmen.
I möjligaste mån bör direkta personuppgifter såsom namn och personnummer utrangeras i för sådana processer där det är lägenheten eller fastigheten som över tid behöver följas. Exempel på sådant är ärendehantering och styr/övervakning av drift.
För personuppgifter som insamlas för direkta beslut bör sådana utrangeras då ärendet är stängt. Exempel på sådana uppgifter är information om inkomst i samband med prövning av huruvida ett hyresavtal bör tecknas med en enskild. Då avtal är tecknat bör sådan information utrangeras snarast efter den tidpunkt då handläggaren bedömer att informationen inte är nödvändig längre.
Bolagsindividuella insatser
Varje bolag ska genomföra individuella inventeringar och dokumentera dessa i en registerförteckning. Vi har utgått från den av SKL framarbetade mallen vilken är en bas för hur Sveriges kommuner ska arbeta med registerförteckningar. Exempel på rubriker som bör ingå i respektive bolags registerförteckning:
• Typ av system och/eller process
• Vilka typer av personuppgifter registreras
• Förekommer känsliga personuppgifter och vilka?
• Motivering till varför personuppgifter sparas? (laglig eller avtalsmässig grund)
• Ange laglig eller avtalsmässig grund
• Bedömning av behov av samtycke
• Tidsfrist för radering/utrangering
• Om överföring sker till tredje land (icke EU)
• Om personuppgiftsbiträde anlitas
Dataskyddsombud
Enligt regelverket ska ett dataskyddsombud utses för myndigheter och offentliga organ såsom kommuner och landsting. Dataskyddsombudets uppgift är informera och ge råd till de som hanterar personuppgifterna inom respektive organisation kring vilka skyldigheter som gäller
enligt dataskyddsförordningen. Ombudet ska också bevaka att reglerna följs och fungera som kontaktperson för Datainspektionen.
Datainspektionens bedömning är att kommunala bolag inte räknas som myndighet men ska i vissa fall ändå utse dataskyddsombud. Detta gäller om ”deras kärnverksamhet omfattar behandling av personuppgifter som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller behandling i stor omfattning av känsliga personuppgifter
eller uppgifter om begångna brott”2. Vår bedömning är att våra kommunala bolag inte behöver utse ett dataskyddsombud.
Personuppgiftsansvarig
Personuppgiftsansvarig är normalt den juridiska person som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Det är alltså ingen specifik person eller position i bolaget som är personuppgiftsansvarig.
Om verksamheten bedrivs i en koncern kan ansvarsfördelningen se ut på olika sätt.
• Om moderbolaget ensamt bestämmer över behandlingen blir moderbolaget personuppgiftsansvarig.
• Om alla bolag inom en koncern gemensamt bestämmer över behandlingen blir de tillsammans ansvariga för det aktuella registret
Vår bedömning är att det är den juridiska personen i form av aktiebolag eller stiftelse som blir personuppgiftsansvarig.
Enligt dataskyddsförordningen ska den personuppgiftsansvarige ansvara för att principer och krav efterlevs samt ansvara för att, t.ex. vid en extern granskning, kunna visa att principerna och kraven har efterlevts. Den personuppgiftsansvarige ansvarar också för bedömningar av vad principerna innebär i det vardagliga praktiska arbetet och dokumentera dessa bedömningar.
Den personuppgiftsansvariga ska därmed genomföra lämpliga åtgärder såväl tekniskt rörande system etc och åtgärder som rör organisationen som hanterar personuppgifter. Detta kan innebära utbildning av personalen, att ta fram interna anvisningar, säkerställa avtal, övervakning och uppföljning av konton och tekniska begränsningar av åtkomst i system.
Hantering av e-post
E-post innebär normalt att man alltid behandlar personuppgifter. Själva e-postadressen i sig är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter. Hantering av e-post ska därför finnas med i den av enskilda bolaget upprättade registerförteckningen och ska uppfylla krav i dataskyddsförordningen. Det som skiljer e-post från andra inkomna handlingar är att innehållet normalt är okänt när handlingen inkommer.
E-post som kommer in till en myndighet blir normalt en allmän handling som ska registreras eller hållas ordnad. Eftersom kommunala bolag lyder under offentlighetsprincipen ska detta
2
xxxxx://xxx.xx/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxx ringdataskyddsforordningen/checklistadataskyddsforordningengdpr.14745.html
gälla även för dessa bolag. Enligt arkivlagen är myndigheter, kommunala bolag och vissa andra organ skyldiga att bevara allmänna handlingar. Utgångspunkten är att det är tillåtet att behandla personuppgifter för att uppfylla kraven i arkivlagen om bevarande av allmänna handlingar. Alla e-postmeddelanden hos myndigheter är dock inte allmänna handlingar, till exempel privata meddelanden och meddelanden inom en facklig organisation.
Då e-post i många fall är ett kommunövergripande system bör det enskilda bolaget tillsammans med leverantören (t.ex. kommunen) säkerställa en korrekt hantering. Detta kan t.ex. göras genom att flytta vissa uppgifter från e-posten till ett lämpligare system, som ett ärendehanteringssystem eller ett diarium.
Personuppgiftsbiträdesavtal
Den som använder en extern leverantör, t.ex. i form av molntjänster, för behandling av personuppgifter är personuppgiftsansvarig trots att den utförs av den externa leverantören. Leverantören, och alla dess underleverantörer som anlitas för behandlingen, är den personuppgiftsansvariges personuppgiftsbiträden. Det är den personuppgiftsansvarige som ansvarar för att lagar och egna regelverk följs.
Innan t.ex. en molntjänst tas i bruk måste den personuppgiftsansvarige bedöma om den personuppgiftsbehandling som man vill låta molntjänstleverantören utföra kommer att vara tillåten enligt lagstiftningen. Personuppgiftsbiträden får bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Normalt utformar den personuppgiftsansvarige själv instruktionerna, t.ex. i ett personuppgiftsbiträdesavtal.
Den personuppgiftsansvarige måste därför säkerställa att alla externa leverantörer som hanterar personuppgifter följer de instruktioner som finns och därmed upprätta personuppgiftsbiträdesavtal.
Rutin vid utlämnande av personuppgifter
Utgångspunkten är att det respektive Xxxxx skriver om viss hyresgäst/den anställde, har denne rätt att ta del. Då det kan handla om känsliga och/eller integritetsnära handlingar bedömer bolagen en nödvändighet att säkerställa att den person som begär ut uppgifter om sig själv kan legitimera sig. Xxxxxxxx rutin kommer därför vara att man personligen skall infinna sig på bolagens kontor för legitimering. Vederbörande kommer också att ombes precisera arten av personuppgifter. Bolaget kommer att tillhandahålla en blankett som den som begär ut sina personuppgifter får fylla i.
Sammanfattning
Bolagens sammanfattande bedömning är att den övervägande andelen av personuppgifter som sparas har laglig eller avtalsmässig grund. Personuppgifter som sparas rörande personal är i huvudsak kopplade till att kunna fullgöra villkor som regleras i anställningsavtal och de lagar som rör anställd personal. Personuppgifter som rör hyresgäster sparas för att fullgöra hyresavtal och de åtaganden som bolagen har som hyresvärdar. I detta ingår också åtaganden som rör behovet av ett tryggt och säkert boende. De personuppgifter som hanteras inom ramen för
bokföringen sparas i enlighet med bokföringslagen och har därmed laglig grund. För sådana personuppgifter som inte är kopplade till ett specifikt avtal såsom anmälan till lägenhetskö skall medgivande inhämtas innan registrering sker.
Bolagens bedömning är därmed att de personuppgifter som sparas följer den nya dataskyddsförordningen och dess andemening. Huvuduppgiften för bolagen är att under tid säkerställa en korrekt hantering, att överinformation inte sparas, att utrangering av information genomförs och informationen endast används till det de är avsedda att användas.
Varje bolag har i detta arbete genomfört en inventering och registerförteckning för att säkerställa den ovan beskrivna bedömningen. Xxxxxxx kommer också arbeta med att säkerställa att rätt personer hanterar de uppgifter de behöver hantera för att fullgöra sitt uppdrag och att de har rätt utbildning och funktionsdugliga instruktioner.
Bilagor
• Exempel på registerförteckning
• Exempel på personuppgiftsbiträdesavtal
• Skrift från SABO och Fastighetsägarna: Uthyrning och förvaltning av bostäder – Vägledning för behandling av personuppgifter
GDPR 2018 - Inventering, analys och implementering
Utbildade personer i organisationen:
System | Huvudsystem. | Uppgiftsbiträde | Vilken typ av personuppgift/er | Hanteras känsliga personuppgifter | Orsak till uppgift | Vilket/vilka Lagstöd tillämpas | Behöver vi inhämta samtycke | Vem/vilka har tillgång till uppgifterna | För vi över personuppgifter till tredje land (Icke EU) | Teknisk och organisatorisk säkerhet | Rutin/Policy | Avslutat |
1 (11)
PERSONUPPGIFTSBITRÄDESAVTAL
Avtal enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/6791
Detta Personuppgiftsbiträdesavtal är träffat 2018-xx-xx mellan nedanstående parter
Personuppgiftsansvarig | Personuppgiftsbiträde |
xxxxxxxxx | xxxxxxxxx |
Organisationsnummer | Organisationsnummer |
xxxxxx-xxxx | xxxxxx-xxxx |
Adress | Adress |
xxxxxx. xxx xx xxxxxxx | xxxxxx. xxx xx xxxxxxx |
1 BAKGRUND OCH SYFTE
1.1 Detta Personuppgiftsbiträdesavtal är en del av ett huvudavtal om tillhandahållandet av tjänster som ingåtts mellan xxxxxxxxx och leverantören och ska läsas och förstås mot bakgrund av detta. Personuppgiftsbiträdesavtalet reglerar Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvarigs räkning (nedan kallad behandling/en).
1.2 Detta Personuppgiftsbiträdesavtal syftar till att säkerställa de registrerades fri- och rättigheter när xxxxxxxxx anlitar ett Personuppgiftsbiträde vid behandling av personuppgifter och till att uppfylla artikel 28.3 Allmänna Dataskyddsförordningen EU 2016/679, i det följande kallad Dataskyddsförordningen.
2 DEFINITIONER2
Behandling av personuppgifter Åtgärd eller kombination av åtgärder beträffande
personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddslagstiftning Avser sådan integritets- och personuppgiftslagstiftning samt
all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under detta Avtal,
1 Allmänna Dataskyddsförordningen EU 2016/679 föreskriver att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning.
2 Jfr. artikel 4 Allmänna dataskyddsförordningen EU 2016/679
2 (11)
inklusive nationell sådan lagstiftning och EU Lagstiftning, såsom denna kan komma att förändras över tid.
Loggning
Personuppgiftsansvarig
Ett kontinuerligt insamlande av uppgifter om den befattning med personuppgifterna som utförs enligt avtalet och som kan knytas till en enskild fysisk person.
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde
Personuppgifter
Personuppgiftsincident
Register
Registrerad
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Varje upplysning som avser en identifierad eller identifierbar fysisk person (registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online- identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Den som personuppgiften avser.
Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
3 BEHANDLING AV PERSONUPPGIFTER, ÄNDAMÅL OCH TYP AV PERSONUPPGIFTER
3.1 Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med detta avtal och tillhörande skriftliga instruktioner för att fullgöra sitt uppdrag åt den Personuppgiftsansvarige.
4 PERSONUPPGIFTSANSVARIGES ANSVAR
3 (11)
4.1 Den Personuppgiftsansvarige åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar enligt punkt 3 och att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta personuppgiftsbiträdesavtal (bilaga 1).
4.2 Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om förändringar i behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen eller annan relevant lagstiftning.
