PERSONUPPGIFTSPOLICY

1 BAKGRUND

Företagsbostäder Sverige AB, org. Nr. 556213-6241, (”Företagsbostäder”) är ett aktiebolag som levererar tillfälliga boende lösningar, företrädelsevis till företag. Företagsbostäder har ca (30) anställda.

Inom Företagsbostäders verksamhet behandlas diverse personuppgifter. Det är av största vikt att all sådan behandling utförs på ett korrekt sätt som inte riskerar att göra intrång i den personliga integriteten hos den vars personuppgifter behandlas. Företagsbostäder ska i alla lägen se till att personuppgifter behandlas på ett lagenligt och korrekt sätt, samt att samtliga som behandlar personuppgifter för Företagsbostäders räkning har de kvalifikationer och den kunskap som krävs för behandling av sådana uppgifter.

Denna personuppgiftspolicy (”Policyn”) innehåller regler och riktlinjer för den behandling av personuppgifter som görs av Företagsbostäder i egenskap av personuppgiftsansvarig samt personuppgiftsbiträde, oavsett vilken typ av personuppgifter det är fråga om och vems personuppgifter det rör. Syftet med Policyn är att öka kunskapen inom Företagsbostäder avseende innehållet i Europaparlamentets och Rådets Förordning 2016/679 av den 27 april 2016 (”Dataskyddsförordningen”) och säkerställa att Företagsbostäder uppfyller sina skyldighe- ter enligt Dataskyddsförordningen.

2 VAD, VARFÖR OCH HUR LÄNGE BEHANDLAR VI?

2.1 Allmänt

Företagsbostäder samlar in och behandlar personuppgifter inom de områden och funktioner som listas nedan. I flera fall när vi begär in personuppgifter gör vi det i syfte att uppfylla lagstadgade eller avtalsenliga krav eller krav som är nödvändiga för att ingå ett avtal med exempelvis en anställd, en kund eller leverantör. I fall den re- gistrerade inte tillhandahåller de uppgifter som vi begär kan det i vissa fall medföra att vi inte kan ingå ett avtal eller fullgöra våra förpliktelser i ett avtal med den registrerade.

Nedan finner du i del 2.2, 2.3, 2.4, 2.5, 2.6 and 2.7, de områden inom vilka Företagsbostäder behandlar per- sonuppgifter. I anslutning till respektive område anges även ändamålen och den lagliga grunden för behand- lingen, vilka som mottar uppgifterna samt lagringsperiod m.m.

2.2 Anställda

Vilken är den lagliga grunden för behandlingen?

Anställdas personuppgifter inhämtas och behandlas för att (a) fullgöra skyldigheter enligt lag, (b) kollektivavtal och/eller för ingåendet och fullgörandet av enskilda avtal.

Vilka personuppgifter behandlas och vem är mottagare?

Personuppgifter som behandlas är huvudsakligen namn, personnummer, telefonnummer, bankuppgifter, under- lag för ersättning och förmåner, adress, information om närstående, kvalifikationer, erfarenhet och utveckling, frånvaro, sjukdom och eventuell rehabilitering.

De som mottar uppgifterna är HR-ansvarig, chefer, IT, säljchef, ekonomiavdelning och interna eller externa aktörer som administrerar löner och andra förmåner samt myndigheter när så krävs.

För vilka ändamål behandlas personuppgifterna?

Den anställdes personuppgifter krävs bland annat för följande ändamål: löneutbetalning, beräkning av provi- sion, lönerevision och andra ersättningar och förmåner, allmän personaladministration,

tidrapportering, styrelsearvoden, upprätthålla beredskaps- och katastrofplanering, kontakta anhöriga i samband med tillbud/olyckor rörande den anställde, tillhandahålla företagshälsovård, semester, administrera anställ- ningsförmåner (inklusive pensioner, livförsäkring och hälso- och sjukvårdsförsäkring), upprätthålla sjukdoms- och frånvarodokumentation för beräkning av sjuklön och deltagande i rehabiliteringsutredningar i enlighet med arbetsmiljölagen, ta beslut om lämpligheten för visst arbete, möjliggöra utvärdering och granskning av presta- tioner (inklusive information om prestationsförmåga och annan bedömningsinformation och utvecklingssamtal med den anställde) och också mer generellt för att säkerställa uppfyllelse av legala skyldigheter (inklusive,

