Persondatapolitik for Ikano Bolig
1. Overordnet behandling af Personoplysninger
1.1 Formål
Hos Ikano Bolig håndterer vi store mængder Personoplysninger, herunder oplysninger om kunder, medarbejdere og leverandører. Alle i virksomheden skal til enhver tid sørge for, at samtlige Personoplysninger håndteres korrekt, dels for at beskytte de omhandlede personers interesser, og dels for at overholde databeskyttelsesforordningen (GDPR). Personoplysninger skal altid slettes inden for en rimelig tid, efter at behandlingsformålet er udløbet.
1.2 Omfang
Persondatapolitikken omfatter alle medarbejdere og konsulenter i Ikano Bolig.
1.3 Dataansvarlig
Ikano Bolig A/S (”Ikano Bolig”), CVR-nummer 39184745, Stationsparken 21, stuen, 2600 Glostrup er dataansvarlig. Databeskyttelsesrådgiveren står for at udarbejde den overordnede Persondatapolitik om behandling og sletning af Personoplysninger i Ikano Bolig. Databeskyttelsesrådgiveren skal endvidere stå i spidsen for at vejlede Ikano Boligs databeskyttelsesgruppe, som har til opgave at behandle spørgsmål om håndtering af Personoplysninger. Databeskyttelsesgruppen skal bestå af repræsentanter for alle enheder og supportfunktioner i Ikano Bolig.
1.4 Juridiske krav og andre styrende faktorer
Ikano Bolig skal overholde databeskyttelsesforordningen (GDPR) for at sikre enkeltpersoners ret til databeskyttelse.
1.5 Ikano Boligs grundlæggende principper for behandling af persondata
a. Lovligt, retfærdigt og gennemsigtigt
Alle medarbejdere i Ikano Bolig skal behandle Personoplysninger på en måde, som er lovlig, retfærdig og gennemsigtig. De personer, vi indsamler oplysninger om, skal have adgang til at se bl.a. hvilke data vi gemmer, hvorfor vi behandler og gemmer disse, og hvordan vi anvender de indsamlede data. Ikano Bolig har som målsætning at gøre denne information om gemte data tydelig og letlæselig, således at informationerne er umiddelbart forståelige for enhver.
b. Formålsbegrænsning
Ikano Bolig indsamler og behandler kun Personoplysninger til specifikke og legitime formål.
c. Dataminimering
Ikano Bolig indsamler og behandler kun Personoplysninger, der er relevante for formålet. Gemte Personoplysninger skal være tilstrækkelige, relevante og begrænset til det, der anses for nødvendigt i den konkrete sammenhæng.
d. Korrekthed
Hos Ikano Bolig arbejder vi på at sikre, at alle Personoplysninger er korrekte. Er de ikke det, bliver de opdateret. Hvis det ikke er muligt at opdatere Personoplysningerne, skal de i stedet slettes eller anonymiseres. En registreret person har ret til at anmode om få korrigeret sine oplysninger, og sådan anmodning skal efterkommes straks.
e. Opbevaringsperiode
Hos Ikano Bolig behandler vi kun Personoplysninger til det formål, de er blevet indsamlet til. Når dette formål ikke længere består, skal Personoplysningerne slettes eller anonymiseres.
f. Integritet og fortrolighed
Ikano Bolig arbejder på, at behandlede Personoplysninger ikke havner i forkerte hænder. Vi behandler Personoplysninger på en måde, der sikrer et passende sikkerhedsniveau til formålet, herunder beskyttelse mod uautoriseret eller ulovlig behandling og/eller tab af Personoplysningerne. Ikano Bolig gennemgår jævnligt sine systemer og opdaterer dem efter behov for at overholde krav til datasikkerhed.
2. Definitioner
3. Behandlingsregler
3.1 Behandlingsoversigt
Ikano Bolig har en oversigt, hvori bl.a. er angivet de kategorier af Personoplysninger, der behandles i virksomheden, hvordan de behandles, formålet hermed og det juridiske grundlag for hver behandling.
3.2 Masterdata
Alle Personoplysninger skal opbevares i et system beregnet til håndtering af persondatakilder (Kildesystem). Med et sådant system vil vi hos Ikano Bolig sikre, at hver enkelt persons registrerede Personoplysninger er korrekte og opdaterede. Hvis vi gemmer Personoplysninger andetsteds end i Kildesystemet, skal det sikres, at sletningsrutiner mv. følges.
3.3 De registreredes rettigheder
En registreret person har mulighed for at udbede sig nedenstående oplysninger om sine egne Personoplysninger. En anmodning fra den registrerede om at udøve sine rettigheder skal indsendes til vores e-mail for Personoplysninger dpo@ikanobolig.dk. En registreret person skal altid henvises til at sende sin anmodning til nævnte e-mail.
