Inledning
För Riksbyggen Hyresförmedling AB 559371-8637, Kungsbron 21, 111 22 Stockholm (nedan refererat till som "vi", “vår”, “oss”) är personlig integritet viktigt och vi tillämpar och följer Europaparlamentets och Rådets förordning (EU) 2016/679 ("GDPR") (och SCC vid tillämpliga fall) samt de grundläggande dataskyddsprinciperna. Vi är ett helägt dotterbolag till Riksbyggen ekonomisk förening (nedan Riksbyggen) och eftersträvar en hög nivå av dataskydd. Riksbyggen Hyresförmedling AB är ett registrerat bolag för hyresförmedling i enlighet med Fastighetsmäklarlag (2021:516) 2 kap. 5 § p 1. Ansvarig för denna Integritetspolicy är Riksbyggen Hyresförmedling AB.
I denna policy förklarar vi hur vi behandlar dina Personuppgifter när du kontaktar oss, anmäler intresse för en ledig hyresrätt på Riksbyggens webbportal samt då vi utför vårt förmedlingsuppdrag. Vi beskriver också dina rättigheter och hur du kan göra dem gällande. Denna Integritetspolicy omfattar samtliga typer av Personuppgifter, i både strukturerade och ostrukturerade data. Som Registrerad är du välkommen att kontakta oss om du har frågor om hur vi behandlar dina Personuppgifter. Kontaktuppgifterna finner du längst ner i denna Integritetspolicy.
Innehållet i denna Integritetspolicy kan komma att uppdateras från tid till annan, utan föregående meddelande om detta. Exempelvis om det är nödvändigt för att förtydliga något, på grund av ändrad eller nytillkommen lagstiftning eller om vår Behandling av Personuppgifter förändras. Den senaste versionen finns alltid publicerad på vår webbplats som är tillgänglig för allmänheten. Du ansvarar själv för att läsa igenom innehållet i denna Integritetspolicy samt hålla dig uppdaterad om eventuella ändringar.
När du använder våra tjänster och interagerar med oss delar du samtidigt personlig information. Vi använder den informationen för att bland annat tillhandahålla tjänster till dig (ex. hyresförmedling och referensinsamling) samt för att kunna anpassa våra erbjudanden till dig och för att utveckla vår produkt och vår service. Nedan kan du läsa mer om hur vi behandlar Personuppgifter.
Begrepp och definitioner
Med Behandling avses en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på̊ annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. I vissa fall kan även manuella register omfattas.
Med Personuppgifter avser vi information som direkt eller indirekt kan hänföras till dig som individ. En Personuppgift är en upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Det handlar alltså inte bara om namn och personnummer utan kan även handla om bilder och e-postadresser.
Med Personuppgiftsansvarig menas en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter. Om ändamålen och medlen för Behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den Personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Med Personuppgiftsbiträde menas en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
Med Registrerad menas den fysiska person som direkt eller indirekt kan identifieras genom en viss Personuppgift.
Med GDPR menas Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på Behandling av Personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Med SCC menas Kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av Personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679, eller senare uppdaterad version.
Övriga eventuella GDPR-relaterade begrepp som inte definieras här ska ha samma innebörd i denna Integritetspolicy som anges i artikel 4 i GDPR.
När Riksbyggen Hyresförmedling AB är Personuppgiftsansvarig
För de Behandlingar där Riksbyggen Hyresförmedling AB bestämmer över ändamålet och medel för Behandlingen är vi Personuppgiftsansvariga och vi ansvarar i sådana fall för att Behandlingen av Personuppgifterna sker i enlighet med GDPR (enligt principen om ansvarsskyldighet). Det gäller när vi behandlar dina Personuppgifter i samband med förmedling av hyreslägenhet inom ramen för våra tjänster och vår kontakt med dig.
Aktörer som är självständigt Personuppgiftsansvariga
Vi kan även komma att dela dina Personuppgifter med vissa andra aktörer som är självständigt Personuppgiftsansvariga. Vi lämnar till exempel ut Personuppgifter till myndigheter som Skatteverket, när vi är skyldiga att lämna ut sådana uppgifter med stöd av lag eller myndighetsbeslut. När dina Personuppgifter delas med en aktör som är självständigt Personuppgiftsansvarig gäller den organisationens Integritetspolicy och Personuppgiftshantering.
Vi säljer aldrig informationen om dig till någon utomstående tredje part.
Vilka lagliga grunder använder Riksbyggen Hyresförmedling AB och vilka Personuppgifter behandlas?
I enlighet med principen om uppgiftsminimering behandlar vi enbart Personuppgifter som är adekvata, nödvändiga och relevanta för att uppfylla de ändamål som de blev insamlade för. I enlighet med principen om ändamålsbegränsning behandlar vi enbart Personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. De Personuppgifter vi samlar in är beroende av vilken relation vi har till den registrerade och vilka tjänster denne använder. Informationen nedan anger exempel på typer av information vi kan komma att behandla om den registrerade och laglig grund för Behandlingen.