men inte begränsat till, inkomstskatt och socialförsäkringslagstiftning och all relevant arbetsrättslig lagstiftning, såsom för att uppfylla de turordningsbestämmelser som gäller vid uppsägning eller för att utfärda arbetsgivar- intyg).

Därutöver behandlas uppgifter om person och bonus för statistiska ändamål avsedda för Statistiska Centralbyrån eller Svenskt Näringsliv.

Hur länge lagras uppgifterna?

Företagsbostäder lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Företagsbostäder genomför därför regelbundna gallringar bland personuppgifter och tar bort de uppgifter som inte längre behövs. När en anställning upphör finns som utgångspunkt ingen anledning att spara den f.d. anställdes personuppgifter. Detta inkluderar den anställdes e-postkonto och uppgifter om den anställde på Företagsbostäders webbplats. Gallring ska i sådana fall ske snarast möjligt efter anställningens upphörande.

Från detta finns dock viktiga undantag. För att uppfylla sina åtaganden i enlighet med arbetsrättslig, skatterättslig och socialförsäkringsrättslig lagstiftning behöver Företagsbostäder spara vissa uppgifter om den anställde även under en period efter anställningens upphörande. Exempelvis måste uppgifter sparas för att uppfylla rättsliga skyldigheter avseende beskattning eller bokföring, åligganden rörande den anställdes

företrädesrätt till återanställning i lag (1982:80) om anställningsskydd samt för att hantera rättsliga krav som kan tänkas riktas mot Företagsbostäder.. Det krävs ibland också att uppgifter bevaras för utbetalning av exempelvis pension eller avgångsvederlag. I dessa undantagsfall lagras uppgifter i 2 år respektive 10 år (rörande bokföring, beskattning och preskriptionstider).

Vi kan även komma att behandla uppgifter i samband med medarbetarundersökningar. Sådana undersökningar genomförs för att Företagsbostäder ska kunna identifiera brister och därefter kunna arbeta med och säkerställa en bättre arbetsmiljö. I dessa fall kan automatiserat beslutsfattande, inbegripet profilering, förekomma.

Vissa av de personuppgifter Företagsbostäder behandlar till följd av anställningen kan utgöra känsliga uppgif- ter. Häribland kan nämnas sjukdomstillstånd eller facklig tillhörighet. Se mer om Företagsbostäders hantering av känsliga uppgifter under 2.8 nedan.

2.3 Konsulter

Vilken är den lagliga grunden för behandlingen?

För att uppfylla rättsliga förpliktelser eller för att kunna ingå och fullgöra konsultavtal kan Företagsbostäder behöva inhämta enskilda konsulters personuppgifter.

Vilka personuppgifter behandlas och vem är mottagare?

Personuppgifter som behandlas av Företagsbostäder är bland annat namn, personnummer, adress, e-post- adress, telefonnummer, bankkontonummer, bank- och postgironummer, information om kvalifikationer, under- lag för beräkning av arvode, erfarenhet m.m. och information om frånvaro och även kontaktuppgifter till den enskilde konsultens chef.

De som mottar uppgifterna är huvudsakligen relevanta chefer, HR-ansvarig, eventuella externa aktörer som administrerar utbetalningar av arvode m.m. och myndigheter när så krävs, med flera.

För vilka ändamål behandlas personuppgifterna?

Konsultens personuppgifter kan krävas bland annat för följande ändamål: betalning av konsultarvode och andra ersättningar, allmän administration av konsulttjänster, upprätthålla beredskaps- och katastrofplanering, upp- rätthålla kontrollsystem, upprätthålla frånvaro-dokumentation för bedömning av konsultarvode, ta beslut om lämpligheten för vissa tjänster och uppdrag, möjliggöra utvärdering och granskning av prestationer och också mer generellt för att säkerställa uppfyllelse av legala skyldigheter.