4.3 Den Personuppgiftsansvarige ansvarar för att informera registrerade om behandlingarna enligt avtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt tillvarata de registrerades rätt till insyn och radering m.m.
5 PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
5.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifterna för de syften som anges i bilaga 1 och att följa Dataskyddslagstiftningen eller annan relevant lagstiftning med avseende på behandling av personuppgifter samt att hålla sig informerad om gällande rätt på området.
5.2 Personuppgiftsbiträdet ska vidta åtgärder för att skydda personuppgifterna mot alla slag av otillåtna behandlingar.
5.3 Personuppgiftsbiträdet åtar sig att säkerställa att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Personuppgiftsbiträdesavtal och vid var tid gällande instruktion från Personuppgiftsansvarig, samt att de informeras om relevant lagstiftning.
5.4 Personuppgiftsbiträdet ska på begäran från Personuppgiftsansvarig bistå denne vid konsekvensbedömningar och förhandssamråd samt att ta fram information inom ramen för gällande Huvudavtal.
5.5 För det fall att Personuppgiftsbiträdet finner att Personuppgiftsansvarigas instruktioner, enligt bilaga 1, är otydliga, olagliga eller saknas, och som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra sina åtaganden ska denne, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta nya instruktioner.
6 SÄKERHETSÅTGÄRDER
6.1 Personuppgiftsbiträdet åtar sig att vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med Dataskyddslagstiftningen eller annan relevant lagstiftning samt vidta eventuella åtgärder som framgår av instruktionerna3 för att skydda personuppgifterna.
6.2 I de fall Personuppgiftsbiträdet behandlar känsliga personuppgifter vilka omfattas av sekretess, kan Personuppgiftsansvarig ställa ytterligare krav på säkerhetsåtgärder.
6.3 Personuppgiftsbiträdet ska ha rutiner och verktyg som förhindrar obehörig behandling av, eller obehörig åtkomst till, personuppgifter. Personuppgiftsbiträdet ska kunna spåra behandlingen av personuppgifter genom loggning. Dessa loggar ska omfattas av erforderliga skyddsåtgärder.
6.4 Personuppgiftbiträdet ska genom behörighetskontrollsystem aktivt kunna begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver
3 Om huvudavtalet innebär att sekretessreglerade uppgifter ska göras tekniskt tillgängliga för en aktör som inte behöver ta del av uppgifterna i fråga, bör avtalet utformas så att det är osannolikt att tjänsteleverantören eller någon annan obehörig faktiskt kommer att ta del av uppgifterna. I en sådan situation bör uppgifterna inte betraktas som röjda i offentlighets- och sekretesslagens mening.
4 (11)
personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig.
6.5 Personuppgiftsbiträdet åtar sig att kontinuerligt logga åtkomst till personuppgifter enligt detta avtal i den utsträckning det krävs enligt instruktionen (bilaga 1). Loggar får gallras först fem (5) år efter loggningstillfället om inte annat anges i instruktionerna.
7 SEKRETESS
7.1 Personuppgiftsbiträdet och den personal som arbetar under detta personuppgiftsbiträdesavtal ska vid behandling av personuppgifter iaktta såväl handlingssekretess som tystnadsplikt. Personuppgifter som hanteras inom ramen för detta avtal får inte nyttjas eller spridas för andra ändamål, vare sig direkt eller indirekt, om inte personuppgiftsansvarig skriftligen medgivit detta.
7.2. Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som personuppgiftsbiträdet svarar för och som behandlar personuppgifterna, är bundna av en sekretessförbindelse. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med eventuella underbiträden samt sekretessförbindelser mellan underbiträdet och dess personal.
7.3 Personuppgiftsbiträdet ska skyndsamt underrätta personuppgiftsansvarig om eventuella kontakter med tillsynsmyndighet avseende behandling av personuppgifterna. Personuppgiftsbiträdet har inte rätt att företräda personuppgiftsansvarig eller agera för personuppgiftsansvarigs räkning gentemot tillsynsmyndigheter i frågor avseende sådan behandling.
7.4 Om den registrerade, tillsynsmyndigheter eller tredje man begär information från personuppgiftsbiträdet som rör behandling av personuppgifter, ska personuppgiftsbiträdet informera personuppgiftsansvarig. Information får inte lämnas ut om behandlingen av personuppgifter till tredje man utan skriftligt medgivande från personuppgiftsansvarig. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande.
8 GRANSKNING, TILLSYN OCH REVISION
8.1 Personuppgiftsbiträdet ska utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla all information, t.ex. tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna granska och utöva sin insyn i Personuppgiftsbiträdets behandling av personuppgifter som följer av detta Personuppgiftsbiträdesavtal.
8.2 Personuppgiftsbiträdet åtar sig att minst en gång om året revidera säkerheten i personuppgiftsbehandlingen genom en intern revision för att kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta Personuppgiftsbiträdesavtal. Resultatet ska på begäran delges Personuppgiftsansvarig.
8.3 Personuppgiftsansvarig äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet) följa upp att Personuppgiftsbiträdet lever upp till den Personuppgiftsansvariges krav på Behandlingen. Personuppgiftsbiträdet ska vid sådan uppföljning bistå Personuppgiftsansvarig eller den som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp Personuppgiftsbiträdets efterlevnad av detta Personuppgiftsbiträdesavtal.
5 (11)
8.4 Personuppgiftsbiträdet äger dock rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende tredje part. Personuppgiftsansvarig ska i sådant fall äga rätt, men inte skyldighet att tillämpa detta alternativa tillvägagångssätt för uppföljning. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarig eller en tredje part den assistans som behövs för genomförandet.
8.5 Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som det rör eller kan vara av betydelse för Behandling av Personuppgifter, möjlighet att göra tillsyn på plats.
8.6 Personuppgiftsbiträdet ska även tillförsäkra Personuppgiftsansvarig motsvarande rättigheter i förhållande till anlitade Underbiträden.
9 RÄTTELSE OCH RADERING AV PERSONUPPGIFTER SAMT DRIFT OCH UNDERHÅLL
9.1 Personuppgiftsbiträdet åtar sig att utan dröjsmål vidta rättelse av felaktiga eller ofullständiga personuppgifter efter instruktioner från personuppgiftsansvarig. Efter det att personuppgiftsansvarig begärt rättelse som innebär borttagande av personuppgift får personuppgiftsbiträdet endast behandla personuppgiften som ett led i rättelseprocessen och åtar sig att vidta åtgärden utan dröjsmål, dock senast inom 30 dagar.
9.2 Om Personuppgiftsbiträdet avser att göra förändringar i sina system (uppgraderingar, felsökningar etc.) på sätt som kan förväntas påverka informationshanteringen ska Personuppgiftsbiträdet samråda med den Personuppgiftsansvarige om detta. Sådan information ska lämnas i god tid före förändringen.
10 PERSONUPPGIFTSINCIDENTER
10.1 Personuppgiftbiträdet åtar sig att bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en personuppgiftsincident. Personuppgiftbiträdet ska tillhandahålla stöd för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna.
10.2 Vid personuppgiftsincidenter, samt risker för sådana, ska personuppgiftbiträdet skyndsamt och skriftligen underrätta personuppgiftsansvarig om händelsen. Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig en skriftlig beskrivning av personuppgiftsincidenten. En sådan ska redogöra för:
1. personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
2. sannolika konsekvenserna av personuppgiftsincidenten, och
3. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra personuppgiftensincidentens potentiella negativa effekter.
11 UNDERBITRÄDEN
11.1. Personuppgiftsbiträdet är skyldig att informera personuppgiftsansvarig då nya underbiträden anlitas. Personuppgiftsbiträdet ska då teckna avtal och säkerställa att underbiträdet omfattas av samma villkor som gäller personuppgiftsbiträdet. Personuppgiftsbiträdet ansvarar fullt ut för de underbiträden som anlitas gentemot personuppgiftsansvarige.
11.2 Om Personuppgiftsbiträdet avser att anlita Underbiträden ska denne tillhandahålla information om vilken typ av uppgifter och kategorier av registrerade ett visst Underbiträde ska befatta sig med
6 (11)
samt dess kapacitet och förmåga att leva upp till sina skyldigheter enligt Dataskyddslagstiftningen och annan relevant lagstiftning med avseende på behandling av personuppgifter.
11.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran översända en kopia på avtalet med underbiträdet.
11.4 Personuppgiftsbiträdet åtar sig även att informera Personuppgiftsansvarig om eventuella planer på att upphöra att använda sig av ett godkänt underbiträde.
12 ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND OCH LOKALISERING
12.1 Personuppgiftsbiträdet ska tillse att personuppgifterna (hanteras och) lagras inom EU/ESS, om inte parterna kommer överens om något annat.
12.2 Personuppgiftsbiträdet äger endast rätt att överföra personuppgifter till tredje land, för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering, om den personuppgiftsansvarige godkänt sådan överföring och utfärdat särskilda instruktioner (bilaga 1).
12.3 Överföring till tredje land får endast ske om Dataskyddslagstiftningen och annan relevant lagstiftning samt detta avtal med tillhörande instruktioner är uppfyllda.
13 ANSVAR FÖR SKADA
13.1 Personuppgiftsbiträdet åtar sig att hålla Personuppgiftsansvarig skadeslös för materiell eller immateriell skada till följd av att Personuppgiftsansvarig är skyldig att utge skadestånd till någon enligt artikel 82 i Dataskyddsförordningen, om den Behandling av Personuppgifter som ligger till grund för skadeståndsersättningen har utförts av Personuppgiftsbiträdet eller ett underbiträde i strid med Dataskyddslagstiftningen eller annan relevant lagstiftning på området, detta Personuppgiftsbiträdesavtal eller instruktion från Personuppgiftsansvarig.
13.2 Personuppgiftbiträdet åtar sig att även i övrigt hålla Personuppgiftsansvarig skadeslös för det fall Personuppgiftsansvarig drabbas av skada till följd av Personuppgiftsbiträdets behandling av Personuppgifter i strid med detta Personuppgiftsbiträdesavtal.
13.3 Om Personuppgiftsansvarig får kännedom om omständighet som kan leda till skadestånd eller betalningsansvar för Personuppgiftsbiträde ska Personuppgiftsansvarig omedelbart informera Personuppgiftsbiträdet om förhållande och aktivt arbeta tillsammans med Personuppgiftsbiträdet för att förhindra och minimera sådant skadestånd eller betalningsansvar.
14 LAGVAL OCH TVISTLÖSNING
14.1 För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.
15 TILLÄGG, ÄNDRING ELLER UPPSÄGNING AV AVTAL
15.1 Tillägg och ändringar av detta Personuppgiftbiträdesavtal ska, för att vara giltiga, vara skriftliga och undertecknas av båda Parter.
15.2 Parterna har rätt att påkalla omförhandling av detta avtal och andra bilagor, för det fall att
1. motpartens ägarförhållanden ändras väsentligt, eller
2. tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal, eller
7 (11)
3. anlitande av underbiträde inte godkänns av Personuppgiftsansvarig.
15.3 En begäran om ändring av endera parten innebär inte att Personuppgiftsbiträdesavtalet bryts utan endast att en omförhandling påbörjas.
15.4 Vardera Part har rätt att skriftligen säga upp avtalet om motparten gör sig skyldig till väsentligt brott mot bestämmelse i detta avtal, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra Parten.
Vid uppsägning av avtalet gäller en uppsägningstid om tre (3) månader.
15.5 Om den Personuppgiftsansvarige invänder mot ett ev. utbyte av underbiträde har denne rätt att säga upp tjänsten och erhålla återbetalning av erlagda avgifter för kvarvarande period.
