Persondatapolitik for Ikano Bolig A/S

1. Overordnet behandling af Personoplysninger

1.1  Formål

Hos Ikano Bolig håndterer vi store mængder Personoplysninger, herunder oplysninger om kunder, medarbejdere og leverandører. Alle i virksomheden skal til enhver tid sørge for, at samtlige Personoplysninger håndteres korrekt, dels for at beskytte de omhandlede personers interesser, og dels for at overholde databeskyttelsesforordningen (GDPR). Personoplysninger skal altid slettes inden for en rimelig tid, efter at behandlingsformålet er udløbet.

1.2 Omfang

Persondatapolitikken omfatter alle medarbejdere og konsulenter i Ikano Bolig.

1.3 Dataansvarlig

Ikano Bolig A/S (”Ikano Bolig”), CVR-nummer 39184745, Stationsparken 24, 2., 2600 Glostrup, tlf.nr. 22 88 30 24, charlotte.lejre@ikanobolig.dk, er dataansvarlig. Databeskyttelsesrådgiveren står for at udarbejde den overordnede Persondatapolitik om behandling og sletning af Personoplysninger i Ikano Bolig. Databeskyttelsesrådgiveren skal endvidere stå i spidsen for og vejlede Ikano Boligs databeskyttelsesgruppe, som har til opgave at behandle spørgsmål om håndtering af Personoplysninger. Databeskyttelsesgruppen skal bestå af repræsentanter for alle enheder og supportfunktioner i Ikano Bolig.

1.4 Juridiske krav og andre styrende faktorer

Ikano Bolig skal overholde databeskyttelsesforordningen (GDPR) for at sikre enkeltpersoners ret til databeskyttelse.

1.5 Ikano Boligs grundlæggende principper for behandling af persondata

a. Lovligt, retfærdigt og gennemsigtigt

Alle medarbejdere i Ikano Bolig skal behandle Personoplysninger på en måde, som er lovlig, retfærdig og gennemsigtig. De personer, vi indsamler oplysninger om, skal have adgang til at se bl.a. hvilke data vi gemmer, hvorfor vi behandler og gemmer disse, og hvordan vi anvender de indsamlede data. Ikano Bolig har som målsætning at gøre denne information om gemte data tydelig og letlæselig, således at informationerne er umiddelbart forståelige for enhver.

b. Formålsbegrænsning

Ikano Bolig indsamler og behandler kun Personoplysninger til specifikke og legitime formål.

c. Dataminimering

Ikano Bolig indsamler og behandler kun Personoplysninger, der er relevante for formålet. Gemte Personoplysninger skal være tilstrækkelige, relevante og begrænset til det, der anses for nødvendigt i den konkrete sammenhæng.

d. Korrekthed

Hos Ikano Bolig arbejder vi på at sikre, at alle Personoplysninger er korrekte. Er de ikke det, bliver de opdateret. Hvis det ikke er muligt at opdatere Personoplysningerne, skal de i stedet slettes eller anonymiseres. En registreret person har ret til at anmode om få korrigeret sine oplysninger, og sådan anmodning skal efterkommes straks.

e. Opbevaringsperiode

Hos Ikano Bolig behandler vi kun Personoplysninger til det formål, de er blevet indsamlet til. Når dette formål ikke længere består, skal Personoplysningerne slettes eller anonymiseres.

f. Integritet og fortrolighed.

Ikano Bolig arbejder på, at behandlede Personoplysninger ikke havner i forkerte hænder. Vi behandler Personoplysninger på en måde, der sikrer et passende sikkerhedsniveau til formålet, herunder beskyttelse mod uautoriseret eller ulovlig behandling og/eller tab af Personoplysningerne. Ikano Bolig gennemgår jævnligt sine systemer og opdaterer dem efter behov for at overholde krav til datasikkerhed.

2. Definitioner

Personoplysninger

 

Oplysninger som direkte eller indirekte kan forbindes til en levende, fysisk person, såsom navn, CPR.nr., lejlighedsnummer, billeder, lyde, mv.