Hur länge lagras personuppgifterna?

Företagsbostäder lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Företagsbostäder genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de upp- gifter som inte längre behövs.

Generellt ska personuppgifterna inte bevaras efter det att konsultuppdraget avslutats. Det kan dock vara nödvändigt för Företagsbostäder att spara uppgifterna under en längre period efter att uppdraget upphört för att uppfylla rättsliga skyldigheter avseende beskattning, bokföring eller för att hantera rättsliga krav som kan tänkas riktas mot Företagsbostäder. Lagringsperioden är i dessa undantagsfall maximalt 10 år från konsultupp- dragets upphörande.

2.4 Rekrytering

Vilken är den lagliga grunden för behandlingen?

För att Företagsbostäder ska kunna hantera ansökningar som de registrerade skickat in, genomföra intervjuer och fatta beslut i ett rekryteringsförfarande måste Företagsbostäder behandla vissa personuppgifter. Grunden för denna behandling är intresseavvägning, alternativt avtal.

Vilka personuppgifter behandlas och vem är mottagare?

Personuppgifter som behandlas av Företagsbostäder är bland annat namn, födelsedatum, adress, information om erfarenhet och färdigheter, eventuellt fotografi m.m. I dessa fall kan automatiserat beslutsfattande, inbegri- pet profilering, förekomma.

De som mottar uppgifterna är huvudsakligen HR-ansvarig, chefer och anlitade rekryteringsfirmor. I de fall rekryteringsfirmor handhar rekryteringen upprättas alltid personuppgiftsbiträdesavtal med den externa aktören, vänligen se nedan under avsnitt 3.2 om Företagsbostäders rutiner för detta.

För vilka ändamål behandlas personuppgifterna?

För att Företagsbostäder ska kunna hantera ansökningar, intervjuer och beslutsfattande i ett rekryteringsförfa- rande samlar vi in och behandlar personuppgifter.

Hur länge lagras personuppgifterna?

Företagsbostäder lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandling- en. Företagsbostäder genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs. Företagsbostäder kan dock behöva lagra personuppgifterna efter det att rekryteringsförfarandet är avslutat om vi bedömer det nödvändigt att spara dem för att hantera rättsliga krav som kan tänkas riktas mot Företagsbostäder. Lagringsperioden är därför 2 år.

2.5 Kunder

Vilken är den lagliga grunden för behandlingen?

Vår huvudsakliga kundgrupp är affärsresenärer, dvs. företag i behov av tillfälliga boendelösningar för sin per- sonal och deras familjer. Våra tjänster erbjuds också, i liten skala, till privatpersoner. Informationen nedan berör behandling av persondata av våra kunder i allmänhet, dvs både kunder som enskilda personer och represen- tanter för våra företagskunder. Vänligen se avsnitt 2.7 för information om hur vi behandlar persondata som härrör vederbörande gäster (dvs. privatpersoner boende i våra lägenheter eller hus).

För att kunna ingå och hantera avtal med våra kunder behandlar Företagsbostäder personuppgifter tillhörande personer som är företrädare för våra kunder. De rättsliga grunderna för att behandla personuppgifter på detta sätt är därför nödvändigt för att antingen kunna fullfölja avtal eller för att ta tillvara Företagsbostäders intressen. Vissa personuppgifter kan också behandlas på grund av att Företagsbostäder har en rättslig skyldighet till det, exempelvis personuppgifter på fakturor till följd av bokföringsskyldighet.

Vilka personuppgifter behandlas och vem är mottagare?

Vi behandlar personuppgifter avseende företrädare på bolag som vi har kundavtal med. Personuppgifter som behandlas kan bland annat vara namn, telefonnummer, e-post, personnummer och kopia på ID/körkort. Vi kan även behandla namn och personnummer för borgenärer kopplade till kundavtalen.