16 AVTALSTID OCH UPPHÖRANDE AV BEHANDLING,
16.1 Detta Personuppgiftsbiträdesavtal gäller tillsvidare och upphör först när Personuppgiftsbiträdet slutat behandla Personuppgifter för Personuppgiftsansvarigs räkning. När Personuppgiftsbiträdes- avtal upphör, oavsett orsak, ska samtliga Personuppgifter på begäran av Personuppgiftsansvarig överlämnas till Personuppgiftsansvarig i ett överenskommet standardiserat eller öppet format eller raderas.
16.2 Radering av personuppgifter ska ske omgående om inte annat överenskommits, dock senast inom 30 dagar. Vid överlämning av personuppgifter gäller samma tidsfrist efter det att överlämning skett. Detta gäller även annan tillhörande information såsom, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt detta Personuppgiftsbiträdesavtal
16.3 Personuppgiftsbiträdet ska även lämna ut loggarna till den Personuppgiftsansvarige i överenskommet standardiserat eller öppet format om detta avtal upphör att gälla.
16.4 Bestämmelser om sekretess i punkten 7 ska fortsätta att gälla även efter detta Personuppgifts- biträdesavtal i övrigt upphört av gälla.
17 ÖVRIGT
17.1 Parterna ska utse var sin kontaktperson med ansvar för Parternas samarbete. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.
17.2 Reglering av ersättning med anledning av detta Personuppgiftsbiträdesavtal och de eventuella merkostnader Personuppgiftsbiträdet har för att fullgöra sina skyldigheter enligt detta avtal regleras av huvudavtalet.
Biträdesavtal har upprättats i två (2) exemplar, varav Parterna har tagit var sitt.
Behörig firmatecknare för Behörig firmatecknare för
Personuppgiftsansvarig Personuppgiftsbiträdet
8 (11)
Ort och datum Ort och datum
Underskrift Underskrift
Namnförtydligande Namnförtydligande
9 (11)
Bilaga 1 – Instruktion för hantering av Personuppgifter
Utöver vad som redan framgår av detta avtal ska personuppgiftsbiträdet även följa nedanstående instruktioner:
Ändamål Beskriv kortfattat syftet med de personuppgifter som biträdet kommer behandla. Beskriv var informationen kommer lagras. | xxxxxxxxx |
Behandlingen omfattar följande typer av personuppgifter Ange vilka personuppgifter biträdet kommer ha åtkomst till. | xxxxxxxxx |
Behandlingen omfattar kategorier av registrerade personer Ange vilka kategorier av registrerade vars uppgifter personuppgiftsbiträdet har åtkomst till eller kommer behandla. | xxxxxxxxx |
Ange särskilda hanteringskrav vad gäller personuppgiftsbehandlingen som utförs av personuppgiftsbiträdet. Lägg till förtydligande beskrivningar i förekommande fall till exempel avseende gallring | xxxxxxxxx |
Ange särskilda tekniska skyddsåtgärder vad gäller personuppgiftsbehandlingen som utförs av personuppgiftsbiträdet. Lägg till förtydligande beskrivningar i förekommande fall. | xxxxxxxxx |
10 (11)
Ange särskilda loggningskrav vad gäller personuppgiftsbehandlingen samt vilka som ska tillgång till dem. | xxxxxxxxx |
Överföring av personuppgifter till tredje land | xxxxxxxxx |
Övriga instruktioner angående personuppgiftshanteringen som utförs av personuppgiftsbiträdet |
11 (11)
Bilaga B2 Lista över underbiträden
Nedan anges de länder där respektive bolag är etablerat och från vilka personal kan komma att behandla personuppgifter.
UTHYRNING OCH FÖRVALTNING AV
BOSTÄDER
VÄGLEDNING FÖR BEHANDLING
AV PERSONUPPGIFTER
0010000001100001
0000001101011011101010110111001101110011
010111001101110011011001
1001001011011
10110001000000110000101110100011101000010000001101011011101010110111001101110011000010010
001110100011100
00001100001011011100111011011100100011011100110010001100001001000000110100101101110011001
000000110000101101110011101101110010001101110011001
00110111101110010011011010110000101110100011010010110111101101110001000000110111101101101
010010000001101001011011100110011001101111011100100
00100000011000010111011000100
01000000110100101101110011001000110100101110110011010010110010001100101011100100010110000
00000000010100111001111100101001000000110101101100001011011000110110001100001011001000110
110000101110100011010010110111101101110001000000110
100110010101110
10100100000011100000110010101110010011100110110111101101110011101010111000001110000011001
110000101110100011101000010000
10110100101100110011101000110010101110010001011000010000011100100011100100010000001110011
10100100000011010010110111001100100011010010111011
11101000110111101110010011101000010000001101001001000000111001101100001011011010110100011
00100011011000110110001100101011101000010111000100000010100110110111101101101001000000110
01100100011001010111001000101100001000000000101001
010110111010101101110011011100
10101110100011101000010000000001010011100100110010101110011011101010110110001110100011000
00101001000000110101101100001011011000110110001100
011011100110110
10111010000100000011000010111011000100000011001000110010101110100011101000110000100100000
11010000110000101110010001000000111001101101011011110010110010001100100011001010111010000
000110010100100000011100000110010101110010011100110
001001000000110000101101110011
00000011001101111011001110010001000000110100101101110011001000110100101110110011010010110
10001100101011100100111001100100000011010010110111001110100011001010110011101110010011010
110111001110101011100000111000001100111011010010110
10111010001100101011101000010000001100010011011000110100101110110011010010111010000100000
011100100011011100110010001100
010101110100001
11011010110010101110010001000000110001001100101011101000111100101100100011001010110110001
010001100101011100100010110000100000111001000111001
10011011001010110011001110101011011000110110001110100001011100100100101101110011101000111
001110011011101000110111101110010011101000010000001
01001100101011100110111001101100101011101000010000001100001011101100010000001100001011101
010000001101001011011100110011
00111010000100000011010110111010101101110011011100110000100100000011000010110111001110110
100000011100110110000101101101011010001110010001101
00000011000010
11001000110111001100100011000010010000001101001011011100110011001101111011100100110110101
00001011101000110100101101111011011100010000001101111011011010010000001101001011011100110
100011001010111010000101110001000000101001101101111
01111011100100110110101100001
10001101001011101100110100101100100011001010111001000101100001000000000101001110011111001
10010000001101011011000010110110001101100011000010110010001100101001000000111000001100101
01000000110010101110100011101000010000000001010011
11100100111001101101111011011100111010101110000011100000110011101101001011001100111010001
01010111001101110101011011000111010001100001011101
10001101001011011110110111000
111011000100000
00101011100100010110000100000111001000111001000100000011100110111010001101111011100100111
10000100000011010010010000001110011011000010110110101101000111001000110110001101100011001
001100001011101100010000001100100011001010111010001
10111010000101110001000000101001101101111011011010010000001100101011101000111010000100000
00110111101101101001000000110
00010100111001001100101011100110111010101101100011101000110000101110100001000000110000101
100001001000000110100001100001011100100010000001110
10110001000000110010001100101011101000111010001100001001000000110100001100001011100100010
011000010111010
00001110011011010110111100101100100011001000110010101110100001000000110011011110110011100
011011110010110010001100100011001010111010000100000
11011100110010001101001011101
00010000001101001011011100110010001101001011101100110100101100100011001010111001001110011
111101100111001000100000011010010110111001100100011
01000000110100101101110011101000110010101100111011100100110100101110100011001010111010000
00000011000100110110001101001011101100110100101110100001000000110110101100101011100100010
101100110100101100100011001010111001001110011001000
101001011001000110010101110010
00001100010011001010111010001111001011001000110010101101100011100110110010101100110011101
00111010000100
10110110001101100011101000010111001000110011000010111001101110100011010010110011101101000
010110111001110100011001010110011101110010011010010
11001010111010001110011111001000110011101100001011100100110111001100001001000000110111101
110000100000000010100111001111
00011011010000010000001010011010000010100001001001111001000000110100001100001011100100010
110010101110100001000000110001001101100011010010111
00001101001001000000111001101100001011011010110000101110010011000100110010101110100011001
000110101101110
10010000001101101011001010110010000100000010100110111010001110101011001000110010101101110
00101110100001000000110110101100101011100100010000
010010000001101011011000010110
11101000110001001101111011100110111010001100001011001000111001101100110111101100111001001
01100101011101000111100101100100011001010110110001
00101011101000110000101100111011001010110111000100000011101000110000101100111011010010111
10000100000011001100111001001100001011011010010000001100100011001010110111001101110011000
001010110011001110101011011000110110001110100001011
011011000110000101100100011001
10010000001110110111001000110011101101100011001010110010001101110011010010110111001100111
101011011100110
01000000110011011110110011100100010000001101000011101010111001000100000011100000110010101
010110111001110100011100100110010101110011011100110
10010011100110110111101101110011101010111000001110000011001110110100101100110011101000110
100000011100000110010101110010
10101110010001000000110001011110110011100100010000001100010011001010110100001100001011011
111010000100000011000010111011000100000011000010111
00110010001101100011000010111001100100000011101100110100101100100001000000111010101110100
010000100000011010110111010101101110011011100110000
11010000111100101110010011011100110100101101110011001110010000001101111011000110110100000
00110110111101101110011101010
000000000000000
00000011001101111011001110010011101100110000101101100011101000110111001101001011011100110
001100001011011100111011011100100011011100110010001
11100100000011000010111011000100000000010100110001001101111011100110111010011100100011001
00110010101110010001000000110100100100000011001100110110001100101011100100110011001100001
100000011010010110111001100110011011110111001001101
00011100000110011101101001011
11011010110100101101100011010100111001101101000011101010111001100101110001000000000101001
00000011000010
10110111001000110011101101100011001010110010001101110011010010110111001100111011001010110
01011101000110100101101111011011100010000001101111
11000100000011100110111100101100110011101000110000101110010001000000111010001101001011011
01000000110100101101110011001000110100101110110011
01110100011001010111001000101
00110110000100000011000010111010001110100001000000111011011100100011100100110111001100001
01000000110100001111001011100100110010101110011011001111110010001110011011101000110010101
010001100101011100100010110000100000000010100111001
10010011011100110000101110011001000000110100101101110011101000110010101100111011100100110
010000011100100011100100010000
110111001110110
00101110100011001010111010000100000011011110110001101101000001000000110000101110100011101
100100000011010110110000101101100011011000110000101
00010000001100010011010010111001101110100111001010010000001101000011110010111001001100101
11100110111011011100100011100100110010001100101011011100010000001101101011001010110010000
100101001000000111000001100101011100100111001101101
100110111010001101111011100100
00000011010010110111001100110011011110111001001101101011000010111010001101001011011110110
110011101010111000001110000011001110110100101100110
11000100000011011110110110100100000011001000110010100100000011011100111100101100001001000
110010001101110
00110001001100101011100110111010011100100011011010110110101100101011011000111001101100101
011001010111001000101100001000001110010001110010001
100001000000110100100100000011
11100100110111001100001001000000110100100100000000010100100010001100001011101000110000101
10011011010110111100101100100011001000111001101100110111101100111001001101111011100100110
100110111010001101111011100100111010000100000011010
10001101110011010010110111001100111011001010110111000100000001010000001110101000111010001
101100001011011010110100011100
01100100011000
00101000001010010000111010010100100100000011011110110001101101000001000000000101001101000
000111001101100001011011010110100011100100011011000
11101010111001000100000011001000110010101110011011100110110000100100000011000101111011001
10010101110100001011100010000001010011011011110110
10010001000000111010001101001011011000110110011100100011011010111000001100001011100110010
110110001101100011001010111010
00001101001001000000111011001100101011100100110101101110011011000010110110101101000011001
00001100101011101000111010000100000000010100111001
10111010001100101011011100010111000100000010100110111010001101111011100100010000001101000
10010000001101
11001000110111001110011011110010110111000100000011010000110000101110010001000000111010001
011100110111010101101100011101000110000101110100001
01110001000000101001101101111
00001011001110110100101110100011100110010000001110100011010010110110001101100001000000110
10001100101001000000110001001101111011001010110111001100100011001010111001100100000011000
000010111011000100000011001000110010101110100011101
00110010101101000011011110111011000100000011000010111011000100000011100110110101101111001
010010000001101000011000010111001000100000011100110
10100100000011001010111010001
11001000110010000100000011001101111011001110010001000000110100001110101011100100010000001
01011011100110
001000110010101110010011000010111001100100000011100000110010101110010011100 12101080150140201.310 110110
111100101100100011001000110010101110100001000000110
11001110101011100000111000001100111011010010110011001110100011001010111001000100000011000
00010000000001010011100100110
00110010101101000011000010110111001100100011011000110000101110011001011100010000000001010
011001110010001000000110100101101110011001000110100
10001000110010101101110011011100110000100100000011101101110010001100111011011000110010101
00110100101100100011001010111001001110
10101101100011101
00100011011100110100101101110011001110010000001100101011100100111001111100100011101000111
01110011101000
10001100101011100100010000001101001001000000111010001101001011011000110110011100100011011
0111000001101100011010010110011101100001001000000110010001100101011011000110000101110010
011101
000010
000110
110110
01101
10011
01011
11011
01100
00010
10100
0010
0001
1101
0110
0110
0100
0001
011
100
100
110
010
100
11
10
11
1
1
0
0
1
0
00
10
11
01
01
11
01
111
0
1
0
111101
0
1
0
10001
01101
1
0
1110
0110
0
1
100
101
0
0
0
0
0
1
10
10
1
0
100
001
FÖRORD
10
11
01
00
100
100
000
01
Fastighetsägarna och SABO har i samarbete med Studentbostadsföretagen tagit fram denna vägledning för hur personuppgifter bör behandlas vid uthyrning och förvaltning av bostäder i flerfamiljshus.