Særlige kategorier af Personoplysninger

Personoplysninger om etnisk oprindelse, politiske holdninger, religiøs overbevisning, fagforening, sundhed, biometriske data, mv., som kræver særlig forsigtighed.

Behandling af Personoplysninger

Processer som involverer Personoplysninger, såvel manuelle som automatiske, f.eks. indsamling, registrering, brug, lagring, arkivering og færdiggørelse.

Databeskyttelsesrådgiver (Data Protection Officer - DPO)

Medarbejdere, der har til opgave at sørge for, at alle Personoplysninger i Ikano Bolig behandles i overensstemmelse med gældende lov. Databeskyttelsesrådgiveren er udpeget af Ikano Bolig.

Databeskyttelsesforordningen (General Data Protection Regulation - GDPR)

Erstatter Persondataloven og regulerer sammen med Databeskyttelsesloven, hvilke Personoplysninger der kan behandles, og hvordan det skal gøres.

DPIA (Data Protection Impact Assessment)

Vurderingsværktøj, der indeholder en risiko- og sårbarhedsanalyse set fra et databeskyttelsesperspektiv.

3. Behandlingsregler

3.1 Behandlingsoversigt

Ikano Bolig har en oversigt, hvori bl.a. er angivet de kategorier af Personoplysninger, der behandles i virksomheden, hvordan de behandles, formålet hermed og det juridiske grundlag for hver behandling.

3.2 Masterdata

Alle Personoplysninger skal opbevares i et system beregnet til håndtering af persondatakilder (Kildesystem). Med et sådant system vil vi hos Ikano Bolig sikre, at hver enkelt persons registrerede Personoplysninger er korrekte og opdaterede. Hvis vi gemmer Personoplysninger andetsteds end i Kildesystemet, skal det sikres, at sletningsrutiner mv. følges.

3.3 De registreredes rettigheder

En registreret person har mulighed for at udbede sig nedenstående oplysninger om sine egne Personoplysninger. En anmodning fra den registrerede om at udøve sine rettigheder skal indsendes til vores e-mail for Personoplysninger charlotte.lejre@ikanobolig.dk. En registreret person skal altid henvises til at sende sin anmodning til nævnte e-mail.

Hvis vi modtager en anmodning fra en registreret person som vil udøve sine rettigheder, skal vi have sikkerhed for vedkommendes identitet. En identifikation kan derfor være nødvendig. Når en anmodning modtages, kontakter repræsentanten i databeskyttelsesgruppen den relevante afdeling. Derfra kan den registrerede blive kontaktet for at supplere den registrerede persons begæring. Ikano Bolig har 30 dage til at efterkomme anmodningen. De omtalte rettigheder er:

  • Indsigtsret: En registreret person har ret til at se, hvilke Personoplysninger vi behandler. Indsigt kan opnås i et såkaldt registerudtog. Udtoget viser de Personoplysninger vi har om personen, og hvorfor vi har brug for dem.
  • Retten til at korrigere Personoplysninger: En registreret person har ret til at anmode om at få korrigeret sine Personoplysninger, hvis disse er forkerte.
  • Retten til at slette Personoplysninger (”retten til at blive glemt”): En registreret person har ret til at anmode om at få slettet sine Personoplysninger. Hvis eksempelvis formålet med vores behandling er opfyldt, eller hvis den registrerede person mener, ​​at vi anvender flere Personoplysninger end nødvendigt. Modtager vi en sådan anmodning, vil vi forsøge at slette Personoplysningerne så vidt muligt, medmindre vi har en juridisk forpligtelse til at opbevare de pågældende Personoplysninger.
  • Retten til at modsætte sig og/eller begrænse behandling af Personoplysninger: En registreret person kan gøre indsigelse mod behandling af sine Personoplysninger. For eksempel kan personen modsætte sig en behandling midlertidigt, hvis Personoplysningerne har været/er forkerte. Personen har også ret til at gøre indsigelse mod behandlinger i følgende tilfælde:
  • Direkte markedsføring: En registreret person har ret til at protestere mod vores behandling af Personoplysninger i forbindelse med direkte markedsføring og kan f.eks. afmelde vores fysiske nyhedsbreve. Eksempel på direkte markedsføring er fysisk reklame.
  • Berettiget interesse: En registreret person har ret til at gøre indsigelse mod behandling af ​​sine Personoplysninger ud fra en afvejning af berettiget interesse. Det betyder, at vi alene har ret til at fortsætte med at behandle ​ personens oplysninger, hvis vi kan påvise, at vores berettigede interesse heri er større end personens rettigheder. Vi har også ret til at fortsætte behandlingen af ​​de Personoplysninger, der er nødvendige for at opfylde en juridisk forpligtelse.
  • Retten til dataportabilitet: Hvis behandlingen er baseret på samtykke eller kontrakt, forudsat at det er teknisk muligt, har den registrerede person ret til at anmode om dataportabilitet. Dette gælder kun for Personoplysninger, der opbevares i et struktureret format, og som den registrerede person har givet Ikano Bolig.