Vi kan även behandla personuppgifter avseende företräde på bolag som är potentiella kunder. Personuppgifter som behandlas kan bland annat vara namn, telefonnummer, adress och e-post.

De som mottar uppgifterna är huvudsakligen för avtalet relevanta personer på säljavdelningen, ekonomiavdelningen, marknadsavdelningen, chefer och avtalsadministratörer. Även helpdesk och tekniker kan komma att motta uppgifterna.

För vilka ändamål behandlas personuppgifterna?

För de fall när det finns ett befintligt kundavtal, behandlar Företagsbostäder enbart personuppgifter som är relevanta för kundförhållandet och som krävs för fullgörandet av avtalet. Personuppgifter så som företrädares namn, e-post och telefonnummer behandlas för att i stort kunna administrera kundavtalet samt för att kunna hålla en dialog med kunden, när det är aktuellt, kunna utföra besiktningar/visningar eller för att få tillgång till aktuella lägenheter eller hus. Personuppgifter så som personnummer eller körkort behandlas enbart om så be- hövs för att administrera fakturering kreditvärdering eller dylikt. Företrädares personuppgifter kan även behand- las för ändamålet att skicka intressanta erbjudanden och reklam till kundbolaget. Företrädaren har dock rätt att när som helst invända mot behandling av personuppgifter för direktmarknadsföring, se punkten 5.4 nedan.

För de fall Företagsbostäder behandlar personuppgifter avseende företrädare för potentiella kunder, görs detta i syfte att ta kontakt med kunden för att kunna ge kunden intressanta erbjudanden och information via telefon, e-post eller för att administrera inbokade möten. Som framgår av punkten 5.4 har företrädaren alltid rätt att invända mot behandling för direktmarknadsföring.

Hur länge lagras personuppgifterna?

Företagsbostäder kan dock behöva lagra personuppgifterna efter det att kundrelationen upphört, bland annat för att administrera eventuella garantier och reklamationsfrister, hantera rättsliga krav som kan tänkas riktas mot Företagsbostäder eller för att marknadsföra tjänster och skicka erbjudanden som Företagsbostäder tror kan vara av intresse för våra f.d. kunder. Undantagsvis sparas därför personuppgifter viss tid efter kundförhållandets upphörande eller tills att personen invänt mot direktmarknadsföring.

Personuppgifter avseende företrädare för potentiella kunder tas bort när dialogen med kunden upphört, under förutsättning att ingen kundrelation inletts, eller direkt om personen invänder mot direktmarknadsföring.

Personuppgifter kan också mer generellt behöva lagras för att säkerställa uppfyllelse av legala skyldigheter, exempelvis avseende bokföring. Om sådan skyldighet föreligger kan personuppgifterna sparas i upp till 7 år.

2.6 Leverantörer

Vilken är den lagliga grunden för behandlingen?

För att kunna ingå och hantera avtal med leverantörer behandlar Företagsbostäder personuppgifter tillhörande personer som är företrädare för leverantörerna. Vissa personuppgifter kan också behandlas på grund av att Företagsbostäder har en rättslig skyldighet till det, exempelvis personuppgifter på fakturor till följd av bokfö- ringsskyldighet.

Vilka personuppgifter behandlas och vem är mottagare?

Vi behandlar personuppgifter avseende företrädare på leverantörsbolag som vi har eller avser att ingå avtal med. Personuppgifter som behandlas kan bland annat vara namn, telefonnummer, e-post, adress och yrkestitel.

De som mottar uppgifterna är huvudsakligen Företagsbostäders inköpsavdelning, ansvarig chef, VD, ekonomi- avdelningen och IT-avdelningen.

För vilka ändamål behandlas personuppgifterna?

Företagsbostäder behandlar personuppgifterna för att generellt kunna administrera inköpsavtal, hantera faktu- ror och för att kunna ställa frågor till leverantören Företagsbostäder kan ha avseende de varor eller tjänster som vi köper.