1
0
0
110
101
11
1
0
0
1
Vägledningen syftar till att värna hyresgäs ternas integritet och att bistå hyresvärden med information om de nya bestämmelserna i Dataskyddsförordningen (”GDPR”) och hur dessa bör tillämpas i verksamheten. Stor hänsyn har tagits till de boendes behov av
0
101
0
skydd för hur deras personuppgifter behandlas.
Denna vägledning ersätter i tillämpliga delar Fastighetsägarnas och SABOs branschöverens kommelse om behandling av personuppgifter vid uthyrning av bostäder från 2010.
Innehållet i vägledningen kommer att juste ras allteftersom rättspraxis utvecklas. Var där för noga med att använda den senaste versionen av vägledningen, som finns att ladda ner på Fastighetsägarnas och SABOs hemsidor.
Maj 2018
1
0
1
0001
3
INNEHÅLL
1. Inledning 5
1.1. Centrala begrepp 5
1.2. Grundläggande principer 6
1.3. Laglig grund 6
1.4. Vill du veta mer? 6
2. Behandling av personuppgifter
i hyresförhållandet 7
2.1. När bostad söks 7
2.2. När bostad erbjuds 8
2.3. När hyresförhållandet pågår 9
2.4. När hyresförhållandet
har upphört 12
3. Om ”Mina sidor” och
kommunikation i sociala medier 13
4. Information till den registrerade 14
4.1. Vad informationen ska innehålla 14
4.2. Hur och när information
kan lämnas 15
5. Behandling av personuppgifter vid användning av elektroniska
nyckelsystem 16
Bilaga 1
Information 18
Bilaga 2
Samtycke 20
4
1. INLEDNING
Den 25 maj 2018 ersätts personuppgiftslagen (”PUL”) av en ny dataskyddsförordning (även kallad ”GDPR” efter förordningens engelska namn, General Data Protection Regulation). Dataskyddsförordningen blir gällande lag i Sverige och inom EU/EES. Dessutom kommer en svensk dataskyddslag att träda ikraft sam tidigt med förordningen. Personuppgifter behandlas i fastighetsföretags uthyrnings
och förvaltningsverksamhet men också i andra delar av verksamheten, till exempel vid kamera bevakning (se Fastighetsägarnas och SABOs vägledning för behandling av personuppgifter vid kamerabevakning).
Inledningsvis presenteras några grund läggande begrepp och principer som finns i Dataskyddsförordningen. Dessa begrepp är viktiga att förstå för att kunna kontrollera att din organisation följer de krav som ställs upp i förordningen.
1.1. CENTRALA BEGREPP
Personuppgifter
All slags information som antingen direkt eller indirekt (det vill säga via annan information) kan kopplas till en fysisk person – såsom namn, lägenhetsnummer, IPadress, fotografier, ljud filer, beteenden, preferenser, uppgifter om störningar, löneuppgifter och uppgifter om utbildning. De individer som din organisation behandlar personuppgifter om kan till exempel vara anställda, inhyrda konsulter, hyresgäster som är fysiska personer eller enskilda firmor, kontaktpersoner hos hyresgäster som är företag, anställda hos förvaltare, byggbolag, leveran törer och samarbetspartners.
pelvis lagring av personuppgifter i ITsystem.
Personuppgiftsansvarig
Den som bestämmer ändamålen och medlen för en personuppgiftsbehandling och därmed är ansvarig för att behandlingen sker i enlighet med gällande rätt. Det är ett företag eller en organisation, inte en fysisk person, som avses.
Alla behandlingar som en anställd gör i sitt
arbete är arbetsgivaren personuppgiftsansvarig för.
Personuppgiftsbiträde
Ett företag eller organisation som behandlar personuppgifter på uppdrag av den personupp giftsansvarige och för dennes räkning, exem pelvis en tjänsteleverantör som inom ramen för sin leverans får tillgång till personuppgifter.
Det kan vara en ITleverantör eller ett anlitat bolag med uppdrag att sköta förvaltningen av en fastighet.
Känsliga och extra skyddsvärda personuppgifter
Personuppgifter som till exempel avslöjar etniskt ursprung, medlemskap i fackförening eller uppgifter om hälsa är att betrakta som känsliga personuppgifter. En uppgift om att någon behöver ett anpassat boende på grund av en funktionsnedsättning är ett exempel på en
Personuppgiftsbehandling
Varje åtgärd som, helt eller delvis automatiserat, vidtas med personuppgifter, exempelvis att samla in och på olika sätt använda uppgifterna eller lämna ut dem till utomstående. Behand ling kan även avse passiva åtgärder som exem
5
känslig uppgift. Även personnummer och upp gifter om lagöverträdelser är extra skyddsvärda.
1.2. GRUNDLÄGGANDE PRINCIPER
För att personuppgifter ska behandlas i enlighet med Dataskyddsförordningen måste ett antal grundläggande principer följas.
Ändamålsbegränsning
Personuppgifter ska samlas in för särskilda, ut tryckligt angivna och berättigade ändamål. Det innebär kortfattat en skyldighet för den person uppgiftsansvarige att bara behandla personupp gifter för ändamål som objektivt sett kan anses vara berättigade och väl förankrade i verksam heten, och sedan inte behandla dem för ändamål som är oförenliga med det angivna ändamålet.
Laglighet, korrekthet och öppenhet Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Kravet på att behandlingen av personuppgifter ska vara laglig innebär bland annat att det måste finnas en rättslig grund för behandlingen.
Att personuppgifter ska behandlas på ett öppet sätt innebär bland annat att det ska vara klart och tydligt för den registrerade hur hans eller hennes personuppgifter samlas in och behandlas. De registrerade har därför rätt till information om behandlingen som är både lättillgänglig och har formulerats med ett klart och tydligt språk.
Lagringsminimering (gallring)
Som huvudregel får personuppgifter inte för varas i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka person uppgifterna behandlas. När de inte behövs längre ska de tas bort. Det är behovet som
styr när personuppgifter ska gallras. Finns det någon lagstiftning som anger att informationen ska bevaras på individnivå, till exempelvis för bokföringsändamål, är det tillåtet.
Integritet och konfidentialitet Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar person uppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
Uppgiftsminimering
Det är inte tillåtet att samla in fler personupp gifter än nödvändigt. Alla uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de angivna ändamålen.
Ansvarsskyldighet
Den som behandlar personuppgifter ska kunna visa att dataskyddslagstiftningen följs. Det kräver som regel en kartläggning och dokumentation av alla behandlingar av person uppgifter i en så kallad registerförteckning.
Dessutom kan styrande dokument, skriftliga riktlinjer, ITsäkerhet och en väl utvecklad organisation kring dataskyddsfrågor, visa detta.
Säkerhet
Personuppgifter ska skyddas på ett sätt som är lämpligt med hänsyn till hur skyddsvärda de är och hur stor risken är att de kan missbrukas.
Integritetskänsliga personuppgifter kräver alltså ett högre skydd än andra.
Inbyggt dataskydd och dataskydd som standard Inbyggt dataskydd innebär att hänsyn tas till dataskyddslagstiftningen redan när ITsystem och arbetsrutiner utformas. Kravet på data skydd som standard innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan.
1.3. LAGLIG GRUND
För att det ska vara tillåtet att behandla person uppgifter måste det alltid finnas ett uttryckligt stöd i Dataskyddsförordningen – en laglig grund. En sådan grund är samtycke från den registrerade. Andra lagliga grunder är om personuppgiftsbehandlingen är nödvändig
för att fullgöra ett avtal med den registrerade, fullgöra en rättslig förpliktelse, skydda den registrerades grundläggande intressen, fullgöra en uppgift av allmänt intresse, för myndighets utövning, samt efter en intresseavvägning.
1.4. VILL DU VETA MER? Datainspektionen utövar tillsyn över data skyddslagstiftningen och kan även svara på frågor. För vidare information om person uppgiftsbehandling hänvisas till xxx.xxxx xxxxxxxxxxxx.xx
6
2. BEHANDLING AV PERSONUPPGIFTER I HYRESFÖRHÅLLANDET
Denna vägledning innehåller riktlinjer som är avsedda att klargöra de ändamål som är be
rättigade för behandling av personuppgifter när bostad söks, erbjuds, under tiden som hyres förhållandet pågår och när det har avslutats.
Vägledningen innehåller också uppräk ningar av sådana personuppgifter som är relevanta att behandla för att uppfylla ända målen. Uppräkningarna ska dock inte ses som uttömmande eftersom det kan finnas om ständigheter som föranleder att andra person uppgifter behandlas.
Nedan beskrivs de olika skedena vid uthyr ning av bostäder och vilka personuppgifter som är relevanta att behandla i varje skede. Inled ningsvis under varje stycke beskrivs ändamålen för vilka personuppgifterna behandlas.
Därefter följer en uppräkning av relevanta personuppgifter med angivande av den lagliga grunden som kan åberopas. Notera att student bostäder och kommunala bostadsföretag behandlas särskilt i vissa fall.
2.1. NÄR BOSTAD SÖKS
Personuppgifter får behandlas för att ge bostadssökande möjlighet att göra en ansökan eller en intresseanmälan om en bostad hos hyresvärden. Den lagliga grunden för behand lingen är i första hand en intresseavvägning. Behandlingen är nödvändig för att uppfylla ändamålet och är samtidigt inte kränkande för den enskilde. Observera att riktlinjerna inte omfattar bostadsförmedlingar.
Vilket är ändamålet?
Ändamålet med behandlingen när bostad söks är att administrera ansökningar och intressean mälningar om att hyra en bostad hos hyresvär den. Personuppgifterna får också användas för bostadsföretagets egen marknadsföring till den sökande och för statistik samt i förekommande fall för att bedöma sökandens lämplighet.
7
Vilka personuppgifter är relevanta att behandla?
