POLICY FÖR SKYDD OCH HANTERING AV PERSONUPPGIFTER

POLICY FÖR SKYDD OCH HANTERING AV PERSONUPPGIFTER

Fastställd av styrelsen: 2018-06-28

1. Inledning

Bonäsudden Holding AB (”Bolaget”) har fastställt denna Policy för skydd och hantering av personuppgifter (”Policy”) för att säkerställa korrekt, säker och tillförlitlig hantering av de personuppgifter som finns i verksamheten i enlighet med vid var tid gällande lagar och regler. Kunder och leverantörer ska känna sig säker med att Xxxxxxx endast behandlar personuppgifter på giltiga grunder och vid relevans. Bolaget har inte några anställda varvid dessa inte behandlas i denna Policy. Bolaget hanterar i mycket begränsad omfattning personuppgifter.

Denna Policy beskriver vilka personuppgifter som behandlas, hur dessa hanteras samt vilka åtgärder som vidtas för att skydda dessa.

2. Personuppgifter

Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person, exempelvis namn, bostad, telefonnummer, e-post eller IP-adress. Information som endast kan knytas till ett företag eller annan juridisk person inkluderas inte i begreppet personuppgift.

3. Personuppgiftsansvarig, personuppgiftsbiträde

Bolaget är personuppgiftsansvarig och därmed ansvarig för hanteringen av personuppgifter om inte annat är överenskommet.

Bolaget har genom ett biträdesavtal, Bilaga 1, med Pareto Business Management AB (”PBM”) utsett PBM till att vara personuppgiftsbiträde för att behandla personuppgifter för Bolagets räkning. Enligt fullmakt i biträdesavtalet får PBM, i sin tur, anlita personuppgiftsbiträde. Bolaget ska minst årligen informeras om vilka parter sådana biträdesavtal ingåtts med. PBM ska enligt biträdesavtalet behandla samtliga personuppgifter i enlighet med denna Policy eller annan instruktion samt i enlighet med gällande lag eller förordning.

4. Dataskyddsombud

Bolaget har efter en bedömning beslutat att inte utse ett dataskyddsombud. Detta beslut baseras på att Bolaget inte i) är ett offentligt organ, ii) har som verksamhetsföremål eller bedriver verksamhet som regelbundet, systematiskt eller i stor omfattning övervakar enskilda personer eller iii) behandlar känsliga personuppgifter eller uppgifter om brott.

5. Personuppgifter som behandlas av Bolaget

Bolaget ska säkerställa att register förs över de personuppgifter som Bolaget behandlar. Nedan är en sammanställning över de huvudsakliga personuppgifter som hanteras. Bolaget hanterar inte några känsliga personuppgifter om inte annat uttrycks särskilt nedan eller i personuppgiftsregistret.

Hyresgäst

Om Lokalhyresgäster: Bolagets kunder utgörs främst av de/-n hyresgäst/-er i form av företag som hyr Bolagets lokaler. Då hyresgästen är en juridisk person så är de personuppgifter som Bolaget hanterar för sin hyresgästs räkning begränsat.

Bolaget kan avseende sin hyresgäst behandla följande personuppgifter som kan knytas till en enskild person:

• Kontaktuppgifter för anställda hos hyresgästen och/eller dess förvaltning: Namn, e-post, telefonnummer, adress

• Identifikationsuppgifter för anställda och/eller dess förvaltning (undantagsvis): Namn, födelsedatum, personnummer eller motsvarande utländskt identifikationsnummer

Om hyresrätter: Bolagets kunder utgörs av privatpersoner vilka hyr Bolagets lägenheter. Bolaget hanterar därmed ett antal personuppgifter som i vissa fall kan vara känsliga, såsom hyresgästens betalningsförmåga eller livssituation.

Bolaget behandlar följande personuppgifter i varierande omfattning som kan knytas till en enskild person:

• Kontaktuppgifter: Namn, e-post, telefonnummer, adress

• Identifikationsuppgifter: Namn, födelsedatum, personnummer eller motsvarande utländskt identifikationsnummer

• Ekonomisk information: Uppgifter avseende hyresgästens kreditvärdighet samt betalningsförmåga

• Myndighetsrapportering: Uppgifter för att säkra korrekt skattemässig rapportering, bankkonto, uppgifter med anledning av krav från lag, regelverk eller myndighet. Inkluderar även krav från börs eller handelsplats.