Hur länge lagras personuppgifterna?

Företagsbostäder kan dock behöva lagra personuppgifterna efter det att avtalsrelationen upphört, bland annat för att administrera eventuella garantier och reklamationsfrister, hantera rättsliga krav som kan tänkas riktas mot Företagsbostäder. Undantagsvis sparas därför personuppgifter i 2 år från avtalsförhållandets upphörande.

2.7 Gäster

Vilken är den lagliga grunden för behandlingen?

För att kunna teckna och fullfölja avtalen med våra kunder som hänvisats till i avsnitt 2.5 ovan och för att sä- kerställa att vi erbjuder tjänster i enlighet med kundens behov och önskemål från den enskilde gästen som bor i våra lägenheter eller hus, måste Företagsbostäder behandla viss begränsad personlig data gällande dessa gäster. De rättsliga grunderna för att behandla personuppgifter på detta sätt är därför nödvändigt antingen för att kunna fullfölja avtal eller för att ta tillvara Företagsbostäders intressen. Vissa personuppgifter kan också behandlas på grund av att Företagsbostäder har en rättslig skyldighet till det, exempelvis personuppgifter på fakturor till följd av bokföringsskyldighet.

Vilka personuppgifter behandlas och vem är mottagare?

Företaget behandlar personuppgifter relaterade till namn, familjemedlemmar, e-postadress, telefonnummer, adress, ankomst- och avresedatum, nummer på nycklar, passkopior och/eller ID-nummer, information om särskilda behov som funktionshinder, hemtjänst och husdjur eller andra preferenser eller klagomål som gästen ger oss information om. Personliga uppgifter som gästen ger oss genom att delta i en frivillig gästundersökning kan också behandlas.

De främsta mottagarna av personuppgifterna är företagets kundservice och bokningsavdelning, ansvariga chefer, ekonomichef och IT-avdelningen. I tillämpliga fall kan vi behöva dela dina personuppgifter med externa aktörer som hjälper oss med boendehantering, inklusive t.ex. städservice, fastighetsförvaltning och nyckelut- lämning.

För vilka syften behandlas personuppgifter?

Personliga data som namn, e-postadresser och gästers telefonnummer behandlas för att administrera logi och för att kunna hålla en dialog med gästerna (t ex nyckelutlämningar, frågor, klagomål, visningar mm). Personliga uppgifter som information om funktionshinder, hemtjänst, husdjur eller annat behandlas när de tillhandahålls av gästen (eller indirekt genom kunden som bokar) för att säkerställa att alla behov och önskemål är uppfyllda och följaktligen för att säkerställa

bästa möjliga upplevelse för den aktuella gästen. Personuppgifter som personnummer, pass eller ID behandlas endast om det är nödvändigt för att administrera fakturering, kreditupplysning och liknande aktiviteter. De per- sonuppgifter som samlas in genom våra frivilliga gästundersökningar samlas in för att optimera och förbättra våra tjänster

Hur länge lagras data?

Företagsbostäder lagrar inte personuppgifter längre än vad som är nödvändigt i förhållande till i vilket syfte uppgifterna behandlades. Därför utför Företagsbostäder regelbundet gallringar av lagrade personuppgifter och raderar uppgifter som inte längre är nödvändiga efter avslutad avtalsperiod och vistelse.

Företagsbostäder kan behöva lagra personuppgifter under en tid även efter utgången av vistelseperioden i lä- genheten eller huset som tillhandahållits av oss, om sådan lagring är nödvändig för att administrera eventuella garantier och begränsningsperioder av klagomål eller hantera eventuella rättsliga krav mot Företagsbostäder. Undantagsvis kan personuppgifter lagras i upp till två år efter utgången av gästens vistelse i vår lägenhet eller hus.

Det kan också vara nödvändigt för Företagsbostäder att lagra personuppgifter i allmänhet, för att exempelvis uppfylla rättsliga skyldigheter avseende bokföring. Om sådana skyldigheter råder kan personuppgifterna lagras i upp till sju år.