3.4 Databehandlingsaftaler

Der skal være indgået en skriftlig aftale med hver tredjepart, som i en eller anden forstand behandler Personoplysninger på vegne af Ikano Bolig, eller som Ikano Bolig behandler Personoplysninger for på en andens vegne. Denne aftale skal indeholde klare instrukser om, hvilke Personoplysninger der behandles, og hvordan disse skal behandles. Kontraktskabeloner er tilgængelige via Databeskyttelsesrådgiveren.

3.5 Dataminimering/sletning af data

Ikano Bolig vil ikke opbevare og behandle flere Personoplysninger, end vi har brug for til et bestemt formål. Behandlingsoversigten angiver dokumenter, der viser, hvor længe en bestemt personoplysning bliver gemt.

Hver enhed eller supportfunktion i Ikano Bolig har sine egne detaljerede dataminimeringsrutiner. Fremgangsmåder for sletning af data skal være ensartede i Ikano Bolig og er angivet i Bilag 1 til denne persondatapolitik.

Inden for Ikano Bolig sker sletning efter følgende principper:

  • Personoplysninger slettes: Personoplysningerne slettes, så de ikke kan genskabes.
  • Personoplysninger anonymiseres: Personoplysninger anonymiseres, men vi kan bevare andre oplysninger, f.eks. med henblik på statistiske undersøgelser. Disse andre oplysninger vil blive slettet på et senere tidspunkt.

3.6 Hvornår foretages dataminimering

Dataminimering sker af forskellige grunde. Ikano Bolig følger nedenstående dataminimeringsrutiner:

  • Gennemgang af Personoplysninger efter den fastsatte frist pr. behandling med efterfølgende sletning eller anonymisering af ukorrekte eller unøjagtige Personoplysninger-
  • Undersøgelse - på anmodning af den registrerede – af, om der er grund til at beholde Personoplysningerne-
  • Gennemgang af instruktionerne i Bilag 1.

På den registreredes anmodning om sletning, begrænsning eller anonymisering af en persons oplysninger -, dog forudsat at der ikke findes en lovlig grund til at foretage behandlingen.

Enhver er velkommen til at undersøge hver enkelt afdelings detaljerede behandlings- og dataminimeringsregler og -rutiner for at se mere specifikke retningslinjer.

3.7 Uddannelse af medarbejdere

Alle medarbejdere har sammen med deres nærmeste chef ansvar for at blive tilstrækkeligt uddannet og få information om korrekt håndtering af Personoplysninger. Lederen er ansvarlig for om nødvendigt at kontakte Databeskyttelsesrådgiveren. Der udbydes en almen GDPR-uddannelse, som forestås af Databeskyttelsesrådgiveren.

3.8 Databrud

Enhver medarbejder og konsulent i Ikano Bolig har pligt til omgående at rapportere til Databeskyttelsesrådgiveren hvis det opdages, at en behandling af Personoplysninger inden for Ikano Bolig ikke bliver udført korrekt. Anmeldelse skal ske til charlotte.lejre@ikanobolig.dk.

