1. Inledning

Inom Hemmaplan ska vi behandla personuppgifter enligt principerna i GDPR (General Data Protection Regulation) så att alla vi har kontakt med känner sig trygga med att vi behandlar deras personuppgifter på ett säkert och transparent sätt. Denna policy fastställer övergripande principer som gäller för behandling av personuppgifter inom Hemmaplan, samt definierar ansvar och fördelar roller och ansvaret i enlighet med dataskyddsförordningen GDPR. Denna policy gäller Hemmaplans styrelseledamöter och medarbetare som utför uppgifter för Hemmaplans räkning i samband med behandling av personuppgifter. Det innefattar även personuppgiftsbiträden som utför databehandling på uppdrag av Hemmaplan. Vår policy är också avsedd att informera de vars personuppgifter behandlas om hur vi behandlar dessa.

1. Ansvarsfördelning

Ledningen
Hemmaplans VD ansvarar för att alla verksamheter är organiserad med tydlig ansvarsfördelning och tillräckliga resurser för att behandla personuppgifter i enlighet med GDPR och denna policy.

Personuppgiftsansvarig
Den personuppgiftsansvarige är alltid ansvarig för behandlingen av personuppgifter. Personuppgiftsansvarig är alltid den juridiska person som styr och beslutar om behandlingen av personuppgifter. Det innebär att Hemmaplan är personuppgiftsansvarig för medarbetares, hyresgästers och leverantörers uppgifter.

Personuppgiftsbiträde
När externa leverantörer av IT-tjänster, molntjänster och dylikt behandlar personuppgifter för Hemmaplans räkning kallas de för personuppgiftsbiträden. Personuppgiftsbiträdet ska behandla personuppgifterna i enlighet med ett avtal om behandling av personuppgifter. Det kan även finnas interna personuppgiftsbiträden, såsom till exempel konsulter och inom Bonnier Group med dotterbolag.

Styrelse och anställda
Styrelseledamöter och medarbetare i Hemmaplan har personligt ansvar för laglig och korrekt behandling av personuppgifter i sitt dagliga arbete. Genom att följa denna policy för behandling av personuppgifter bidrar styrelseledamöter och medarbetare till att personuppgifter behandlas korrekt inom Hemmaplan.

1. Principer för behandling av personuppgifter

• Laglig behandling – när vi behandlar personuppgifter inom Hemmaplan ska vi vara säkra på att behandlingen överensstämmer med GDPR och att vi agerar öppet gentemot de vars personuppgifter behandlas.
• Rättslig grund för behandlingen