Några av de personuppgifter som företaget behandlar gällande gäster kan betraktas som känsliga personupp- gifter. Sådana känsliga uppgifter kan exempelvis vara personuppgifter relaterade till hälsa, som kan behandlas för att tillgodose gästernas speciella behov. Se avsnitt 2.8 nedan för mer information om Företagsbostäders behandling av känsliga uppgifter.

2.8 Särskilt om känsliga uppgifter

Med känsliga uppgifter avses i Policyn sådana personuppgifter som avslöjar ras eller etniskt ursprung, person- liga åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Företagsbostäder behandlar aldrig känsliga uppgifter utan samtycke från den registrerade eller utan att det föreligger sådant stöd som framgår av artikel 9 Dataskyddsförordningen, exempelvis för att fullgöra skyldig- heter eller utöva särskilda rättigheter inom arbetsrätt, social trygghet och socialt skydd eller när behandlingen är nödvändig för att skydda den registrerades eller annans grundläggande intressen, när registrerad är fysiskt eller rättsligt förhindrad att ge samtycke, i vissa fall inom ramen för facklig verksamhet, om uppgifterna redan offentliggjorts av den registrerade, om det är nödvändigt med hänsyn till ett viktigt allmänt intresse, om det är nödvändigt av skäl som hör samman med bland annat bedömning av arbetstagares arbetskapacitet eller tillhandahållande av hälso- och sjukvård eller om det är nödvändigt med hänsyn till statistiska ändamål.

Vid varje behandling av känsliga uppgifter vidtar Företagsbostäder alltid lämpliga säkerhetsåtgärder för att skydda uppgifterna. Personuppgifter är aldrig tillgängliga för fler personer än vad som är nödvändigt. Detta gäller såväl när Företagsbostäder agerar personuppgiftsansvarig som personuppgiftsbiträde.

3 HUR BEHANDLAR VI PERSONUPPGIFTER?

3.1 Allmänt

När Företagsbostäder samlar in, behandlar och lagrar personuppgifter ska detta i varje fall ske på ett lagligt, korrekt, öppet och ändamålsenligt sätt och endast i den mån Företagsbostäder bedömer det nödvändigt. Fö- retagsbostäder ska genomgående behandla personuppgifter på ett sätt som undviker att kränka den registre- rades personliga integritet. I samtliga fall av personuppgiftsbehandling är Företagsbostäder mycket noga med att personuppgifterna skyddas av lämpliga säkerhetsåtgärder.

Företagsbostäder kan behandla personuppgifter antingen genom att själv samla in och behandla uppgifterna självständigt och för egen räkning eller på uppdrag av andra bolag. Företagsbostäder kan därmed agera dels som personuppgiftsansvarig men även i vissa fall som personuppgiftsbiträde. I vissa fall är Företagsbostäder gemensamt personuppgiftsansvarig med en annan aktör.

I flera fall när vi begär in personuppgifter gör vi det, som nämnts ovan, i syfte att uppfylla lagstadgade eller avtalsenliga krav eller krav som är nödvändiga för att ingå ett avtal med en anställd. I fall den registrerade inte tillhandahåller de uppgifter som Företagsbostäder begär kan det i vissa fall medföra att vi inte kan ingå ett av- tal eller fullgöra våra förpliktelser i ett avtal med den registrerade. Om den registrerade känner tveksamhet eller oro för att lämna en viss personuppgift kan denne kontakta Företagsbostäder (se nedan under Kontaktuppgif- ter), så kan vi ge den registrerade ytterligare information.

3.2 Företagsbostäder delar uppgifter med extern part

Företagsbostäder kan, från tid till annan, behöva överlämna information till relevant tredje man (inklusive, men inte begränsat till, situationer där vi har en rättslig skyldighet att göra så). För att i varje sådant fall säkerställa att dina personuppgifter behandlas på ett tryggt och säkert sätt har Företagsbostäder som rutin att upprätta avtal (biträdesavtal eller dylikt) med varje extern part som behandlar personuppgifter för Företagsbostäders räkning. I sådana avtal anges alltid föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade samt våra skyldigheter och rättigheter som personupp- giftsansvarig. Vidare ger Företagsbostäder alltid dokumenterade instruktioner till personuppgiftsbiträdet som personuppgiftsbiträdet är skyldig att följa.