Följande uppgifter är nödvändiga för de beskrivna ändamålen.
Med stöd av en intresseavvägning:
Sökandes/medsökandes: Namn
Personnummer, samordningsnummer eller motsvarande (om det krävs för säker identifiering)
Adress eller tillfällig adress Telefonnummer
E-postadress
Ekonomiska förhållanden; vid enskild firma, uppgift om företaget Familjeförhållanden; antalet barn och ålder på dessa
Önskat boende, till exempel bostadens storlek och läge i huset Boendeförhållanden vid tidpunkten för ansökan/intresseanmälan:
– Hyresrätt, med uppgift om tidigare hyresvärdars namn, adress, telefonnummer och referensperson
– Bostadsrätt, med uppgift om kontakt- person i bostadsrättsföreningens styrelse
– Egnahem, med uppgift om fastighets- beteckning
– Annat boende, med uppgift om adress och referenser
Arbetsgivarens namn, adress och telefon- nummer, med uppgift om referensperson Språkpreferens som inte innebär uppgift om etnicitet
För studentbostäder är även följande person- uppgifter relevanta:
Antagningsbesked samt omfattning av studier/behörighet
Uppgifter om lärosäte
Medlemskap i kår, nation eller student- organisation
Med stöd av samtycke:
Önskat boende med anledning av hälso- tillstånd; anpassat boende eller äldreboende
Information till sökande
De flesta personuppgifter lämnar den sökande själv. Sökanden ska alltid få information om behandlingen av personuppgifter inklusive vilka personuppgifter som hämtas in från an- dra. Exempel på informationstext finns i bilaga
1. Informationen kan lämnas i anslutning till ett webbformulär, via e-post i samband med en bekräftelse av att ansökan har mottagits, på ett
separat papper som lämnas eller skickas till sökanden eller på annat lämpligt sätt. Exempel på hur ett samtycke om önskat boende kan utformas och vilken information som kan lämnas då finns i bilaga 2.
Radera uppgifter
Personuppgifterna ska raderas när bostads- sökanden meddelat att han eller hon inte längre önskar stå kvar som sökande samt i regel när hyresgästen har fått en bostad.
2.2. NÄR BOSTAD ERBJUDS
Ändamål och laglig grund
När bostad erbjuds bostadssökanden är den lagliga grunden för behandling att avtal ska träffas mellan parterna.
Ändamålet med behandlingen är att administrera ansökan och att kontrollera att bostadssökanden uppfyller de krav som hyres- värden ställer upp. Därutöver får personupp- gifter behandlas för intern- och externrevision och annan uppföljning av bolagets egna rutiner och policys under hyrestiden, givet att xxx- xxxxx inhämtas för detta.
Vilka personuppgifter är relevanta att behandla?
För ändamålet kan hyresvärden, utöver tidigare lämnade uppgifter också behöva behandla:
Personnummer, samordningsnummer eller motsvarande (om uppgiften inte tidigare inhämtats)
Kreditupplysning och andra uppgifter från till exempelvis kronofogden eller inkasso- bolag
Uppgift om eventuell borgensman Uppgifter från de referenspersoner som sökanden själv har angett i ansökan, såsom uppgifter om hur sökanden skött sitt boende vad gäller hyresinbetalningar och i övrigt. Anteckningar om eventuell tidigare misskötsamhet ska vara kortfattad, adekvat och relevant.
Anställnings- och arbetsgivarintyg. Infor- mation som inhämtats från arbetsgivaren om denne åberopats som referens. I dessa fall får hyresvärden kontrollera arbetsgiva- rens identitet för att säkerställa att lämnade uppgifter är riktiga.
Dom eller ansökan om äktenskapsskillnad, dom om bättre rätt till lägenhet, bodel- ningsavtal eller andra handlingar till stöd för bytesrätt, andrahandsuthyrning eller överlåtelse (se mer avsnitt 2.3).
8
Om lägenheten är ett särskilt boende behöver hyresvärden ett beslut från socialnämnden. Detsamma gäller om boendet är ett grupp- boende.
Information till sökande Bostadsökanden ska få information om de ändamål och kategorier av personuppgifter
som kan ha tillkommit för att hyresvärden ska kunna ta ställning till ansökan. Informationen kan lämnas redan i samband med ansökan
till kön.
Radera uppgifter
Samtliga personuppgifter ska som huvudregel raderas om ansökan om bostad avslås. Om bostadssökanden vill kvarstå i kön efter att fått avslag avseende en specifik lägenhet, raderas de uppgifter som inte kan motiveras av ändamålet att administrera ansökningar och intressean- mälningar enligt avsnitt 2.1 Det innebär att uppgifter om ekonomi och uppgifter från refe- renspersoner raderas.
Om avslagsbeslutet grundas på att sökanden inte kunnat godtas som hyresgäst på grund av misskötsamhet i tidigare boende, får uppgift om namn, födelsedatum, beslut om avslag
och en kortfattad förklaring om arten av miss- skötsamheten (förutom uppgifter om lagöver- trädelser) bevaras under en tid av tre månader. När hyresavtal har tecknats ska personupp-
gifter om hyresgästen som inte längre behövs, tas bort. Om hyresvärden i syfte att följa upp bolagets interna rutiner, behöver spara upp- gifter om tidigare bostadsförhållanden, arbets- givare, referenser, inkomstuppgifter och kreditupplysningsinformation, ska samtycke från hyresgästen inhämtas för detta.
2.3. NÄR HYRESFÖRHÅLLANDET PÅGÅR
Ändamål och laglig grund
När hyresavtalet är tecknat, övergår sökanden till att bli hyresgäst och hyresvärdens behov av att behandla personuppgifter förändras.
Ett ändamål med behandlingen är att ad- ministrera och upprätthålla parternas skyldig- heter i hyresförhållandet som grundar sig på hyresavtalet. Däri ingår att fastställa och styrka anspråk till följd av hyresavtalet och gällande rätt. Därutöver är det ett berättigat ändamål att erbjuda tjänster och service utöver vad som reglerats i hyresavtalet, behandla personupp- gifterna för statistik och uppföljning samt för att uppfylla skyldigheterna som hyresvärd och fastighetsägare. Personuppgifterna får också
användas för egen marknadsföring och egna kundundersökningar. Personuppgifterna får också användas för annans marknadsföring under förutsättning att vad som marknadsförs har en närliggande och naturlig koppling till hyresförhållandet. Här avses exempelvis försäk- ringsbolag, bredbandsbolag, kabeltv-bolag, elbolag, larmföretag – det vill säga produkter som hyresgästen har nytta av när hyresförhål- landet pågår.
I de flesta fall sker behandling av personupp- gifter med hyresavtalet som laglig grund. Det framgår av uppställningen nedan. Personupp- gifter utöver vad som krävs för att administrera hyresavtalet kan inhämtas med intresseavväg- ning som grund. Så är fallet med exempelvis kontaktuppgifter till anhöriga, passageloggar och behandling av personuppgifter för mark- nadsföring.
Ytterligare personuppgifter kan behöva inhämtas för att hyresvärden ska kunna styrka rättsliga anspråk med anledning av hyresavta- let. Så är fallet med noteringar om exempelvis användning av lägenheten i strid med ända- målet, otillåten andrahandsuthyrning, otillåten överlåtelse, förekomst av ohyra, störningar, vanvård och vägrat tillträde.
För att kunna uppfylla alla ändamål med behandlingen kan hyresvärden behöva åberopa ytterligare laglig grund än vad som framgår
av uppställningen nedan. Ett exempel är om hyresvärden inom ramen för sin egenkontroll gentemot kommunen måste redogöra för och lämna ut vissa uppgifter. I detta fall blir den
9
för att kunna utföra behörighetskontroll Medlemskap i kår, nation eller student organisation
lagliga grunden att hyresvärden måste uppfylla en rättslig förpliktelse.
Uppställningen nedan ska inte ses som
en uttömmande uppräkning. Andra person uppgifter än de nedan angivna kan behöva hanteras.
Vilka personuppgifter är relevanta att behandla?
Med avtalet som grund:
Namn
Personnummer, samordningsnummer eller motsvarande
Adress, även tidigare adress
Eventuellt c/oadress eller tillfällig adress Identifikationsnummer, såsom kontrakts nummer, internt och/eller officiellt lägen hetsnummer
Telefonnummer Epostadress
Förekomst av säkerhet, till exempel bor gensman
Förekomst av förvaltare eller god man och i förekommande fall kontaktuppgifter till denne
Uppgift om betalningar, autogiro och betalningsreferenser (exempelvis OCR nummer)
Boendeform eller boendekategori som inte innebär uppgift om hälsotillstånd Uppgifter rörande förbrukning av värme, varmvatten och el
För studentbostäder tillkommer också: Omfattning av studier och studieresultat
För att kunna tillvarata rättsliga anspråk med anledning av avtalet, information som innehåller personuppgifter om:
Betalningsförsummelser Störningar i boendet
Åsidosättande av sundhet, ordning och gott skick samt åsidosättande av vårdnads plikten
Meddelande till socialnämnd i anledning av betalningsförsummelse eller störningar Användning som kan leda till avtalets upphörande
Förekomst av ohyra
Misstanke om brottslig verksamhet i lägenheten som kan läggas till grund för förverkande eller som hyresvärden är skyldig att beivra (exempelvis koppleri)
Uppgifter som behövs för att kontrollera otillåtna andrahandsuthyrningar och över låtelser
Andra uppgifter som behövs för att hyres värden ska kunna fullgöra sin del av avtalet
Med intresseavvägning som grund:
Bilder inom ramen för kamerabevakning, se Fastighetsägarnas och SABOs Vägled ning för behandling av personuppgifter vid kamerabevakning
Passageloggar i elektroniska nyckelsystem, se vidare under avsnitt 5 Kontaktuppgifter (ICE In Case of Emergency) till anhöriga
Uppgifter i orosanmälan till socialtjänsten angående personer som kan fara illa (upp gifterna ska raderas omedelbart efter att anmälan inlämnats)
Språkpreferens som inte innebär uppgift om etnicitet
Hyresgästens kontaktuppgifter för egen och andras marknadsföring
Uppgifter om bostadsanpassningar i lägen heten som inte innebär behandling av upp gifter om hälsotillstånd
För studentbostäder kan det vara relevant att behandla personuppgift i samband med kontroll av studietakt
Med stöd av samtycke:
Uppgift om hälsotillstånd Språkpreferens som innebär uppgift om etnicitet
Uppgift om tolk och på vilket språk
10
Information till hyresgäst
Vid upprättande av ett hyresavtal ska hyresgäs ten upplysas om vilka behandlingar av dennes personuppgifter som kommer att göras under hyresförhållandet. Informationen kan lämnas i en bilaga till hyresavtalet. Se vidare om hyres värdens informationsskyldighet avsnitt 4. Ex empel på hur informationen kan utformas framgår av bilaga 1.
Särskilt om behandling av skyddade personuppgifter
Det finns olika typer av skyddade personupp gifter. Skatteverket kan besluta om sekretess markering och kvarskrivning. Sekretess markering innebär att Skatteverket för in en markering om sekretess i folkbokföringen var vid myndigheter inte får lämna ut uppgifterna utan kontroll och tillstånd. Kvarskrivning innebär att den registrerades folkbokförings adress tas bort och den enskilde registreras som ”på kommunen skriven” i den tidigare folkbok föringsorten. Skattekontorets adress anges som en särskild postadress och posten vidarebeford ras genom Skatteverkets försorg. Ytterligare en typ av skyddade personuppgifter är fingerade personuppgifter. Den enskilde får i dessa fall genom polisen en helt ny identitet; nytt person namn och personnummer.