4. Særlige behandlingsregler

For de enkelte behandlingsformål gælder der følgende særlige regler:

4.1 Formålene med og retsgrundlaget for behandlingen af dine Personoplysninger

Nedenfor kan du se til hvilke formål vi behandler dine Personoplysninger til og hvad retsgrundlaget for behandlingen er.

FORMÅL

EKSEMPEL

GDPR retsgrundlag

Reservationslister

 

Vi anvender Personoplysninger til at registrere dine købsønsker i relation til igangværende projekter.

Slettes, når det samlede projekt hvortil den pågældende er skrevet op, er solgt.

Vi anvender følgende Personoplysninger: Navn, e-mail og boligønsker.

Opfyldelse af kontrakt (GDPR, art. 6.1.b)

Købsaftale

Vi anvender Personoplysninger til at opfylde indgåede aftaler og til at gennemføre et aftalt projekt med dig.

Oplysninger om cpr.nr. anvendes alene i forbindelse med tinglysning (og indsamles først i forbindelse med tinglysningen).

Vi anvender følgende Personoplysninger:

Personoplysninger om køber af en ejendom (Navn, adresse, e-mail og telefonnummer).

Købers cpr.nr.

Oplysninger om købers rådgiver og pengeinstitut.

Købers materialevalg.

Berigtigende advokat.

Ikano Boligs eksterne formidler af ejendomme på det konkrete projekt.

Ikano Boligs entreprenør(er).

Købers eventuelle medlemskab af ejer/grundejerforening (og grundejerforeningens administrator).

Købers forsyningsselskaber (el, vand, TV- og internet, telefoni og varme).

Købers eventuelle renovationsselskab.

Personoplysningerne slettes 10 år efter overtagelsesdag af hensyn til eventuelle retskrav.

Opfyldelse af kontrakt (GDPR, art. 6.1.b) og Retlig forpligtelse (GDPR, art 6.1.c.) samt for Cpr.nr., Databeskyttelseslovens § 11, stk. 2 (følger af lovgivning samt for at foretage entydig identifikation)

 

Samtykke, enkelte projekter

For at kunne understøtte opstart af et nærmiljø i relation til enkelte projekter indsamles og behandles Personoplysninger gennem en undersøgelse af interesser hos købere og eventuelle relevante naboer.

Markedsføring via elektroniske midler (SMS, MMS, Facebook, Instagram og LinkedIn) efter indhentelse af samtykke.

Vi anvender følgende Personoplysninger:

Køn, alder, din husstand, kontaktinfo (Navn, adresse, e-mail og telefonnummer) og fritidsinteresser.

Vi sletter Personoplysninger 2 år efter du har tilbagekaldt dit samtykke, men stopper med at anvende oplysningerne til elektronisk markedsføring, så snart du har tilbagekaldt dit samtykke.

Samtykke (GDPR, art. 6.1.a) og Retlig forpligtelse (GDPR, art 6.1.c.) samt Markedsføringslovens § 10.

Samtykke generelt

Billede taget af dig efter afgivelse af samtykke til vores ”Ikano Bolig Familie”, som er en samling af fotos af alle vores kunder, til brug på vores kontorvæg, hjemmeside og evt. sociale medier.

Markedsføring via elektroniske midler (e-mail, Facebook, Instagram og LinkedIn) efter indhentelse af samtykke.

Vi anvender følgende Personoplysninger:

Billede, køn, alder, din husstand, kontaktinfo (navn, e-mail, adresse og telefonnr.) og fritidsinteresser

Vi sletter dit billede så snart du tilbagekalder dit samtykke.

Vi sletter øvrige Personoplysninger 2 år efter du har tilbagekaldt dit samtykke, men stopper med at anvende oplysningerne til elektronisk markedsføring, så snart du har tilbagekaldt dit samtykke.

Samtykke (GDPR, art. 6.1.a) og Retlig forpligtelse (GDPR, art 6.1.c.) samt Markedsføringslovens § 10.

