GDPR – DINA PERSONUPPGIFTER

Personuppgifter - sammanfattning

Detta dokument är utformat för att ge Wästgöta Bostäders hyresgäster, partners och andra intressenter en sammanfattad översyn kring Wästgöta Bostäders tolkning av GDPR avseende företagets verksamhet. Dokumentet skall även verka som riktlinje för Wästgöta Bostäder att kunna leva upp till dataskyddsförordnigen och säkerställa en korrekt hantering av allmänna handlingar enligt den svenska offentlighetsprincipen.

Befintlig hyresgäst

De uppgifter som vi registrerar och behandlar behövs för att kunna erbjuda dig som hyresgäst en säker och tillfredställande service. Uppgifterna har till största del lämnats av dig själv, så som namn, personnummer, telefonnummer, e-postadress och kontonummer.

Uppgifter lämnas vidare till tredje part bara om det är nödvändigt för att uppfylla vårt åtagande som hyresvärd. Det innebär att personuppgifter kan komma att lämnas till leverantörer tex. i samband med renoveringar och fel i fastigheten, till aktörer som hanterar digitala betalningar och till inkassobolag vid obetald hyra.

Blivande hyresgäst

När du gör en intresseansökan på lediga objekt, registreras uppgifter som vi behöver för att hantera din ansökan och för att komma i kontakt med dig. Inför kontraktsskrivning begär vi in uppgifter via kreditupplysning och referenser från tex. arbetsgivare och tidigare hyresvärd.

Som registrerad hos Wästgöta Bostäder har du rätt att få dina personuppgifter korrigerade om de är felaktiga. Om du kontaktar oss på xxxx@xxxxxxxxxxxxxxxx.xx kan vi hjälpa dig ändra dessa. Du har också rätt att veta hur dina personuppgifter används i vår verksamhet och vilka uppgifter vi behandlar.

Bakgrund – GDPR och personuppgifter

Vad är GDPR?

GDPR står General Data Protection Regulation och är EU:s nya dataskyddsförordning vilken börjar gälla som svensk lag från den 25 maj 2018. Lagen reglerar hur företag och organisationer ska behandla personuppgifter där sanktionsavgifterna är kännbara om man inte följer den. Det nya regelverket ersätter personuppgiftslagen (PuL) och delvis även patientdatalagen (PDL). Tillsynsmyndighet för att se till att reglerna efterföljs är Datainspektionen. Det huvudsakliga syftet med dataskyddsförordningen är att skydda de enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Rätten till privatliv uttrycks i den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Detta innebär att samma regler ska gälla inom hela EU. Dock har Sverige, tillskillnad från de flesta EU- länder, ett historiskt arv i form av offentlighetsprincipen som i vissa fall kan upplevas ha motsatta syften.

GDPR beskrivs enligt sex grundläggande principer:

1. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

2. Insamlingen av personuppgifter ska vara begränsad till ändamålet och ske för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får inte senare användas för ett ändamål som inte är bundet till ändamålet med de insamlade uppgifterna.

3. Insamlingen av personuppgifter ska vara uppgiftsminimerad, dvs. inte för omfattande i förhållande till de ändamål för vilka uppgifterna behandlas, och uppgifterna ska vara adekvata och relevanta.

4. Personuppgifterna ska vara korrekta och om nödvändigt uppdaterade. Den personuppgiftsansvarige ska med rimliga åtgärder säkerställa att personuppgifter som är inexakta och felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

5. Personuppgifter ska förvaras i en form som möjliggör identifiering av den registrerade endast under den tid som är nödvändig för de ändamål för vilka personuppgifterna behandlas. Uppgifter får dock förvaras längre, om de endast behandlas för arkivändamål av allmänt intresse, eller används för historiska forskningsändamål eller statistiska ändamål.

6. Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna och därmed uppgifternas integritet och konfidentialitet. Uppgifterna ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Då ska lämpliga tekniska eller organisatoriska åtgärder användas.

Begreppet personuppgift

Personuppgifter enligt GDPR är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter som hänförs till en juridisk person såsom en leverantör i bolagsform är därmed ingen personuppgift enligt denna definition. Detta kan vara namn, personnummer, ljudupptagningar och bilder men också sådana uppgifter som indirekt kan kopplas till fysiska personer. Exempel på sådana uppgifter kan vara registreringsnummer på bilar, adresser, lägenhetsnummer och IP-adresser. Kan de inte kopplas till en fysisk person räknas de därmed inte som en personuppgift.