Hyresvärdens ansvarar för att det finns skriftliga regler och rutiner för hur skyddade personuppgifter hanteras för att säkerställa att tillräcklig säkerhet upprätthålls. Att en person har fingerade personuppgifter kommer vanligt vis inte till hyresvärdens kännedom och är inte nödvändigt att notera om så sker. Om hyresgäs ter har sekretessmarkering eller kvarskrivning ska hyresvärden utöver ordinarie tekniska och organisatoriska rutiner analysera följande:
Vilka personuppgifter som är nödvändiga att registrera
Vilka personer de måste vara tillgängliga för
Var personuppgifterna ska lagras Hur länge de måste sparas
Hyresvärden ska säkerställa en lämplig säker hetsnivå. Det kan ske exempelvis genom pseu donymisering eller sekretessmarkering. Det bör också vara möjligt att kontrollera åtkomsten genom loggar så att det går att se vem som behandlat uppgifterna. Om sekretessmarkering används bör hyresvärden vidta åtgärder för att undvika spridning av de skyddade personupp gifterna, exempelvis så att de inte överförs till andra datasystem eller plattformar som inte har
en tillräckligt hög säkerhet.
All personal som kommer i kontakt med skyddade personuppgifter ska få utbildning i de regler och rutiner som gäller för hyresvärdens behandling av skyddade personuppgifter. Reg ler och rutiner ska följas upp en gång per år och justeras vid behov. En del av den återkomman de uppföljningen kan vara att kontrollera vem som tagit del av personuppgifterna och varför.
Om pseudonymisering används bör skriftliga rutiner upprättas om hur pseudonymisering sker och endast ett begränsat antal anställda ha tillgång till uppgifter om vilka personuppgifter som pseudonymiserats på grund av sekretess markering eller kvarskrivning hos Skatteverket.
Särskilt om störningsärenden
Registrering av störningar får innehålla be skrivningar av händelser och iakttagelser som gjorts. När en anmälan om störning kommit in, får hyresvärden spara denna under en tid av två år. Den som anmäler störningen ska infor meras om att behandling av personuppgifter sker med anledning av anmälan. Vill anmä laren inte uppge sitt namn får uppgift om påstådd störning registreras om hyresvärden bedömer att det finns fog för anmälan. Om anteckningen om störning inte föranlett hyres värden att vidta någon åtgärd för att få hyres förhållandet att upphöra, ska den som huvud regel raderas senast efter två år.
Dokumentationen av ett störningsärende ska avse händelseförlopp och iakttagelser. Den får inte innehålla personliga värderingar, ogrun dade påståenden, kränkande eller diskrimine rande omdömen eller formuleringar.
Särskilt om brottslig verksamhet
Uppgifter om brottslig verksamhet får endast sparas under den tid som hyresvärden har möj lighet att agera alternativt måste agera.
Särskilt om andrahandsuthyrning, lägenhets- byten och överlåtelse
Hyresgästen har under vissa förutsättningar möjlighet att enligt hyreslagen hyra ut sin lägenhet i andra hand, byta lägenhet eller överlåta lägenheten om hyresvärden lämnar tillstånd. I så fall ska hyresgästen lämna in en
ansökan till hyresvärden. Ansökningsförfaran det innebär att ytterligare personuppgifter än de som anges ovan måste behandlas. Den lagliga grunden för behandling är intresseav vägning och ändamålet är att behandla och ta ställning till ansökan. Hyresvärden tar också del av exempelvis en föreslagen andrahandshy resgästs eller bytesparts personuppgifter. Dessa
11
behandlas också under ansökningsförfarandet med stöd av en intresseavvägning. Om hyres värden beviljar ansökan om lägenhetsbyte eller överlåtelse behandlas uppgifterna i enlighet med vad som angivits tidigare i dessa riktlinjer. De ytterligare personuppgifter som kan komma i fråga är:
Andrahandsuthyrning:
Skälen för ansökan
Hyresgästens kontaktuppgifter och adress under andrahandsuthyrningen
Uppgifter om föreslagen andrahands hyresgäst (exempelvis namn, adress, övriga kontaktuppgifter, personnummer). Om fullmäktige finns, namn och kontaktupp gifter till denne
I övrigt de uppgifter som framgår av
avsnitt 2.2
Lägenhetsbyte och överlåtelse:
Skälen för ansökan
Uppgifter om tillträdande hyresgäst (se
avsnitt 2.2)
Radering under hyrestiden
För att följa kravet på att personuppgifter ska vara relevanta i förhållande till ändamålet krävs att personuppgifter som blivit inaktuella eller på annat sätt inte är nödvändiga raderas. Även övriga personuppgifter som är oriktiga ska raderas eller rättas.
Uppgifter om exempelvis störningar eller andra liknande uppgifter avseende hyresgästens användning av lägenheten, som kan läggas till grund för hyresavtalets upphörande, kan upp fattas som integritetskränkande. Uppgifter om sådana förhållanden, som inte inom viss tid från det att den antecknades föranlett hyres värden att vidta någon åtgärd för att få hyres förhållandet att upphöra, bör därför raderas.
Som riktmärke bör gälla att sådana anteck ningar i fastighetssystemet äldre än två år inte bör förekomma.
Kommunala bostadsföretag omfattas av tryckfrihetsförordningens bestämmelser om allmänna handlingar vilket innebär att sådana handlingar ska arkiveras och bevaras i enlighet med företagets dokumenthanteringsplan. I dokumentet anges när uppgifter i handlingar, eller hela handlingar som är allmänna, får raderas.
2.4. NÄR HYRESFÖRHÅLLANDET HAR UPPHÖRT
Ändamål och laglig grund
När hyresgästen har flyttat kan personuppgifter användas för att bevaka kvarstående rättsliga anspråk, exempelvis fordringar, samt för be dömning om hyresgästen kan erbjudas nytt boende hos hyresvärden. Den lagliga grunden för behandling av personuppgifter är således fortfarande hyresavtalet i första hand. Vad gäller att behålla uppgifter för att hyresgästen ska erbjudas nytt boende åberopas intresse avvägning. Slutligen kan hyresvärden vara tvungen att spara vissa uppgifter för att kunna fullgöra rättsliga förpliktelser. Så är exempelvis fallet med bokföringsmaterial.
Vilka personuppgifter är relevanta att behålla? Huvudregeln är att personuppgifterna ska raderas när hyresförhållandet har upphört.
Undantag får göras för exempelvis följande fall: Alla uppgifter som behövs för bevakning av rättsliga anspråk som rör hyresavtalet – såsom avflyttningsprotokoll vid anspråk
på grund av skador på lägenheten eller utestående fordringar grundade på hyres avtalet – får sparas i två år eller så länge som bokföringslagen anger.
Beträffande hyresgäst som sagts upp på grund av misskötsamhet får uppgift om namn, person/samordningsnummer, hyresobjekt, avflyttningstidpunkt samt relevanta och adekvata uppgifter om avflyttningsorsak (utom uppgifter om lagöverträdelse), sparas i högst två år.
Namn, person/samordningsnummer och avflyttningsdatum får sparas i högst två år för att förenkla hanteringen av återkom mande hyresgäster.
Uppgifter som finns i bokföringsmaterial får sparas i sju år inklusive innevarande år. Uppgifter som måste sparas på grund av andra lagkrav hänförliga till exempelvis fastighetsägaransvaret bör om möjligt avidentifieras.
För studentbostadsföretag gäller att dessa, utö ver ovan angivna uppgifter, behöver spara upp gift om boendetid.
Information till tidigare hyresgäst
I de fall hyresvärden sparar information om en tidigare hyresgäst, ska hyresgästen få informa tion om vilka personuppgifter som sparas och för vilket ändamål. Denna informationsplikt kan uppfyllas redan då hyresförhållandet in leds. Se mer om information i avsnitt 4.
12
3. OM ”MINA SIDOR” OCH KOMMUNIKATION I SOCIALA MEDIER
För att minska risken för integritetskränkning ar via sociala medier ska hyresvärden vidta åt gärder i förebyggande syfte, exempelvis:
Informera om syftet med det sociala mediet och för vilka ändamål eventuella person uppgifter behandlas.
Hur kommentarsfunktionen är tänkt att användas och vilka typer av kommentarer som inte får förekomma.
Uppmana besökare att rapportera kränkan de innehåll och ha rutiner för att hantera klagomål. Om det är lämpligt kan hyres värden även hänvisa till det sociala mediets eller bloggverktygets egen klagomålsfunk tion.
Tydligt ange att det är hyresvärden som står bakom innehållet.
Ge instruktioner till de medarbetare som arbetar med sociala medier så att de vet hur de ska hantera informationen i egna och
andras inlägg.
Om hyresgästen kan kommunicera med hyres värden via internet, exempelvis genom inlogg ning på ”Mina sidor” eller liknande, och det finns en möjlighet att denna kommunikation kan innefatta känsliga eller extra skyddsvärda personuppgifter, ska hyresvärden vidta propor tionerliga och lämpliga tekniska och organisa toriska åtgärder för att skydda uppgifterna, ex empelvis kryptering eller inloggning med stark autentisering (till exempel elegitimation eller engångslösenord).
13
4. INFORMATION TILL DEN REGISTRERADE
En betydelsefull del för skyddet av den enskil des integritet är att han eller hon känner till vil ka uppgifter som behandlas. Den registrerade, en bostadssökande eller en hyresgäst, ska därför alltid informeras om vilken behandling som görs. Informationen ska lämnas självmant av hyresvärden och vara utformad på ett sätt som gör den lätt att förstå och den ska också vara lätt att hitta. Exempel på hur informationen kan utformas finns i bilaga 1. Exempel på hur en samtyckestext kan vara utformad finns
i bilaga 2.
4.1. VAD INFORMATIONEN SKA INNEHÅLLA
Vilken information som ska lämnas till hyres gästerna beror på vilken typ av personuppgifter som behandlas.
Informationen till hyresgästen ska innehålla åtminstone följande uppgifter:
Hyresvärdens namn och kontaktuppgifter och, i förekommande fall, företrädare för hyresvärden, till exempel en förvaltare.
Kontaktuppgifter till hyresvärdens data skyddsombud, om en sådan person är utsedd.
Ändamålen med behandlingen av person uppgifterna och den lagliga grunden för behandlingen.
Mottagarna eller de kategorier av motta gare som ska ta del av personuppgifterna, i tillämpliga fall.
Om det förekommer någon överföring av personuppgifterna till tredjeland och infor mation om tillämpliga skyddsåtgärder. Det kan avse att personuppgifterna lagras hos ett personuppgiftsbiträde utanför EU/EES eller att personuppgifterna visserligen lag ras inom EU/EES men att någon organisa tion utanför EU/EES har åtkomst till dem för exempelvis support, service, drift, un derhåll, utveckling eller liknande.
Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa raderingsfrist.
En förklaring till de berättigade intressen som eventuellt åberopas.
14
Rätten att när som helst återkalla ett sam tycke.
Rätten att inge klagomål till Datainspek tionen.
Varifrån personuppgifterna är hämtade, till exempel från allmänt tillgängliga källor, om de inte är hämtade från de registrerade själv.
Informationen ska lämnas om var och en av de behandlingar av personuppgifter som innefat tar hyresgästen eller den bostadssökande. Det saknas skyldighet att upplysa om att uppgifter kan komma att lämnas ut enligt offentlighets principen om organisationen är en myndighet/ kommunalt bolag eller stiftelse. Inget hindrar att informationen även innehåller sådan upp gift.
Om reglerna om sekretess och tystnadsplikt skulle gälla även gentemot hyresgästen, begrän sar det informationsplikten. Det är sällsynt inom bostadssektorn, men kan gälla exempelvis inledningsskedet av en brottsutredning.