Leverantörer

Bolaget kan i viss mån nyttja sig av externa tjänsteleverantörer eller konsulter. Vanligtvis behandlas då inte några personuppgifter då tjänsten tillhandahålls av ett bolag. Undantagsvis kan dock personuppgifter för tjänsteleverantörens eller konsultens anställda behandlas, exempelvis med anledning av utfärdande av fullmakt.

• Kontaktuppgifter: Namn, e-post, telefonnummer, adress

• Identifikationsuppgifter: Namn, födelsedatum, personnummer eller motsvarande utländskt identifikationsnummer

Styrelse och ledning

Bolaget hanterar personuppgifter för dess styrelse och ledning och deras närstående i den mån detta krävs för fullgörandet av deras åtagande och lagstadgade krav.

Bolaget hanterar följande personuppgifter för personer i styrelse och ledning samt i viss del dess närstående

• Kontaktuppgifter: Namn, e-post, telefonnummer, adress

• Identifikationsuppgifter: Namn, födelsedatum, personnummer eller motsvarande utländskt identifikationsnummer

• Bild samt uppgifter om utbildning och erfarenhet

• Information om innehav av finansiella instrument i bolaget

• Kontouppgifter: Bankkonto för utbetalning av styrelsearvode

• Myndighetsrapportering: Uppgifter för att säkra korrekt skattemässig rapportering, bankkonto, uppgifter med anledning av krav från lag, regelverk eller myndighet. Inkluderar även krav från börs eller handelsplats.

Aktieägare

Bolaget har anlitat Euroclear Sweden AB som värdepapperscentral för att föra dess aktiebok i enlighet med lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument. Bolaget hanterar aktieägarnas personuppgifter inför, i anslutning till samt efter bolagsstämma.

• Kontaktuppgifter: Namn, e-post, telefonnummer, adress

• Identifikationsuppgifter: Namn, födelsedatum, personnummer eller motsvarande utländskt identifikationsnummer

Bolaget kan även undantagsvis vara skyldig att informera tredje part om Xxxxxxxx ägarstruktur och identifiering av verklig huvudman. I dessa fall behandlas aktieägarens identifikationsuppgifter i enlighet med ovan.

6. Användande av personuppgifter

Bolagets syfte med hantering av personuppgifter är för att kunna administrera avtalsförhållandet till sina hyresgäster samt de tjänster och förpliktelser som medföljer av ingångna avtal samt rättslig förpliktelse. Övriga personuppgifter behandlas i den mån lag tillåter eller kund har gett sitt uttryckliga medgivande.

För att rättslig grund ska föreligga för Bolaget att behandla personuppgifter ska minst en av sex rättsliga grunder uppfyllas. Dessa är:

- Samtycke

- Avtal

- Intresseavvägning

- Rättslig förpliktelse

- Myndighetsutövning och uppgifter av allmänt intresse

- Grundläggande intresse.

Bolagets hantering av personuppgifter grundar sig som utgångspunkt med anledning av Avtal, Rättslig förpliktelse och/eller Samtycke.

På bakgrund av detta har Bolaget identifierat följande rättsliga grunder för sin hantering av personuppgifter. Hyresgäst

Om Lokalhyresgäster:

• Kontaktuppgifter för anställda hos hyresgästen och/eller dess förvaltning: Avtal

• Identifikationsuppgifter för anställda och/eller dess förvaltning (undantagsvis): Avtal/Samtycke Hyresrätter:

• Kontaktuppgifter: Avtal

• Identifikationsuppgifter: Avtal

• Ekonomisk information: Avtal/Samtycke

• Myndighetsrapportering: Rättslig förpliktelse Leverantör

• Kontaktuppgifter: Avtal

• Identifikationsuppgifter: Xxxxx Xxxxxxxx och ledning

• Kontaktuppgifter: Avtal/Rättslig förpliktelse

• Identifikationsuppgifter: Avtal/Rättslig förpliktelse

• Bild samt uppgifter om utbildning och erfarenhet: Samtycke

• Information om innehav av finansiella instrument i bolaget: Rättslig förpliktelse

• Myndighetsrapportering: Rättslig förpliktelse

Aktieägare

• Kontaktuppgifter: Rättslig förpliktelse

• Identifikationsuppgifter: Rättslig förpliktelse

Vid en eventuell tvist eller klagomål kan det vara nödvändigt att genomgå och framställa tidigare kundkommunikation som bevisning vid skiljedom eller allmän domstol.

