Kvarnvretensgruppen AB:s Integritetspolicy
Denna policy handlar om hur Kvarnvretengruppen AB, 556959-1216, och dess dotterbolag behandlar personuppgifter. Vi vill tydliggöra ansvaret för att skydda personers rättigheter och integritet i enlighet med GDPR. Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data.
Organisation och ansvar för behandling av dina personuppgifter
Kvarnvretengruppen AB, 556959-1216, består av Kvarnvreten Fastighets AB, 556102-6948, Vagnboden Fastighets AB, 556703-9812, Flodinsgården i Västerås Fastighets AB, och Kvarnvreten Equity AB, 559212-7145. Denna policy appliceras på samtliga bolag som ingår i koncernen.
Tillämpning och revidering
Kvarnvretengruppen samt dess dotterbolag är personuppgiftsansvarig för vilka ändamål uppgifterna behandlas och hur behandlingen ska gå till.
Ekonomichefen Marcus Magnusson – marcus.magnusson@kvarnvreten.se, är utsedd till företagsgruppens dataskyddsombud och har till uppgift att övervaka att företagsgruppen följer dataskyddsförordningen (GDPR).
Kvarnvretengruppen samt dess dotterbolag kommer årligen revidera och uppdatera policyn för att följa gällande regelverk. Våra krav på att personuppgifter hanteras enligt GDPR, ska alltid säkerställas vid upphandling och utveckling av IT-lösning samt tjänster. Vidare skall detta vara en del i kravspecifikationen.
Denna policy är tillämplig för styrelseledamöter, VD, medarbetare, uppdragstagare och övriga som berörs av verksamheten.
Vilka personuppgifter behandlar vi
Vilka personuppgifter som behandlas varierar beroende på om du är anställd, kund, leverantör eller hyresgäst.
Varför behandlas personuppgifter? Vilka aktörer delges?
Personuppgifter, som är berättigade och välförankrade i verksamheten, samlas in i syfte till att kunna fullgöra ändamål kopplade till verksamheten. Personuppgifter behandlas ej för ändamål som är oförenliga med det angivna ändamålet. Samtliga insamlande personuppgifter kommer ha en laglig grund, det vill säga:
- ett samtycke från den registrerade
- nödvändig för att fullgöra ett avtal med den registrerade
- fullgöra en rättslig förpliktelse
- fullgöra en uppgift av allmänt intresse
- för myndighetsutövning
- intresseavvägning
Personuppgifterna behandlas transparent och information om vår integritetspolicy finns att tillgå på vår hemsida.
I de fall Kvarnvretengruppen och dess dotterföretag använder externa parter för att hantera administration i verksamheten överlämnas uppgifter till dessa parter i nödvändig utsträckning och när det är erforderligt upprättas personuppgiftsbiträdesavtal mellan Kvarnvretengruppen och dessa parter. Nedan följer de aktörer, vilka företagsgruppen delar personuppgifter med:
- Medarbetares personuppgifter delas med och/eller i syfte för:
Skatteverket, Försäkringskassan, Fora, Alecta, Banker, Kronofogden, SCB Statistik, Företagshälsovård, marknadsföring och publikation(vid förfrågan), IT-drift och förvaltning, ID06, SSG Entré, kunder, revision, försäkringsbolag, leverantörer samt övriga myndigheter och intressenter för att kunna fullgöra våra åtaganden.
- Kunders personuppgifter delas med och/eller i syfte för:
Bank, Skatteverket, marknadsföring och publikation(vid förfrågan), IT-drift och förvaltning, revision, försäkringsbolag, samt övriga myndigheter och intressenter för att kunna fullgöra våra åtaganden
- Leverantörers personuppgifter delas med och/eller i syfte för:
Bank, Skatteverket, marknadsföring och publikation(vid förfrågan), försäkringsbolag, revision, IT-drift och förvaltning samt övriga myndigheter och intressenter för att kunna fullgöra våra åtaganden
- Hyresgästers personuppgifter delas med och/eller i syfte för:
Fastighetsägarna (intresseorganisation), Kronofogden, Inkassobolag, Skatteverket, Banker, Mälarenergi, marknadsföring och publikation(vid förfrågan), revision, IT-drift och förvaltning, försäkringsbolag och Socialstyrelsen samt övriga myndigheter och intressenter för att kunna fullgöra våra åtaganden
Hur länge sparas personuppgifterna
Insamlade personuppgifter kommer inte sparas längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; det vill säga det är behovet som styr när de ska tas bort. Företagsgruppen följer den lagstiftning eller praxis som anger hur länge informationen ska bevaras på individnivå, exempelvis för bokföringsändamål.
De registrerades rättigheter
- Den registrerade har rätt att få ut information om behandlingen av hans/hennes personuppgifter (registerutdrag).
- Den registrerade har rätt att begära begränsning av behandling, vilket innebär att uppgifterna i framtiden endast får behandlas för vissa avgränsande syften. Rätten till begränsning gäller bland annat när uppgifterna anses felaktiga och en rättelse begärts.
- Den registrerade har rätt att begära att personuppgifter rättas, raderas eller blockeras. Radering kan göras i de fall där:
– Uppgifterna inte längre behövs för de ändamål som de samlades in för.
– Behandlingen grundar sig på samtycke och om samtycket återkallas.
– Behandlingen sker för direktmarknadsföring och personen motsätter sig för hur uppgifterna behandlas.
– Personen motsätter sig en personuppgiftsbehandling som sker efter en intresseavvägning, och det inte finns berättigade skäl som väger tyngre än personens intresse.
– Personuppgifterna har behandlas olagligt.
- Vid frågor eller synpunkter som rör behandling av den registrerades personuppgifter kan Kvarnvretengruppens och dess dotterföretag dataskyddsombud Marcus Magnusson, marcus.magnusson@kvarnvreten.se, kontaktas.
- Om den registrerade upplever att dess rättigheter inte möts av Kvarnvretengruppen och dess dotterföretag, har den registrerade rätt att lämna klagomål till Datainspektionen rörande företagets/företagens behandling av personuppgifter.
Riskanalys:
Personuppgifterna kommer skyddas på ett sätt som är lämpligt med hänsyn till vilket skyddsvärde de har och hur stor risken är att de kan missbrukas. Integritetskänsliga personuppgifter skyddas därför högre än andra. Känsliga personuppgifter behandlas endast vid samtycke från den registrerade.
Riskfaktorer som identifieras i företagsgruppens verksamhet är:
Borttappande av dator och telefon, dataintrång samt stöld med mera. Alla berörda medarbetare som hanterar personuppgifter har fått information om företagets personuppgiftshanteringsrutiner samt rutin vid incidenter. Exempelvis ska alltid säkra lösenord användas för att kunna minimera att obehöriga att komma åt information.
Rutin för incidentrapportering:
Eventuella incidenter rörande personuppgifter som vi behandlar, ska utan dröjsmål rapporteras till Marcus Magnusson – marcus.magnusson@kvarnvreten.se. Marcus ska i sin tur, inom 72 timmar anmäla incidenten till Datainspektionen samt i övrigt vidta nödvändiga åtgärder för att minimera skadan med anledning av incidenten.
Uppdaterad 2020-09-25 av Marcus Magnusson