4.2. XXX OCH NÄR INFORMATION KAN LÄMNAS
Hyresvärden ska ha en rutin för hur informa tion om behandlingen av personuppgifter ska lämnas till den registrerade. Informationen bör lämnas skriftligen, och informationstexter ska ses över och revideras kontinuerligt.
Informationen om behandlingen av person uppgifter ska primärt lämnas till den som står för hyreskontraktet. Även personuppgifter för andra boende i fastigheten som barn, innebo ende, andrahandshyresgäster och besökare kan bli behandlade. Ibland kan informationen be höva lämnas till förvaltare, god man, fullmäk tig eller anhörig. För integritetskänsliga be handlingar, som till exempel när hyresvärden använder elektroniska nycklar utvidgas kretsen (se avsnitt 5).
Information kan lämnas som en bilaga till hyresavtalet eller via hyresvärdens hemsida. En hänvisning till hemsidan kan lämnas i avtal, i ansökningsformulär och liknande. Informatio nen ska vara lätt att hitta på hemsidan och hy resvärden ska tillhandahålla papperskopior på informationen om en hyresgäst begär det. Om informationen ändras bör de boende uppmärk sammas på det genom brev, anslag eller liknan de. Det är möjligt att lämna informationen om att det har skett förändringar i hanteringen av personuppgifter på hyresavin eller på en an slagstavla i trapphuset eller på liknande ställen där alla hyresgäster passerar, och hänvisa till hemsidan eller hur man på annat sätt kan ta del av förändringarna.
Ansökningshandlingar avseende andra handsuthyrning, lägenhetsbyte eller överlåtelse ska innehålla information om behandlingen av personuppgifter som ansökan leder till. Avse ende behandling av bokningar av gemensamma utrymmen och faciliteter kan information lämnas i samband med inloggning i boknings systemet.
15
5. BEHANDLING AV PERSON- UPPGIFTER VID ANVÄNDNING AV ELEKTRONISKA NYCKEL- SYSTEM
När ett elektroniskt nyckelsystem används medför det möjligheter att spara personuppgif ter på flera sätt genom boknings och passage loggar. Övervakning och kartläggning av hur en person rör sig inom ett område anses kunna leda till integritetskränkningar. Det gäller sär skilt när området är i och kring bostaden.
Ändamålet och laglig grund
Ändamålet med behandlingen av personupp gifter är att underlätta hanteringen av nycklar för hyresgäster och bostadsföretag. Den lagliga grunden är dels att upprätthålla hyresavtalet så att hyresgästen får tillträde till lägenhet och ge mensamma utrymmen, dels intresseav vägning. Några uppgifter behöver
dock inte sparas för att upprätt hålla hyresavtalet utan det är framförallt med stöd av intres seavvägning som uppgifter be handlas. Behandlingen av per sonuppgifter i ett elektroniskt nyckelsystem är nödvändig för att hyresgäster ska kunna boka
tvättstuga och för att debitering ska kunna ske när en hyresgäst använt en bokningsbar lokal. I vissa fall kan in passeringsloggar behöva sparas under en tid för att bostadsföretaget ska kunna utreda störningar med mera i boendet. I dessa fall är den lagliga grunden att styrka ett rättsligt anspråk
med anledning av hyresavtalet, det vill säga att få störningen/arna att upphöra.
Vilka personuppgifter är relevanta att registrera? Med intresseavvägning som grund:
Bokningslogg av tvättstuga, uppgifterna
kan avidentifieras inom en vecka eller må nadsvis om reglering av antalet boknings bara tider baseras på månatlig användning. Bokningslogg av en festlokal eller dylikt. Uppgifterna kan sparas tills debitering skett och skulden är reglerad.
Bokningslogg för att ta fram statistik över
hur tvättstugan eller festlokal eller andra gemensamma utrymmen som är boknings bara används.
Uppgift om längre lås och dörröppningsti der. Uppgift om orsak behöver dock inte behandlas.
För att kunna tillvarata rättsliga anspråk med anledning av hyresavtalet:
Passageloggar i gemensamma utrymmen för att vidta åtgärder med anledning av störningar i boendet. Uppgifterna ska dock raderas efter maximalt två veckor om upp gifterna inte används.
Passageloggen kan alltså användas för att vidta åtgärder med anled
ning av störningar i boendet, men som regel inte för att till varata hyresgästernas intresse av sundhet, ordning och gott skick inom fastigheten. Det
är inte tillåtet att använda elektroniska nyckelsystem för
att spåra vem som har smutsat ner i tvättstugan eller för att kontrol lera när hyresgäster kommer och går. Om en åklagare fattat beslut om att ta passageloggar i beslag ska hyresvärden lämna ut de som om
fattas av beslutet.
Det ska framgå vilka personer som ska kunna ta del av passageloggarna och vid vil
ka tillfällen det ska vara tillåtet för dem att titta på informationen. Där ska det också framgå när uppgifter ska raderas.
Information som lämnas
Information om hur personuppgifterna ur det elektroniska nyckelsystemet ska användas ska vara tydlig och lättillgänglig. Hyresgästen ska informeras när nycklarna lämnas ut men infor mation bör även finnas tillgänglig på hemsida, i boendepärm eller dylikt under hyresförhål landet.
16
BILAGOR
BILAGA 1 INFORMATION
INFORMATION OM BEHANDLING AV PERSONUPPGIFTER
Vi behandlar personuppgifter när du söker
bostad, när du sedan blir kund hos oss och även en tid efter att din tid som kund hos oss har upphört. Din integritet är viktig för oss och vi vill därför att du läser vidare för att få veta mer.
En personuppgift är all slags information som kan kopplas till dig som person, till exem pel namn, adress, kontaktuppgifter som tele fonnummer och epostadresser.
PERSONUPPGIFTSANSVARIG
Bostadsföretaget [Namn, adress, organisations- nummer] är personuppgiftsansvarig för be handling av dina personuppgifter som vi gör själva eller annat företag gör på vårt uppdrag.
[Om tillämpligt: Vi har ett dataskyddsombud som kontrollerar att vi behandlar dina person- uppgifter korrekt. [Kontaktuppgifter till eventuellt dataskyddsombud]]
NÄR DU STÄLLER DIG I VÅR BOSTADSKÖ
(om företaget är anslutet till bostadsförmedling
utgår nedanstående information)
Under kötiden samlar vi in och behandlar dina personuppgifter för att administrera din ansökan/intresseanmälan. Det gör vi för att vi har ett berättigat intresse av att behandla dina personuppgifter. Uppgifterna ligger kvar så länge du står i vår kö. Om du inte önskar stå kvar i kön kan du begära att vi rensar bort och raderar dina personuppgifter.
NÄR DU ERBJUDS EN BOSTAD HOS OSS
När du blir erbjuden en bostad hos oss behöver vi behandla fler uppgifter om dig. Då behöver vi till exempel uppgifter om din ekonomi, om din anställning och hur du skött tidigare boen den och hyresinbetalningar. Det innebär att vi gör en kreditupplysning, hämtar uppgifter från inkassobolag och Kronofogdemyndigheten och behandlar anställningsintyg, andra intyg och uppgifter från referenspersoner du lämnar till oss. Om du har en förvaltare eller god man behöver vi behandla de uppgifterna. Om du erbjuds ett särskilt boende eller gruppboende kommer vi att hämta in beslut från social nämnden. Om du erbjuds en studentbostad kommer vi att behandla antagningsbesked och kårmedlemskap eller andra intyg som styrker att du kommer att studera under hyrestiden.
Vi sparar dina uppgifter så länge de är rele vanta och aktuella. Kreditupplysning, uppgif ter från inkassobolag och myndigheter som vi samlat in för att godkänna dig som hyresgäst sparar vi inte. Om du blir nekad en lägenhet hos oss på grund av att vi inte kan godta
dig som hyresgäst kommer vi dock att bevara dina personuppgifter i tre månader efter av slagsbeslutet.
Alternativt: Vi är ett kommunalt allmännyt tigt bostadsföretag och omfattas av tryckfri hetsförordningens bestämmelser om allmänna handlingar. Det innebär att vi bevarar allmän na handlingar i vårt arkiv. Allmänna handling ar är handlingar som skickas in till oss eller handlingar vi själva upprättar, till exempel
18
hyresavtal, brev och intyg. Vi gallrar allmänna handlingar och uppgifter i handlingar enligt vår dokumenthanteringsplan.
UNDER HYRESFÖRHÅLLANDET
När du blir kund hos oss och får ett hyresavtal behandlar vi dina personuppgifter för att kun na fullgöra och administrera våra skyldigheter som hyresvärd och avtalspart. Under hyres förhållandet behandlar vi till exempel dina personuppgifter när vi skickar ut hyresavier och hanterar dina betalningar, när vi inhämtar uppgifter om förbrukning av el och/eller vatten/värme, när vi hyresförhandlar och när vi skickar information till dig som du behöver.
Vi kan också behöva uppdatera dina personuppgifter mot offentliga register för att säkerställa att de är korrekta. Om du bor i en studentbostad kommer vi till exempel att kon trollera att du studerar. Om du har skyddade personuppgifter kommer vi att hantera dina uppgifter enligt våra rutiner för sådana.
Vi behandlar också dina personuppgifter för att kunna tillhandahålla våra tjänster och service till dig samt för att marknadsföra oss och våra tjänster. Denna behandling är nöd
vändig för vårt berättigade intresse att utveckla, förbättra och sälja produkter och tjänster och behålla en god kundkontakt med dig. Dina personuppgifter kommer också att behandlas så att andra företag kan marknadsföra sina produkter som du kan ha nytta av i samband med hyresförhållandet. Sådan marknadsföring kan avse bredbandsbolag, försäkringsbolag och elbolag.
Vi behandlar också dina personuppgifter när det är nödvändigt för att tillvarata ett rättsligt anspråk. Det kan vi behöva göra om det till exempel förekommer störningar i boendet, sena eller uteblivna hyresbetalningar eller skador i lägenheten. Vi kan också behöva lämna ut dina personuppgifter till socialnämnden eller andra berörda myndigheter.
Vi kan komma att anlita personuppgifts biträde för behandling av dina personuppgifter. Det kan till exempel gälla en entreprenör som ska reparera något i din lägenhet ett företag som tillhandahåller bredband eller el, ett in kassoföretag eller ett företag som sköter våra
ITsystem. Vi lämnar också ut dina person uppgifter när det följer av lag eller myndighets beslut. Om uppgifterna överförs till ett land utanför EU, säkerställer vi att sådan överföring är laglig.
Vi sparar dina personuppgifter under den tid de är relevanta. Ett borgensåtagande, beslut om förvaltare eller god man raderar vi två år efter åtagandets eller beslutet har upphört att gälla.
NÄR HYRESFÖRHÅLLANDET ÄR SLUT
Vi kommer att gallra och rensa personuppgifter om dig när du flyttat från din lägenhet men vissa uppgifter måste vi spara i minst två år därefter som till exempel hyresavtalet, beslut från socialnämnd och studieintyg. Uppgifter om dig som finns i vårt bokföringsmaterial, till exempel betalningar, kommer vi att spara i sju år inklusive innevarande år.
Alternativt: Vi är ett kommunalt allmän nyttigt bostadsföretag och omfattas av tryck frihetsförordningens bestämmelser om allmän na handlingar. Det innebär att vi bevarar allmänna handlingar i vårt arkiv. Allmänna handlingar är handlingar som skickas in till oss eller handlingar vi själva upprättar, till exempel hyresavtal, brev och intyg. Vi gallrar allmänna handlingar och uppgifter enligt vår dokument hanteringsplan.
DINA RÄTTIGHETER
Om du inte vill att dina personuppgifter ska behandlas för marknadsföringsändamål kan du när som helst meddela oss detta.