5. Modtagere eller kategorier af modtagere

Ikano Bolig videregiver i visse tilfælde de Personoplysninger, som vi behandler om dig. Dine Personoplysninger kan blive videregivet:

  • Ikano Bolig
  • Ikano Boligs eksterne formidler af ejendomme på det konkrete projekt
  • Ikano Boligs entreprenør(er)
  • Eventuel ejer-/ grundejerforening og grundejerforeningens administrator.
  • Forsyningsselskaber (el, vand, TV- og internet, telefoni og varme)
  • Berigtigende advokat
  • Købers advokat / rådgiver
  • Domstolene, hvis det er påkrævet ifølge en retsafgørelse eller gældende lovgivning
  • Skat
  • Offentlige myndigheder, herunder kommune
  • Renovationsselskab
  • Ikano Boligs pengeinstitut

6. Overførsel til modtagere i tredjelande, herunder internationale organisationer

Vi anvender databehandlere indenfor EU.  Vi tillader kun databehandling uden for EU, hvis databehandlingen foregår i et sikkert tredjeland eller hvis overførselsgrundlaget yder tilstrækkelig garanti (for eksempel anvendelse af Kommissionens standard kontrakter).

Vores databehandler er lokaliseret i Danmark.

7. Hvor stammer dine Personoplysninger fra

Vi indsamler Personoplysninger på følgende måder:

  • Oplysninger, som du giver os.
  • Ikano Boligs eksterne formidler af ejendomme på det konkrete projekt
  • Ikano Boligs entreprenør(er)
  • Domstolene, hvis det er påkrævet ifølge en retsafgørelse eller gældende lovgivning.
  • Forsyningsselskaber (el, vand, TV- og Internet, telefoni og varme)
  • Købers advokat / rådgiver

8. Profilering

Vi anvender ikke dine Personoplysninger til profilering.

9. Sikkerhedsforanstaltninger

Ikano Bolig opbevarer dine personlige Personoplysninger sikkert og fortroligt. Vi har i Ikano Bolig implementeret såvel tekniske som organisatoriske sikkerhedsforanstaltninger, der har til formål at beskytte dine Personoplysninger mod, at de hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen.

Ikano Boligs sikkerhedsforanstaltninger kontrolleres løbende for at sikre, at dine Personoplysninger håndteres forsvarligt, og under stadig hensyntagen til dine rettigheder.

10. Trække samtykke tilbage

Du kan til enhver tid trække dit samtykke tilbage ved at kontakte Kommunikations- og Marketings Lead Charlotte Lejre, e-mail: charlotte.lejre@ikanobolig.dk, mobil: 22 88 30 24.

11. Klagemyndighed

Du har mulighed for at klage til Datatilsynet over Ikano Boligs indsamling og behandling af dine Personoplysninger:


Datatilsynet
Borgergade 28, 5.
1300 København K
Telefon 3319 3200
Mail: dt@datatilsynet.dk
www.datatilsynet.dk

Cookies

Bilag 1

1. Dataminimering / sletning af data

1.1 E-mail

Hvis Personoplysninger (udover kontaktoplysninger som navn og e-mail) skal sendes i en e-mail, bør denne krypteres ved at klassificere posten som fortrolig eller strengt fortrolig.

Hvis der i en e-mail til eller fra Ikano Bolig omtales en tredjepart, og denne person ikke er blevet informeret om, hvordan vi behandler Personoplysninger, bør der foretages en interesseafvejning af, om vi har brug for at gemme Personoplysningerne, og om vi skal informere denne tredjepart om behandlingen. I praksis berører dette ganske få tredjeparter. Det kan f.eks. være tredjeparter, som Ikano Bolig har et retskrav mod.

I interesseafvejningen bør vi foretage en samlet vurdering, baseret på omstændighederne i hvert enkelt tilfælde, af på den ene side proportionaliteten i indsatsen for at finde personen og give oplysningerne, og på den anden side vigtigheden af, at personen informeres. Hvis Personoplysningerne ikke hører under den særlige kategori af Personoplysninger, for eksempel den sædvanlige e-mail korrespondance mellem kolleger eller andre dagligdags beskeder, anser Datatilsynet det normalt for urimeligt at kræve, at tredjeparten informeres særskilt herom.