Hvis vi modtager en anmodning fra en registreret person som vil udøve sine rettigheder, skal vi have sikkerhed for vedkommendes identitet. En identifikation kan derfor være nødvendig. Når en anmodning modtages, kontakter repræsentanten i databeskyttelsesgruppen den relevante afdeling. Derfra kan den registrerede blive kontaktet for at supplere den registrerede persons begæring. Ikano Bolig har 30 dage til at efterkomme anmodningen. De omtalte rettigheder er:
- Indsigtsret: En registreret person har ret til at se, hvilke Personoplysninger vi behandler. Indsigt kan opnås i et såkaldt registerudtog. Udtoget viser de Personoplysninger vi har om personen, og hvorfor vi har brug for dem.
- Retten til at korrigere Personoplysninger: En registreret person har ret til at anmode om at få korrigeret sine Personoplysninger, hvis disse er forkerte.
- Retten til at slette Personoplysninger (”retten til at blive glemt”): En registreret person har ret til at anmode om at få slettet sine Personoplysninger. Hvis eksempelvis formålet med vores behandling er opfyldt, eller hvis den registrerede person mener, at vi anvender flere Personoplysninger end nødvendigt. Modtager vi en sådan anmodning, vil vi forsøge at slette Personoplysningerne så vidt muligt, medmindre vi har en juridisk forpligtelse til at opbevare de pågældende Personoplysninger.
- Retten til at modsætte sig og/eller begrænse behandling af Personoplysninger: En registreret person kan gøre indsigelse mod behandling af sine Personoplysninger. For eksempel kan personen modsætte sig en behandling midlertidigt, hvis Personoplysningerne har været/er forkerte. Personen har også ret til at gøre indsigelse mod behandlinger i følgende tilfælde:
- Direkte markedsføring: En registreret person har ret til at protestere mod vores behandling af Personoplysninger i forbindelse med direkte markedsføring og kan f.eks. afmelde vores fysiske nyhedsbreve. Eksempel på direkte markedsføring er fysisk reklame.
- Berettiget interesse: En registreret person har ret til at gøre indsigelse mod behandling af sine Personoplysninger ud fra en afvejning af berettiget interesse. Det betyder, at vi alene har ret til at fortsætte med at behandle personens oplysninger, hvis vi kan påvise, at vores berettigede interesse heri er større end personens rettigheder. Vi har også ret til at fortsætte behandlingen af de Personoplysninger, der er nødvendige for at opfylde en juridisk forpligtelse.
- Retten til dataportabilitet: Hvis behandlingen er baseret på samtykke eller kontrakt, forudsat at det er teknisk muligt, har den registrerede person ret til at anmode om dataportabilitet. Dette gælder kun for Personoplysninger, der opbevares i et struktureret format, og som den registrerede person har givet Ikano Bolig.
3.4 Databehandlingsaftaler
Der skal være indgået en skriftlig aftale med hver tredjepart, som i en eller anden forstand behandler Personoplysninger på vegne af Ikano Bolig, eller som Ikano Bolig behandler Personoplysninger for på en andens vegne. Denne aftale skal indeholde klare instrukser om, hvilke Personoplysninger der behandles, og hvordan disse skal behandles. Kontraktskabeloner er tilgængelige via Databeskyttelsesrådgiveren.
3.5 Dataminimering/sletning af data
Ikano Bolig vil ikke opbevare og behandle flere Personoplysninger, end vi har brug for til et bestemt formål. Behandlingsoversigten angiver dokumenter, der viser, hvor længe en bestemt personoplysning bliver gemt.
Hver enhed eller supportfunktion i Ikano Bolig har sine egne detaljerede dataminimeringsrutiner. Fremgangsmåder for sletning af data skal være ensartede i Ikano Bolig og er angivet i Bilag 1 til denne persondatapolitik.
Inden for Ikano Bolig sker sletning efter følgende principper:
- Personoplysninger slettes: Personoplysningerne slettes, så de ikke kan genskabes.
- Personoplysninger anonymiseres: Personoplysninger anonymiseres, men vi kan bevare andre oplysninger, f.eks. med henblik på statistiske undersøgelser. Disse andre oplysninger vil blive slettet på et senere tidspunkt.
3.6 Hvornår foretages dataminimering
Dataminimering sker af forskellige grunde. Ikano Bolig følger nedenstående dataminimeringsrutiner:
- Gennemgang af Personoplysninger efter den fastsatte frist pr. behandling med efterfølgende sletning eller anonymisering af ukorrekte eller unøjagtige Personoplysninger.