Du har rätt att få information om vilka personuppgifter vi hanterar om dig, ett register utdrag. Du har också rätt att få felaktiga upp gifter rättade. Du har också rätt att kräva att vi begränsar vår behandling av dina personupp gifter om du till exempel anser att de inte är korrekta. Du har rätt att få dina personupp gifter överförda till ett annat företag (data portabilitet).
Du har också rätt att klaga på hur vi behand lar dina personuppgifter till oss och till tillsyns myndigheten, Datainspektionen. Det kan du göra om du tycker att vi inte behandlar dina personuppgifter i enlighet med Dataskydds förordningen.
19
0
0
1
1
0
11
11
00
10
10
10
01
010
100
01
10
01
01
01
0
0
0
11
00
0
1
1
1
000
010
000
1
0
1
0
BILAGA 2 SAMTYCKE
110
11
00
000
För att kunna erbjuda dig ett boende som passar dig behöver vi behandla personuppgifter om din hälsa [eller angivande av annan känslig personuppgift som behöver behandlas].
011
101
101
100
0
0
01
01
Informationen samlas in av oss [eller av …] [uppge om uppgifterna kommer från annan än person- uppgiftsansvarig, t.ex. kommunen]. Det är vi [bostadsföretaget, kontaktuppgifter, organisationsnum- mer] [eller …] som är personuppgiftsansvarig. Vi delar dina personuppgifter med [uppge om ni har personuppgiftsbiträde].
011
1
0
0001
1101
0
Samtycket är giltigt tillsvidare. Du har rätt att när som helst ta tillbaka ditt samtycke. Detta gör du genom att meddela oss. Men om du återkallar ditt samtycke påverkar det inte vår behandling av dina uppgifter innan du återkallade det.
1001
0101
0011
0
0
0
1
0
Du har rätt att kontakta oss för att få information om vilka uppgifter som behandlas om dig eller för att begära rättelse, överföring, radering eller begränsning av dina personuppgifter. Du har även rätt att inge klagomål till tillsynsmyndigheten Datainspektionen om du tycker att vi behandlar dina personuppgifter på ett felaktigt sätt.
1000
0010
0110
1
0
0
Jag samtycker till ovanstående.
0110
01000
0
1
01011
11001
1
Underskrift
10110
11010
00001
00100
1
0
0
1
0
Namnförtydligande
01100
01001
0
0
110010
000001
1
0
Ort och datum
001100
101011
110111
011101
010010
1
1
20
001000000110000
000000110101101110101011011100110111001
1010111001101110011011001
1001001011011
11011000100000011000010111010001110100001000000110101101110101011011100110111001100001001
001110100011100
00000110000101101110011101101110010001101110011001000110000100100000011010010110111001100
100000011000010110111001110110111001000110111001100
10011011110111001001101101011000010111010001101001011011110110111000100000011011110110110
001001000000110100101101110011001100110111101110010
000100000011000010111011000100
00100000011010010110111001100100011010010111011001101001011001000110010101110010001011000
10000000001010011100111110010100100000011010110110000101101100011011000110000101100100011
11000010111010001101001011011110110111000100000011
100110010101110
01010010000001110000011001010111001001110011011011110110111001110101011100000111000001100
110000101110100011101000010000
11011010010110011001110100011001010111001000101100001000001110010001110010001000000111001
11010010000001101001011011100110010001101001011101
01110100011011110111001001110100001000000110100100100000011100110110000101101101011010001
10010001101100011011000110010101110100001011100010000001010011011011110110110100100000011
101100100011001010111001000101100001000000000101001
01011011101010110111001101110
01010111010001110100001000000000101001110010011001010111001101110101011011000111010001100
100101001000000110101101100001011011000110110001100
011011100110110
01011101000010000001100001011101100010000001100100011001010111010001110100011000010010000
01101000011000010111001000100000011100110110101101111001011001000110010001100101011101000
100011001010010000001110000011001010111001001110011
00100100000011000010110111001
10000001100110111101100111001000100000011010010110111001100100011010010111011001101001011
01000110010101110010011100110010000001101001011011100111010001100101011001110111001001101
011011100111010101110000011100000110011101101001011
01011101000110010101110100001000000110001001101100011010010111011001101001011101000010000
01110010001101110011001000110
01010111010000
01101101011001010111001000100000011000100110010101110100011110010110010001100101011011000
101000110010101110010001011000010000011100100011100
11001101100101011001100111010101101100011011000111010000101110010010010110111001110100011
000111001101110100011011110111001001110100001000000
00100110010101110011011100110110010101110100001000000110000101110110001000000110000101110
01000000110100101101110011001
00011101000010000001101011011101010110111001101110011000010010000001100001011011100111011
10000001110011011000010110110101101000111001000110
00000011000010
11100100011011100110010001100001001000000110100101101110011001100110111101110010011011010
10000101110100011010010110111101101110001000000110111101101101001000000110100101101110011
10001100101011101000010111000100000010100110110111
101111011100100110110101100001
01000110100101110110011010010110010001100101011100100010110000100000000010100111001111100
01001000000110101101100001011011000110110001100001011001000110010100100000011100000110010
00100000011001010111010001110100001000000000101001
01110010011100110110111101101110011101010111000001110000011001110110100101100110011101000
001010111001101110101011011000111010001100001011101
010001101001011011110110111000
11101100010000
10010101110010001011000010000011100100011100100010000001110011011101000110111101110010011
01000010000001101001001000000111001101100001011011010110100011100100011011000110110001100
000110000101110110001000000110010001100101011101000
01011101000010111000100000010100110110111101101101001000000110010101110100011101000010000
000110111101101101001000000110
00001010011100100110010101110011011101010110110001110100011000010111010000100000011000010
110000100100000011010000110000101110010001000000111
11011000100000011001000110010101110100011101000110000100100000011010000110000101110010001
011000010111010
00000111001101101011011110010110010001100100011001010111010000100000011001101111011001110
101101111001011001000110010001100101011101000010000
011011100110010001101001011101
10001000000110100101101110011001000110100101110110011010010110010001100101011100100111001
011110110011100100010000001101001011011100110010001
00100000011010010110111001110100011001010110011101110010011010010111010001100101011101000
10000001100010011011000110100101110110011010010111010000100000011011010110010101110010001
110110011010010110010001100101011100100111001100100
101001011001000110010101110010
00000110001001100101011101000111100101100100011001010110110001110011011001010110011001110
00111010000100
01011011000110110001110100001011100100011001100001011100110111010001101001011001110110100
01011011100111010001100101011001110111001001101001
01100101011101000111001111100100011001110110000101110010011011100110000100100000011011110
11000010000000001010011100111
10001101101000001000000101001101000001010000100100111100100000011010000110000101110010001
11001010111010000100000011000100110110001101001011
00000110100100100000011100110110000101101101011000010111001001100010011001010111010001100
100101110100001000000110110101100101011100100010000
000110101101110
01001000000110110101100101011001000010000001010011011101000111010101100100011001010110111
01001000000110101101100001011
01110100011000100110111101110011011101000110000101100100011100110110011011110110011100100
001100101011101000111100101100100011001010110110001
10010101110100011000010110011101100101011011100010000001110100011000010110011101101001011
01000010000001100110011100100110000101101101001000000110010001100101011011100110111001100
100101011001100111010101101100011011000111010000101
01101100011000010110010001100
01001000000111011011100100011001110110110001100101011001000110111001101001011011100110011
101011011100110
00100000011001101111011001110010001000000110100001110101011100100010000001110000011001010
001011011100111010001110010011001010111001101110011
11001001110011011011110110111001110101011100000111000001100111011010010110011001110100011
011101000010000001100001011101100010000001100001011
010000001110000011001010111001
01010111001000100000011000101111011001110010001000000110001001100101011010000110000101101
10011001000110110001100001011100110010000001110110011010010110010000100000011101010111010
101000010000001101011011101010110111001101110011000
01101000011110010111001001101110011010010110111001100111001000000110111101100011011010000
100110110111101101110011101010
11100110000100
10000001100110111101100111001001110110011000010110110001110100011011100110100101101110011
000110000101101110011101101110010001101110011001000
01110010000001100001011101100010000000001010011000100110111101110011011101001110010001100
00011001010111001000100000011010010010000001100110011011000110010101110010011001100110000
10000001101001011011100110011001101111011100100110
000011100000110011101101001011
01101101011010010110110001101010011100110110100001110101011100110010111000100000000010100
00101110100011010010110111101101110001000000110111
00000011000010
01011011100100011001110110110001100101011001000110111001101001011011100110011101100101011
11100010000001110011011110010110011001110100011000010111001000100000011101000110100101101
001000000110100101101110011001000110100101110110011
001110100011001010111001000101
00011011000010000001100001011101000111010000100000011101101110010001110010011011100110000
00100000011010000111100101110010011001010111001101100111111001000111001101110100011001010
001000110010101110010001011000010000000001010011100
11001001101110011000010111001100100000011010010110111001110100011001010110011101110010011
010000011100100011100100010000
110111001110110
10010111010001100101011101000010000001101111011000110110100000100000011000010111010001110
010010000001101011011000010110110001101100011000010
00001000000110001001101001011100110111010011100101001000000110100001111001011100100110010
110010100100000011100000110010101110010011100110110
01110011011101101110010001110010011001000110010101101110001000000110110101100101011001000
10011011101000110111101110010
10000001101001011011100110011001101111011100100110110101100001011101000110100101101111011
111001110101011100000111000001100111011010010110011
11100010000001101111011011010010000001100100011001010010000001101110011110010110000100100
110010001101110
00011000100110010101110011011101001110010001101101011011010110010101101100011100110110010
001100101011100100010110000100000111001000111001000
10000100000011010010010000001
01110010011011100110000100100000011010010010000000001010010001000110000101110100011000010
11001101101011011110010110010001100100011100110110011011110110011100100110111101110010011
10011011101000110111101110010011101000010000001101
01000110111001101001011011100110011101100101011011100010000000101000000111010100011101000
10110000101101101011010001110
01100100011000
00010100000101001000011101001010010010000001101111011000110110100000100000000010100110100
00011100110110000101101101011010001110010001101100
01110101011100100010000001100100011001010111001101110011011000010010000001100010111101100
110010101110100001011100010000001010011011011110110
11001000100000011101000110100101101100011011001110010001101101011100000110000101110011001
11011000110110001100101011101
00000110100100100000011101100110010101110010011010110111001101100001011011010110100001100
000001100101011101000111010000100000000010100111001
01011101000110010101101110001011100010000001010011011101000110111101110010001000000110100
10010000001101
11100100011011100111001101111001011011100010000001101000011000010111001000100000011101000
101110011011101010110110001110100011000010111010000
101110001000000101001101101111
10000101100111011010010111010001110011001000000111010001101001011011000110110000100000011
01000110010100100000011000100110111101100101011011100110010001100101011100110010000001100
100001011101100010000001100100011001010111010001110
10011001010110100001101111011101100010000001100001011101100010000001110011011010110111100
001001000000110100001100001011100100010000001110011
110100100000011001010111010001
01100100011001000010000001100110111101100111001000100000011010000111010101110010001000000
001011011100110
10010001100101011100100110000101110011001000000111000001100101011100100111001101101111011
011110010110010001100100011001010111010000100000011
11100111010101110000011100000110011101101001011001100111010001100101011100100010000001100
000010000000001010011100100110
10011001010110100001100001011011100110010001101100011000010111001100101110001000000000101
101100111001000100000011010010110111001100100011010
01000100011001010110111001101110011000010010000001110110111001000110011101101100011001010
00110100101100100011001010111001001110
10101101100011101
10010001101110011010010110111001100111001000000110010101110010011100111110010001110100011
101110011101000
01000110010101110010001000000110100100100000011101000110100101101100011011001110010001101
0101110000011011000110100101100111011000010010000001100100011001010110110001100001011100