3.3 Överföring av personuppgifter utanför Europeiska Ekonomiska samarbetsområdet (”EES”)

För att administrera vår verksamhet och de personuppgifter som behandlas där på ett effektivt och organiserat sätt använder Företagsbostäder ett datasystem som tillhandahålls av en extern tjänsteleverantör. Den informa- tion som Företagsbostäder registrerar eller för in i ett sådant system kommer normalt att lagras på tjänsteleve- rantörens servrar. Dessa servrar kan vara placerade utanför EES, till exempel i USA. För att säkerställa fullstän- dig säkerhet och skydd för de personuppgifter som Företagsbostäder behandlar i detta system säkerställer Företagsbostäder alltid att eventuell överföring av data utanför EES omfattas av tillräckliga säkerhetsåtgärder och att ingen överföring sker till en plats som inte är omfattas av lämplig nivå av adekvat skydd. Som anges i avsnitt 3.2, ingår Företagsbostäder alltid biträdesavtal med sina dataprocessorer.

3.4 Företagsbostäder som personuppgiftsbiträde

I varje fall där Företagsbostäder är personuppgiftsbiträde ska Företagsbostäder ingå ett personuppgiftsbiträ- desavtal med personuppgiftsansvarig. Det är personuppgiftsansvarig som bestämmer exempelvis ändamål och lagringstider för personuppgifterna. När Företagsbostäder är personuppgiftsbiträde behandlas därför

personuppgifterna alltid i enlighet med personuppgiftsbiträdesavtalet och i enlighet med personuppgiftsansva- rigs instruktioner. Om Företagsbostäder är osäker på instruktionernas innebörd eller ansvarets omfattning har Företagsbostäder som rutin att efterfråga förtydligande från personuppgiftsansvarig.

Företagsbostäder ser alltid till att personuppgifterna skyddas av lämpliga säkerhetsåtgärder och att tillgång till personuppgifterna enbart ges till en begränsad krets inom Företagsbostäders verksamhet som verkligen behö- ver ha tillgång till dem i sitt arbete.

Som framgår i kapitel 5 nedan, har den registrerade rätt till, bland annat, tillgång och rättelse av personuppgif- ter. I sådana fall rekommenderas den registrerade att i första hand ta kontakt med lämplig kontaktperson hos den personuppgiftsansvarige och först i andra hand kontakta personuppgiftsombudet hos Företagsbostäder, se kontaktuppgifter i kapitel 6 nedan.

5 VAD HAR DEN REGISTRERADE FÖR RÄTTIGHETER?

5.1 Förfrågningar eller frågor från en registrerad

Punkterna nedan visar rättigheter för den registrerade, med avseende på personuppgifter. Om en registrerad kontaktar en anställd hos Företagsbostäder med förfrågningar eller frågor angående personuppgifter ska den anställde omgående kontakta Företagsbostäders dataskyddspersonal och informera tjänstemannen om den re- gistrerades förfrågningar eller frågor. Kontaktuppgifter till företagets dataskyddspersonal finns i avsnitt 6 nedan.

5.2 Rätt till tillgång

Den registrerade har rätt att vända sig till Företagsbostäder i egenskap av personuppgiftsansvarig och begära tillgång till de personuppgifter som Företagsbostäder behandlar och även informeras om bland annat ändamå- len med behandlingen och vilka som mottagit personuppgifterna.

Företagsbostäder ska i egenskap av personuppgiftsansvarig förse den registrerade med kostnadsfri kopia på de personuppgifter som behandlas. Vid eventuella extra kopior kan Företagsbostäder komma att ta ut en administrationsavgift.