- Undersøgelse - på anmodning af den registrerede – af, om der er grund til at beholde Personoplysningerne.
- Gennemgang af instruktionerne i Bilag 1.
På den registreredes anmodning om sletning, begrænsning eller anonymisering af en persons oplysninger -, dog forudsat at der ikke findes en lovlig grund til at foretage behandlingen.
Enhver er velkommen til at undersøge hver enkelt afdelings detaljerede behandlings- og dataminimeringsregler og -rutiner for at se mere specifikke retningslinjer.
3.7 Uddannelse af medarbejdere
Alle medarbejdere har sammen med deres nærmeste chef ansvar for at blive tilstrækkeligt uddannet og få information om korrekt håndtering af Personoplysninger. Lederen er ansvarlig for om nødvendigt at kontakte Databeskyttelsesrådgiveren. Der udbydes en almen GDPR-uddannelse, som forestås af Databeskyttelsesrådgiveren.
3.8 Databrud
Enhver medarbejder og konsulent i Ikano Bolig har pligt til omgående at rapportere til Databeskyttelsesrådgiveren hvis det opdages, at en behandling af Personoplysninger inden for Ikano Bolig ikke bliver udført korrekt. Anmeldelse skal ske til e-mail: dpo@ikanobolig.dk
4. Særlige behandlingsregler
For de enkelte behandlingsformål gælder der følgende særlige regler:
4.1 Formålene med og retsgrundlaget for behandlingen af dine Personoplysninger
Nedenfor kan du se til hvilke formål vi behandler dine Personoplysninger til og hvad retsgrundlaget for behandlingen er.
5. Modtagere eller kategorier af modtagere
Ikano Bolig videregiver i visse tilfælde de Personoplysninger, som vi behandler om dig. Dine Personoplysninger kan blive videregivet:
- Ikano Bolig
- Ikano Boligs eksterne formidler af ejendomme på det konkrete projekt
- Ikano Boligs entreprenør(er)
- Eventuel ejer-/ grundejerforening og grundejerforeningens administrator
- Forsyningsselskaber (el, vand, TV- og internet, telefoni og varme)
- Berigtigende advokat
- Købers advokat / rådgiver
- Domstolene, hvis det er påkrævet ifølge en retsafgørelse eller gældende lovgivning
- Skat
- Offentlige myndigheder, herunder kommune
- Renovationsselskab
- Ikano Boligs pengeinstitut
- Andre købere og naboer i det projekt, du selv har indgået aftale om, i henhold til indgået samtykke
6. Overførsel til modtagere i tredjelande, herunder internationale organisationer
Vi anvender databehandlere indenfor EU. Vi tillader kun databehandling uden for EU, hvis databehandlingen foregår i et sikkert tredjeland eller hvis overførselsgrundlaget yder tilstrækkelig garanti (for eksempel anvendelse af Kommissionens standard kontrakter).
Vores databehandler er lokaliseret i Danmark.
7. Hvor stammer dine Personoplysninger fra
Vi indsamler Personoplysninger på følgende måder:
- Oplysninger, som du giver os
- Ikano Boligs eksterne formidler af ejendomme på det konkrete projekt
- Ikano Boligs entreprenør(er)
- Domstolene, hvis det er påkrævet ifølge en retsafgørelse eller gældende lovgivning
- Forsyningsselskaber (el, vand, TV- og Internet, telefoni og varme)
- Købers advokat / rådgiver
8. Profilering
Vi anvender ikke dine Personoplysninger til profilering.
9. Sikkerhedsforanstaltninger
Ikano Bolig opbevarer dine personlige Personoplysninger sikkert og fortroligt. Vi har i Ikano Bolig implementeret såvel tekniske som organisatoriske sikkerhedsforanstaltninger, der har til formål at beskytte dine Personoplysninger mod, at de hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen.
Ikano Boligs sikkerhedsforanstaltninger kontrolleres løbende for at sikre, at dine Personoplysninger håndteres forsvarligt, og under stadig hensyntagen til dine rettigheder.
10. Trække samtykke tilbage
Du kan til enhver tid trække dit samtykke tilbage ved at skrive til e-mail: dpo@ikanobolig.dk
11. Klagemyndighed
Du har mulighed for at klage til Datatilsynet over Ikano Boligs indsamling og behandling af dine Personoplysninger:
Datatilsynet
Borgergade 28, 5.
1300 København K
Telefon: 3319 3200
Mail: dt@datatilsynet.dk
www.datatilsynet.dk
1. Dataminimering / sletning af data
1.1 E-mail
Hvis Personoplysninger (udover kontaktoplysninger som navn og e-mail) skal sendes i en e-mail, bør denne krypteres ved at klassificere posten som fortrolig eller strengt fortrolig.