Alle medarbejdere i Ikano Bolig har en generel forpligtelse til at gemme e-mails, der er relevante for virksomheden, på et passende eller særligt foreskrevet sted. Afdelingerne og supportfunktionerne opfordres til at udarbejde retningslinjer herom.

Hver enkelte medarbejder er ansvarlig for at slette e-mails, så snart der ikke længere er et behov for at beholde dem.

Medarbejdere hos Ikano Bolig anbefales kun at gemme e-mails, hvis der er behov for at gemme dem. Disse e-mails bør da gemmes andre steder end i Outlooks standardmapper: Indbakke, Udbakke og Papirkurv. Det er OK at oprette brugerdefinerede mapper i Outlook, forudsat at den enkelte medarbejder tager ansvar for, at behandling af Personoplysninger i disse mapper sker i overensstemmelse med Ikano Boligs retningslinjer. Hvis e-mails gemmes i Outlooks standard mapper: Indbakke, Udbakke eller Papirkurv, skal de slettes eller gemmes på det rette sted inden for 6 måneder.

Det bemærkes, at det – i tilfælde af en undersøgelse af den enkelte medarbejderes e-mails er op til den enkelte medarbejder, i samråd med arbejdsgiveren, at redegøre for formålet, retsgrundlaget og for, hvornår Personoplysningerne vil blive slettet.

Private oplysninger: Ikano Boligs e-mail skal primært anvendes til arbejdsrelaterede formål. Hvis e-mail anvendes til privat brug, er den enkelte ansvarlig for at sikre, at håndteringen ikke skader Ikano Bolig.

1.2 Fælles opbevaringsrum, f.eks. Office 365

Hvis en medarbejder åbner en delt mappe på en placering, hvor andre medarbejdere også kan dele gemte data, har denne medarbejder ansvar for, at behandlingen af Personoplysninger i denne mappe sker i overensstemmelse med Ikano Boligs retningslinjer.

Den person, der er ansvarlig for mappen, skal også sikre, at Personoplysninger slettes, så snart der ikke længere er behov for at beholde dem. Hvis medarbejderen ophører eller ændrer rolle, er det denne persons ansvar at afslutte mappen eller at overføre ansvaret for denne til en anden person.

1.3 Andre lagringsmedier

Hvis en medarbejder gemmer data på andre lagringsmedier, er den pågældende medarbejder ansvarlig for, at behandlingen af ​​Personoplysninger sker i overensstemmelse med Ikano Boligs retningslinjer. Den enkelte medarbejder skal også sikre, at Personoplysningerne slettes, så snart der ikke længere er behov for at beholde dem. Fratræder medarbejderen eller skifter rolle, har vedkommende ansvar for at slette Personoplysningerne eller alternativt overdrage ansvaret herfor til en anden person.

Private lagringsmedier: Hvis kontaktoplysninger eller andre Personoplysninger af privat karakter gemmes på drev, er den enkelte medarbejder ansvarlig for, at håndteringen heraf ikke kan skade Ikano Bolig.

Mere information herom kan findes i procedurerne for anvendelse af IT.

1.4 Andet

Alt IT-udstyr og IT-serviceydelser, som er stillet til rådighed af Ikano Bolig, må kun anvendes af autoriseret personale. Det er f.eks. ikke lovligt at udlevere en mobiltelefon til sine børn, for at de kan surfe eller spille.

Andre ustrukturerede data: Hver enkelt medarbejder har et ansvar for at behandle Personoplysninger på en tilstrækkeligt sikker måde og slette dem, så snart der ikke længere er et behov for at beholde dem.

Ifølge loven om digital kommunikation skal besøgende have information om, at hjemmesiden anvender cookies, hvad de bruges til, samt hvordan man kan undgå dem.