När den registrerade anmält intresse för en hyresrätt på Riksbyggens webbplats eller i övrigt, behandlar vi dennes Personuppgifter för att kunna säkerställa identiteten på den köande, administrera intresseanmälan samt för att göra en första bedömning av om har en hyresbostad att erbjuda den registrerade.
Vi behandlar namn, personnummer eller samordningsnummer, uppgift om eventuellt ombud eller företrädare, kötid, önskemål om objekt (exempelvis hyresnivå, storlek och läge), språkpreferenser, ekonomiska förhållanden (vid enskild firma uppgifter om företaget), familjeförhållanden (antalet barn och ålder på dessa), boendeförhållanden, vid boende i hyresrätt: uppgift om hyresvärd och dennes kontaktuppgifter med angivande av referensperson, vid boende i bostadsrätt: uppgift om kontaktperson i föreningens styrelse, vid boende i äganderätt: uppgift om fastighetsbeteckning, vid annat boende: kontaktuppgifter till referensperson; arbetsgivarens namn adress och telefonnummer, med uppgift om referensperson. Behandlingen av Personuppgifterna sker i dessa fall med stöd av den lagliga grunden Berättigat intresse.
När det blir aktuellt att erbjuda den registrerade ett objekt behöver vi behandla fler uppgifter om denna. Dessa uppgifter behövs för att kontrollera att den registrerade uppfyller de krav vi ställer på hyresgäster. Vid tecknande av kontrakt kan ytterligare uppgifter behövas såsom kontonummer och betalningsuppgifter. Utöver de uppgifter vi samlade in när intresseanmälan eller ansökan gjordes behandlar vi försörjningsuppgifter, kontonummer och andra betalningsuppgifter, kreditupplysningsuppgifter inklusive uppgifter från exempelvis kronofogden eller inkassobolag, uppgift om eventuell borgensman, uppgifter från de referenspersoner du uppgett såsom uppgifter om hur du skött ditt boende vad gäller hyresinbetalningar och i övrigt, anställnings- och arbetsgivarintyg (kontroll kan ske av arbetsgivarens identitet för att säkerställa att lämnade uppgifter är riktigt), dom eller ansökan om äktenskapsskillnad, dom om bättre rätt till lägenhet, bodelningsavtal eller andra handlingar till stöd för iakttagen bytesrätt, andrahandsuthyrning eller överlåtelse sam uppgifter om erbjudet objekt. Behandlingen av Personuppgifter sker i dessa fall med stöd av den lagliga grunden Avtal (Hyresavtalet).
Kontroll av uppgifternas korrekthet samt komplettering och uppdatering kan komma att göras genom avstämning mot privata och offentliga register. All information från offentliga källor samlas in för att identifiera dig som befintlig eller potentiell intressent av en hyresrätt, för att ge dig bättre service samt för att kommunicera med dig och för att hantera olika typer av betalningar.
Vi behandlar personuppgifter om de konsulter som utför förmedlingsuppdrag inom ramen för vår verksamhet. De personuppgifter som behandlas är exempelvis namn.
Vi behandlar fakturor och annat som utgör bokföringsunderlag som vi är skyldiga att behandla och lagra enligt tillämplig lagstiftning, såsom bokföringslagen (1999:1078). Bokföringsunderlag och verifikationer kan i vissa fall innehålla Personuppgifter, såsom namn och kontaktuppgifter. Räkenskapsmaterial behandlas och arkiveras för att efterleva bokföringslagen och lagras så länge som lagen kräver det. Behandlingen av Personuppgifterna sker i dessa fall med stöd i den lagliga grunden Rättslig förpliktelse.
Vi behandlar även Personuppgifter för att fullgöra våra skyldigheter enligt gällande rätt, såsom bokföringslagen (1999:1078) och att på begäran kunna svara myndigheter när de har rätt att få ta del av uppgifter enligt lag. Behandlingen av Personuppgifterna sker i dessa fall med stöd i den lagliga grunden Rättslig förpliktelse.
Hur samlar vi in dina Personuppgifter?
Uppgifterna inhämtar vi från den registrerade genom intresseanmälan via Riksbyggens hemsida eller i övrigt, kreditupplysningsföretag och myndigheter. Kontroll av uppgifternas korrekthet samt komplettering och uppdateringar av dessa kan komma att göras genom avstämning mot privata och offentliga register såsom SPAR.
Hur vi delar Personuppgifter
I vissa fall kan vi överföra Personuppgifter till andra parter men endast när det finns ett laglig grund för sådan överföring eller berörda individer samtyckt till detta.