Bolaget kan få förfrågningar från regulatorisk myndighet, skattemyndighet och polismyndighet med krav på utlämnande av personuppgifter och information om kundförhållande. Bolaget kommer vid sådan förfrågan att tillhandahålla samtlig efterfrågad information till myndigheten med anledning av rättslig förpliktelse.

7. Lagring av personuppgifter

Personuppgifter får inte lagras längre än vad som är nödvändigt eller en sådan tidsperiod som är anges enligt lag eller föreskrift.

Lag	Uppgifter	Minimum lagringstid
Bokföringslagen	Bokföringsskyldighet	7 år

8. Delning av information till tredje part och/eller utanför EU och EES

Personuppgifter delas endast med tredje part när:

• Bolaget har en rättslig förpliktelse till att göra detta, exempelvis vid misstanke om brott eller vid förfrågan från myndighet

• Till personuppgiftsbiträde efter ingånget biträdesavtal. Personuppgiftsbiträde får endast vidarebefordra personuppgifter till tredje part i enlighet med biträdesavtalet

• Då det är nödvändigt för att skydda bolagets intressen vid en tvist

• Efter samtycke från den som personuppgifterna berör

• Om nödvändigt vid drift av våra IT-system

PBM har genom uppdragsavtal lagt ut sin IT-drift till Pareto Securities. Bolaget har i samband med ingåendet av biträdesavtal med PBM godkänt att PBM vidarebefordrar personuppgifter till övriga bolag inom Pareto Securities-koncernen med anledning av sådan utläggning.

Som värdepappersbolag under tillsyn är Pareto Securities ålagt strikta krav för utläggning av verksamhet. Leverantörer som hanterar personuppgifter vill antingen göra detta inom EU/EES, i godkänt tredjeland med motsvarande regelverk eller med specifika avtalsklausuler, exempelvis EU Standard Contractual Clauses eller Privacy Shield certifiering (USA). I det uppdragsavtal som ingåtts mellan PBM och Pareto Securities regleras hur personuppgifter får nyttjaseller vidarebefordras till tredje part inom och utom EU/EES.

PBM har genom fullmakt i Biträdesavtalet rätt att utse personuppgiftsbiträde. Bolaget har rätt att minst årligen få en sammanställning av vilka personuppgiftsbiträden som direkt eller indirekt behandlar Bolagets personuppgifter.

9. Rättigheter för de personer som Bolaget behandlar personuppgifter

Hyresgäster, leverantörer, styrelse och ledning, aktieägare eller andra fysiska personer för vilka Bolaget behandlar personuppgifter har rätt till insyn i de personuppgifter som Xxxxxxx har lagrade om sig. Berörda personer har även rätt till att kräva att felaktiga uppgifter blir korrigerade eller rensade. Utöver detta har personer rätt till att begränsa behandlingen och att kräva dataportabilitet (rätten att ta med sig sina personuppgifter från en verksamhet till en annan).

En invändning eller begäran enligt ovan kommer att prövas av Xxxxxxx. I vissa fall kommer inte Bolaget att bevilja invändningen eller begäran då Bolaget kan ha en plikt att spara viss kundkommunikation med anledning av lag eller regelverk. Denna plikt kan medföra att Xxxxxxx varken har rättslig eller praktisk möjlighet till att rensa personuppgifter inom den ålagda lagringstiden.

Förfrågningar riktas skriftligen tillkontaktuppgifterna under avsnitt 10.

Berörd person har även rätt att klaga hos Datainspektionen i det fall denne anser att Bolagets hantering av personuppgifter är i strid med lag.

10. Kontaktinformation

Frågor avseende Bolagets behandling av personuppgifter hänvisas till ansvarig Business Manager.