Hvis der i en e-mail til eller fra Ikano Bolig omtales en tredjepart, og denne person ikke er blevet informeret om, hvordan vi behandler Personoplysninger, bør der foretages en interesseafvejning af, om vi har brug for at gemme Personoplysningerne, og om vi skal informere denne tredjepart om behandlingen. I praksis berører dette ganske få tredjeparter. Det kan f.eks. være tredjeparter, som Ikano Bolig har et retskrav mod.
I interesseafvejningen bør vi foretage en samlet vurdering, baseret på omstændighederne i hvert enkelt tilfælde, af på den ene side proportionaliteten i indsatsen for at finde personen og give oplysningerne, og på den anden side vigtigheden af, at personen informeres. Hvis Personoplysningerne ikke hører under den særlige kategori af Personoplysninger, for eksempel den sædvanlige e-mail korrespondance mellem kolleger eller andre dagligdags beskeder, anser Datatilsynet det normalt for urimeligt at kræve, at tredjeparten informeres særskilt herom.
Alle medarbejdere i Ikano Bolig har en generel forpligtelse til at gemme e-mails, der er relevante for virksomheden, på et passende eller særligt foreskrevet sted. Afdelingerne og supportfunktionerne opfordres til at udarbejde retningslinjer herom.
Hver enkelte medarbejder er ansvarlig for at slette e-mails, så snart der ikke længere er et behov for at beholde dem.
Medarbejdere hos Ikano Bolig anbefales kun at gemme e-mails, hvis der er behov for at gemme dem. Disse e-mails bør da gemmes andre steder end i Outlooks standardmapper: Indbakke, Udbakke og Papirkurv. Det er OK at oprette brugerdefinerede mapper i Outlook, forudsat at den enkelte medarbejder tager ansvar for, at behandling af Personoplysninger i disse mapper sker i overensstemmelse med Ikano Boligs retningslinjer. Hvis e-mails gemmes i Outlooks standard mapper: Indbakke, Udbakke eller Papirkurv, skal de slettes eller gemmes på det rette sted inden for 6 måneder.
Det bemærkes, at det – i tilfælde af en undersøgelse af den enkelte medarbejderes e-mails er op til den enkelte medarbejder, i samråd med arbejdsgiveren, at redegøre for formålet, retsgrundlaget og for, hvornår Personoplysningerne vil blive slettet.
Private oplysninger: Ikano Boligs e-mail skal primært anvendes til arbejdsrelaterede formål. Hvis e-mail anvendes til privat brug, er den enkelte ansvarlig for at sikre, at håndteringen ikke skader Ikano Bolig.
1.2 Fælles opbevaringsrum, f.eks. Office 365
Hvis en medarbejder åbner en delt mappe på en placering, hvor andre medarbejdere også kan dele gemte data, har denne medarbejder ansvar for, at behandlingen af Personoplysninger i denne mappe sker i overensstemmelse med Ikano Boligs retningslinjer.
Den person, der er ansvarlig for mappen, skal også sikre, at Personoplysninger slettes, så snart der ikke længere er behov for at beholde dem. Hvis medarbejderen ophører eller ændrer rolle, er det denne persons ansvar at afslutte mappen eller at overføre ansvaret for denne til en anden person.
1.3 Andre lagringsmedier
Hvis en medarbejder gemmer data på andre lagringsmedier, er den pågældende medarbejder ansvarlig for, at behandlingen af Personoplysninger sker i overensstemmelse med Ikano Boligs retningslinjer. Den enkelte medarbejder skal også sikre, at Personoplysningerne slettes, så snart der ikke længere er behov for at beholde dem. Fratræder medarbejderen eller skifter rolle, har vedkommende ansvar for at slette Personoplysningerne eller alternativt overdrage ansvaret herfor til en anden person.
Private lagringsmedier: Hvis kontaktoplysninger eller andre Personoplysninger af privat karakter gemmes på drev, er den enkelte medarbejder ansvarlig for, at håndteringen heraf ikke kan skade Ikano Bolig.
Mere information herom kan findes i procedurerne for anvendelse af IT.
1.4 Andet
Alt IT-udstyr og IT-serviceydelser, som er stillet til rådighed af Ikano Bolig, må kun anvendes af autoriseret personale. Det er f.eks. ikke lovligt at udlevere en mobiltelefon til sine børn, for at de kan surfe eller spille.
Andre ustrukturerede data: Hver enkelt medarbejder har et ansvar for at behandle Personoplysninger på en tilstrækkeligt sikker måde og slette dem, så snart der ikke længere er et behov for at beholde dem.