• Uppgiftsminimering – Hemmaplan ska aldrig samla in eller behandla fler personuppgifter än vad som krävs för att uppfylla insamlingens ändamål. Det innebär att vi vid varje tillfälle då personuppgifter samlas in ska fråga oss om vår insamling är nödvändig. Om ändamålet med behandlingen av personuppgifterna upphör och inte längre är giltig så ska vi radera uppgifterna som inte längre behövs.
• Ändamålsbegränsning – när vi samlar in personuppgifter ska vi ha tydligt och berättigat ändamål med insamlingen och en vidare behandling. Om ändamålet upphör att gälla så ska vi radera de personuppgifter som behandlats för det ändamålet. Om vi vill behandla personuppgifter för ett nytt ändamål får det inte vara oförenligt med det tidigare ändamålet, till exempel genom att ligga utanför vad den berörda personen vars personuppgifter behandlas rimligen kan förvänta sig. Vi ska också vara noga med att informera den det berör om detta samt vilken rättslig grund vi har för att behandla personuppgifterna.
• Korrekthet – personuppgifterna ska vara korrekta och uppdaterade. Personuppgifter som är felaktiga eller inaktuella raderas eller rättas.
• Lagringsminimering – personuppgifterna ska bara lagras så länge som det behövs för ändamålet med behandlingen, eller enligt kraven i tillämplig lagstiftning. När lagringsperioden har löpt ut ska uppgifterna raderas på ett permanent och säkert sätt. Om vi vill behålla personuppgifter längre än vad som krävs för ändamålet med insamlingen av uppgifterna måste vi se till att uppgifterna inte längre kan kopplas till den vars personuppgifter det berör, vare sig direkt eller indirekt genom anonymisering. När det gäller personuppgifter som samlats in från en person som vi har en kundliknande relation till behåller vi uppgifterna under en period som motsvarar praxis enligt Integritetsskyddmyndigheten.
• Inbyggt dataskydd och dataskydd som standard – varje ny tjänst eller affärsprocess som Hemmaplan inför och som innebär behandling av personuppgifter ska utformas för att skydda dessa personuppgifter, till exempel genom att nödvändiga säkerhetsåtgärder byggs in i designen. Varje sådan ny tjänst eller affärsprocess utformas också så att den som standard ser till att det bara är personuppgifter som är nödvändiga för behandlingens specifika ändamål som behandlas.
• Konsekvensbedömning avseende dataskydd – när en typ av behandling, särskilt då ny teknik som nya IT-system eller molntjänster används, sannolikt medför hög risk för en enskild persons integritetsskydd, ska Hemmaplan innan behandlingen göra en konsekvensbedömning av hur behandlingsåtgärderna kan komma att påverka skyddet av personuppgifter.
• Underrättelse om personuppgiftsincident – styrelseledamöter eller medarbetare som misstänker ett brott mot denna policy eller relevant dataskyddslagstiftning ska omedelbart meddela VD så att Hemmaplan kan uppfylla de lagstadgade kraven på underrättelse. VD ska skyndsamt tillse att Hemmaplan uppfyller lagstadgade krav på underrättelse vid varje personuppgiftsincident.
• Tillgodose de vars personuppgifter behandlas samtliga rättigheter – enligt beskrivning i avsnitt 5. Dina rättigheter nedan.
• Säkerhetsåtgärder – en styrelseledamot eller medarbetare som har tillgång till personuppgifter får endast behandla dem enligt ändamålet med behandlingen och får inte dela, sprida eller på annat sätt vidarebefordra uppgifterna till någon tredje part såvida inte Hemmaplan gett uttryckliga instruktioner om detta. Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifterna mot oavsiktlig eller olaglig förstöring, oavsiktlig förlust eller förvanskning, otillåten spridning av eller tillgång till uppgifterna samt alla andra former av olaglig behandling. Åtgärderna ska vara lämpliga i förhållande till de risker som behandlingen medför och till den typ av personuppgifter som behandlas.
• Gränsöverskridande dataöverföring – innan överföring av personuppgifter till organisationer utanför EES får inte ske utan godkännande av VD.

1. Personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter

När personuppgifter behandlas av ett personuppgiftsbiträde på uppdrag av Hemmaplan med dotterbolag ska vi endast använda personuppgiftsbiträden som ger tillräckliga garantier för att de vidtar lämpliga tekniska och organisatoriska åtgärder för att behandlingen ska uppfylla kraven i dataskyddslagstiftningen och för att skydda den registrerades rättigheter.

Det ska finnas ett juridiskt bindande avtal mellan Hemmaplan och personuppgiftsbiträdet. Avtalet måste uppfylla kraven i dataskyddslagstiftningen och ska specifikt ange ansvarsfördelningen mellan parterna kring behandling av personuppgifter.

1. Dina rättigheter

Hemmaplan ska bemöta de vars personuppgifter behandlas önskemål och synpunkter utifrån de krav som lagen ställer på oss eller vad ska kan anses vara rimligt, praktiskt och lämpligt, med utgångspunkt i nedan principer:

• Öppenhet och information – personerna vars uppgifter vi behandlar ska informeras om att deras uppgifter behandlas. Informationen ska vara kortfattad, lättillgänglig och klart och tydligt formulerad med de uppgifter som vi är skyliga att uppge.
• Rätt att få tillgång – enskilda personer kan begära att få information om Hemmaplans behandling av deras personuppgifter.
• Rätt till rättelse eller radering – enskilda personer kan begära rättelse eller radering av personuppgifter.
• Rätt att invända – enskilda personer kan begära att automatisk behandlingen av deras personuppgifter begränsas. Enskilda personer har rätt att invända mot att vi behandlar personuppgifter med stöd av en intresseavvägning. Om Hemmaplan då inte kan visa att våra skäl för behandlingen väger tyngre än den vars personuppgifter behandlas skäl ska behandlingen upphöra. Enskilda personer har även rätt att komma med synpunkter på Hemmaplans behandling av deras personuppgifter.
• Rätt till ersättning – enskilda personer kan ha rätt till ersättning för eventuella skador.

Integritetspolicyn omfattar Hemmaplans samtliga medarbetare och verksamheten i sin helhet. Policyn är föremål för årlig översyn av Hemmaplans styrelse. Ansvarig för dokumentet är Hemmaplans VD. Dokumentet reviderades senast i februari 2024.