Känsliga personuppgifter

Känsliga personuppgifter enligt GDPR omfattar:

• ras eller etniskt ursprung

• politiska åsikter

• religiös eller filosofisk övertygelse

• medlemskap i fackförening

• genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person

• uppgifter om hälsa

• uppgifter om en fysisk persons sexualliv eller sexuella läggning

Bedömningen är att bolaget i ytterst liten utsträckning hanterar känsliga personuppgifter enligt de definitioner som presenteras ovan. Utöver sådana personuppgifter som klassificeras som känsliga kan ändå personuppgifter som kan anses som integritetskänsliga uppgifter hanteras i bolagens verksamheter. Sådana uppgifter kan vara störningsärenden, skadedjur, felparkeringar, inkomstuppgifter mm.

Hantering av personuppgifter

Att spara personuppgifter

Enligt dataskyddsförordningen får den personuppgiftsansvarige behandla personuppgifter om de uppfyller ett antal olika krav. De som är mest aktuella för vår verksamhet bedöms vara:

• behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås

• behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige

• den registrerade har lämnat sitt samtycke

Bolagets ambition är att minimera insamlandet av personuppgifter och att sådana uppgifter som inte är nödvändiga för att fullgöra åtaganden enligt hyresavtal eller andra ingångna överenskommelser inte skall sparas. De personuppgifter som insamlas skall hanteras säkert och inte användas till andra ändamål än vad de är avsedda för. Endast anställda och partners som är i behov av information skall ha åtkomst till dessa.

Åtaganden enligt hyreslagen

Hyreslagens krav och hyresgästens förväntningar på hyresvärden är vida varför vår bedömning är att det är nödvändigt att behålla relativt stora mängder information om boendet, de boende och förhållanden inom fastighetsbeståndet. Hyresvärdens grundläggande skyldighet är att ställa en lägenhet i användbart skick till hyresgästens förfogande. Hyresgästens skyldighet är sedan att använda lägenheten som man avtalat, att hyran betalas i rätt tid, att lägenheten vårdas väl och att grannar inte störs. För hyresvärdens fullgörande av dessa åtaganden krävs god ordning avseende inkomna felanmälningar, störningsärenden, uppföljning av betalda avier inklusive eventuell kravhantering mm och vidare krävs att personuppgifter sparas för att till exempel åtgärda rapporterade felanmälningar, anmodan att vidtaga rättelse, kontroll på utlämnade nycklar mm.

Annan lagstiftning och offentlighetsprincipen

Xxxxx lagstiftning kräver också att information sparas såsom bokföringslag och årsredovisningslagen. Då information som sparas enligt annan lag inte kräver den enskildes medgivande skall sådan information sparas som är tillräcklig för att fullgöra de lagmässiga krav som kan ställas från myndigheter, revisorer eller andra.

Ställningstaganden

Processer som omfattar personuppgifter

I vår verksamhet finns ett antal processer där personuppgifter insamlas och registreras. Exempel på sådana processer är:

• Hyressystem inklusive avtal, avisering och kravhantering

• Affärssystem för bokföring

• Lägenhetskö

• Ärendehantering/felanmälan

Återkommande för dessa processer är att de är nödvändiga för att fullfölja de avtal som tecknats oavsett de avser hyresavtal, anställningsavtal eller leveransavtal/ramavtal. Undantag avser lägenhetskö. Vår bedömning är därför att för sådana processer krävs inget i förväg medgivande från hyresgäster, anställda eller leverantörer. Loggar och ärenden bör därför sparas över tid för att säkerställa en långsiktigt säkert och tryggt boende.

Hantering av e-post

E-post innebär normalt att man alltid behandlar personuppgifter. Själva e-postadressen i sig är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter. Hantering av e-post ska därför uppfylla krav i dataskyddsförordningen. Det som skiljer e-post från andra inkomna handlingar är att innehållet normalt är okänt när handlingen inkommer.

Dina rättigheter

Sammanfattning

Vår sammanfattande bedömning är att den övervägande andelen av personuppgifter som sparas har laglig eller avtalsmässig grund. Personuppgifter som sparas rörande personal är i huvudsak kopplade till att kunna fullgöra villkor som regleras i anställningsavtal och de lagar som rör anställd personal. Personuppgifter som rör hyresgäster sparas för att fullgöra hyresavtal och de åtaganden som bolagen har som hyresvärdar. I detta ingår också åtaganden som rör behovet av ett tryggt och säkert boende. De personuppgifter som hanteras inom ramen för bokföringen sparas i enlighet med bokföringslagen och har därmed laglig grund. För sådana personuppgifter som inte är kopplade till ett specifikt avtal såsom anmälan till lägenhetskö skall medgivande inhämtas innan registrering sker. Bolagens bedömning är därmed att de personuppgifter som sparas följer den nya dataskyddsförordningen och dess andemening. Huvuduppgiften för bolagen är att under tid säkerställa en korrekt hantering, att överinformation inte sparas, att utrangering av information genomförs och informationen endast används till det de är avsedda att användas.

Document Metadata

Table of Contents

GDPR – DINA PERSONUPPGIFTER

Document Metadata