5.3 Rätt till rättelse, radering eller begränsning

Den registrerade har rätt att utan onödigt dröjsmål få sina personuppgifter rättade eller, under vissa förutsättningar, begränsade eller raderade. Om registrerad anser att Företagsbostäder behandlar person- uppgifter om denne som är felaktiga eller ofullständiga kan den registrerade kräva att få dessa rättade eller kompletterade.

Den registrerade har även rätt att få sina uppgifter raderade bland annat i fall att de inte längre är nödvändiga eller om behandlingen baseras på samtycke och detta har återkallats.

Om den registrerade begär att få uppgifterna rättade, raderade eller begränsade i behandling har Företagsbo- städer i egenskap av personuppgiftsbiträde som rutin att med rimlig ansträngning underrätta varje mottagare av personuppgifterna om den registrerades begäran.

5.4 Rätt att invända

Den registrerade har rätt att när som helst invända mot behandling av dennes personuppgifter om den lagliga grunden för behandlingen utgörs av ett allmänintresse eller intresseavvägning enligt artikel 6.1 (e) och (f) Data- skyddsförordningen.

Den registrerade har även rätt att när som helst invända mot behandling av dennes personuppgifter om dessa behandlas för direkt marknadsföring.

5.5 Rätt till dataportabilitet

Den registrerade har rätt till att få ut de personuppgifter som denne tillhandahållit den Personuppgiftsansvarige och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Detta gäller dock under förut- sättning att det

(a) är tekniskt möjligt och

(b) den lagliga grunden för behandlingen utgörs av samtycke eller att behandlingen varit nödvändig för fullgörande av avtal.

5.2 Rätt till tillgång

5.3 Rätt till rättelse, radering eller begränsning

Den registrerade har även rätt att få sina uppgifter raderade bland annat i fall att de inte längre är nödvändiga eller om behandlingen baseras på samtycke och detta har återkallats.

5.4 Rätt att invända

Den registrerade har även rätt att när som helst invända mot behandling av dennes personuppgifter om dessa behandlas för direkt marknadsföring.

5.5 Rätt till dataportabilitet

(a) är tekniskt möjligt och

(b) den lagliga grunden för behandlingen utgörs av samtycke eller att behandlingen varit nödvändig för fullgörande av avtal.

5.6 Rätt att återkalla samtycke

Om personuppgiftsbehandlingen grundar sig på den registrerades samtycke har denne rätt att när som helst återkalla detta samtycke. Sådan återkallelse påverkar inte lagligheten i personuppgiftsbehandlingen innan samtycket återkallades.

5.7 Rättigheter vid profilering

Den registrerade har rätt att inte bli föremål för beslut som enbart grundas på automatiserad behandling, inbe- gripet profilering, och som kan få rättsliga följder eller motsvarande för den registrerade. Detta gäller dock inte

(a) om sådan behandling är nödvändig för ingående eller fullgörande av avtal med den registrerade,

(b) om sådan behandling är tillåten enligt tillämplig lagstiftning eller

5.8 Rätt att klaga till Datainspektionen

Den registrerade har rätt att rikta klagomål till Datainspektionen. Kontaktuppgifter

Telefonnummer: 00-000 00 00

E-postadress: xxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx

6 KONTAKTUPPGIFTER

Vid frågor om Policyn eller vid andra önskemål avseende personuppgifter, vänligen kontakta Företagsbostäders personuppgiftsombud.

Kontaktuppgifter Namn: Xxxxx Xxxxxxxxx

Telefonnummer: 000-0000000

E-postadress: xxxx@xxxxxxxxxxxxxxxx.xx

7 ÄNDRINGAR AV POLICYN

Företagsbostäder förbehåller sig rätten att ändra och uppdatera Policyn. Vid materiella ändringar i Policyn eller om befintlig information ska behandlas på annat sätt än vad som anges i Policyn, kommer Företagsbostäder informera om detta på lämpligt sätt.

Document Metadata

Table of Contents

PERSONUPPGIFTSPOLICY

Document Metadata