I en del situationer är det nödvändigt för oss att anlita biträden. Detta kan till exempel vara olika IT-leverantörer för IT-system. De är då Personuppgiftsbiträden till oss. Innan vi delar några Personuppgifter till sådana leverantörer, ingår vi ett Personuppgiftsbiträdesavtal med dem i enlighet med bestämmelserna i GDPR (alternativt SCC om Personuppgiftsbiträdet befinner sig i ett land utanför EU/EES eller kan komma att dela personuppgifter med ett land utanför EU/EES). Detta sker för att säkerställa en säker och korrekt Behandling av Personuppgifterna. Vi kontrollerar Personuppgiftsbiträden för att säkerställa att de garanterar säkerheten och sekretessen för Personuppgifterna. När Personuppgiftsbiträden anlitas sker det bara för de ändamål som är förenliga med de ändamål vi själva har för Behandlingen.
Hur länge och var sparar vi dina Personuppgifter?
Vi strävar efter att lagra samtliga Personuppgifter som vi behandlar inom EU/EES, i enlighet med principen om integritet och konfidentialitet. Om Personuppgifter blir lagrade i ett land utanför EU/EES, ska vi se till att sådan lagringsplats säkerställer en adekvat skyddsnivå i enlighet med bestämmelserna i GDPR och SCC.
Dina Personuppgifter lagras inom den Europeiska unionen (EU) och Europeiska ekonomiska samarbetsområdet (EES). På grund av globaliseringen och den tekniska utvecklingen kan vi i begränsad omfattning komma att överföra eller tillåta åtkomst av uppgifter utanför EU/EES.
Vi gör vårt yttersta för att skydda din integritet genom att hantera din information försiktigt och vidta lämpliga och nödvändiga skyddsåtgärder från ett land utanför EU/EES, till exempel beträffande molntjänstleverantörer. All överföring sker med tillämpning av Dataskyddsförordningens bestämmelser och med vårt säkerställande av din integritet.
Vi sparar aldrig dina Personuppgifter längre än vad som är nödvändigt för respektive ändamål. Vi bevarar den registrerades Personuppgifter för att uppfylla gällande lag såsom ex. bokföringsändamål i sju år enligt de krav som följer av bokföringslagen.
När Personuppgifterna inte längre behöver vara lagrade för ändamålen, blir de antingen raderade (gallrade) eller anonymiserade, i enlighet med principen om lagringsminimering.
Vi följer interna riktlinjer och skriftliga rutiner avseende gallring och loggföring av gallrade Personuppgifter, för att säkerställa att Behandlingen av Personuppgifterna sker i enlighet med GDPR.
Personuppgifter kan förekomma lagrade i vår backup-lagring viss tid efter att de har raderats, innan samtliga backup-lagrade kopior blir permanent raderade.
Tekniska och organisatoriska säkerhetsåtgärder
Vi vidtar och implementerar olika tekniska och organisatoriska säkerhetsåtgärder med fokus på de registrerades integritet i enlighet med GDPR. Åtgärderna avser att skydda mot intrång, missbruk, förlust, förstöring och andra förändringar som kan innebära en risk för integriteten (enligt principen om integritet och konfidentialitet).
Vad är dina rättigheter som registrerad?
För oss är det viktigt att vi alltid hanterar den registrerades Personuppgifter på ett lagligt, transparent och öppet sätt, och att dennes uppgifter är korrekta och aktuella.
Den registrerade har rätt, enligt lag, att få sina Personuppgifter rättade eller raderade (rätten att bli glömd). Rätten att bli glömd gäller inte Personuppgifter som vi är skyldiga att fortsätta hantera enligt lag, såsom exempelvis bokföringsunderlag.
Dessutom har den registrerade rätt till begränsning av Behandling, rätt till dataportabilitet och rätt att göra invändningar mot att Personuppgifterna används för direktmarknadsföring och profilering.
Den registrerade har rätt till registerutdrag utan kostnad. Vid ogrundade eller orimliga förfrågningar (t.ex. på grund av att de görs mycket ofta) får vi ta ut en administrativ avgift, du kommer i sådant fall att meddelas om detta på förhand.
Vi informerar dig härmed om att några av rättigheterna enbart gäller i vissa situationer samt bara om det är lagligt och möjligt för oss att genomföra din begäran.
För att utöva dina rättigheter i de fall du nyttjar tjänsterna kan du maila oss på: gdpr@riksbyggen.se.
Den registrerade har även rätt att inge klagomål till Integritetsskyddsmyndigheten (www.imy.se) och i vissa fall rätt att få information om eventuella Personuppgiftsincidenter.
Personuppgiftsincidenter
Vi följer bestämmelserna i GDPR avseende hantering, anmälning och dokumentation av Personuppgiftsincidenter. När det krävs enligt GDPR, kommer vi att anmäla inträffade Personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY), och, i de fall det krävs, meddela de registrerade som berörs av inträffad Personuppgiftsincident.
Vem du kan kontakta
E-post: gdpr@riksbyggen.se och ange ”Riksbyggen Hyresförmedling” i ämnesraden.
Postadress: Riksbyggen Hyresförmedling AB, c/o Riksbyggens ekonomisk förening, 106 18 Stockholm.
