Dataskyddspolicy
1.
Kontrollantens kontaktuppgifter
Inkoon LKV
– AFM i Ingå
Väylä 9
10210 INKOO
2. Person
som ansvar registret
Hannu
Pesonen
050 490
7280
3.
Registerplats och säkerhet
Personuppgifter
samlas in i KIVI-databasen som underhålls av etuovi.com, som skyddas av en
brandvägg. Användning av registret skyddas av användarspecifika ID:n, lösenord
och åtkomsträttigheter. Dessutom samlas personuppgifter in från mäklarhuset upprätthålla
en pappersbaserad officiell mäklarorder i arkiven i de låsta rummen på Inkoon
LKV – AFM i Ingå´s lokal. Personlig information samlas också in och registreras
på de e-postkonton som skapats av bearbetarna register.
4. Rättslig
grund och syften med behandlingen av personuppgifter
Uppgifterna
i kundregistret kan användas för följande huvudändamål:
-
kundrelationshantering och utveckling
-
Produktion, tillhandahållande, utveckling, förbättring och skydd av tjänster
-
fakturering, inkasso och verifiering av kundtransaktioner
-
reklaminriktning
- Analys
och statistik om tjänster
Kundkommunikation,
marknadsföring och reklam
-
rättigheterna för den registeransvarige och andra personer och enheter som är involverade
i tjänsterna i förhållande till tjänsterna och/eller skydd och skydd av
egendom,
- utförande
av den registeransvariges lagstadgade skyldigheter, och
- andra
liknande användningsområden.
Behandlingen
av personuppgifter kan också baseras på den registrerades samtycke till en
eller flera specifika uppgifter i syfte att behandla personuppgifter.
Personuppgifter
kan också användas för att följa och uppfylla rättsliga skyldigheter.
Personuppgifter
kan även användas för direktmarknadsföring och marknadsundersökningar. För
direktmarknadsföring och för marknadsundersökningar kommer personuppgifter
endast att användas om den person vars personuppgifter har samlats in har gett
sitt uttryckliga samtycke.
Följande
typer av uppgifter kan behandlas i registret:
1. För- och
efternamn
2.
Kontaktuppgifter (postadresser, telefonnummer, e-postadresser)
3.
Personnummer
4.
Medborgarskap
5. Språk
6.
Information om arbetsgivaren och den registrerades status eller funktion när
det gäller att representera den registrerade i gemenskapen
7.
Uppgifter relaterade till den registrerade fastighetsmäklarens överlåtelse och
utförande av beställningen,
såsom datum
för mottagande av beställningen och giltighetstid
8.
Uppdragsavtalets innehåll och villkor
9.
Information om objektet som ska säljas
10. Övriga
uppgifter som lämnas i samband med utfärdandet av ordern som är nödvändiga för
fullgörandet av ordern, såsom uppgifter om hur länge fastigheten har använts
som permanentbostad och om fastigheten har använts som delad fastighet med make
eller registrerad partner registrerad i hemmet och eventuellt äktenskap eller
uppgifter om upplösning av registrerat partnerskap och bodelning eller
separation av tillgångar
11.
Information om uppdragets utförande
12.
Information om handeln eller annat avtal under mandatet, såsom namnen på
parterna i kontraktet
föremål,
köpeskilling, provision och andra villkor i avtalet
13.
Information om fastighets kundens tillgångar
14. Övrig
information relaterad till kundförhållandet och annan väsentlig koppling
15.
Klagomål, feedback och annan kommunikation relaterad till kunden och
affärsförbindelsen
16.
Marknadsföringsåtgärderna riktade mot den registrerade, deras användning och
den information som tillhandahålls i samband därmed, och den registrerades
samtycke, eller annat samtycke, eller förbud mot marknadsföringsaktiviteter
17.
Direktmarknadsföringstillstånd och förbud
18.
Information om ändringar av ovanstående information.
5.
Kategorier av personuppgifter
Inkoon LKV
– AFM i Ingå’s allmänna personuppgiftsgrupper är uppdragsgivare, säljare och
köpare. Inkoon LKV – AFM i Ingå´s verksamheten behandlar inte specifika
kategorier av personuppgifter, vilket här innebär behandling av personuppgifter
som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller
filosofisk övertygelse eller medlemskap i fackförening, och behandling av
genetiska eller biometriska uppgifter i syfte att entydigt identifiera en
person eller för hälsoändamål behandling av uppgifter eller uppgifter om en
fysisk persons sexuella beteende och läggning.
6.
Utlämnande och överföring av information
Vi lämnar
endast ut de personuppgifter vi samlar in till de aktörer som är involverade i
handelsprocessen. Dessa är myndigheter till den skattskyldige som vi lämnar ut
till i samband med vår överlåtelsedeklaration gjord för uppdragsgivarens
räkning personlig information om köpare. Vi förser köpare och säljare med
personuppgifter om köpebrev, skattedeklaration och bostadsbestånd i affären som
kopior av aktieboken även till den av bostadsrättsföreningen utsedda
fastighetsförvaltaren efter det att affären har skett. Personlig information även
överlämnats till köparens bank med köpebrevet. Vid fastighetsaffärer lämnas
personuppgifter ut till handelsbekräftelsen. Personuppgifter kommer även att
lämnas ut till den kund som lägger bud på anbudserbjudandet samt som intyg från
fastighetsförvaltaren som anger personuppgifter om ägarna till fastigheten och
bostadsbeståndet.
Vi delar
inte personlig eller identifierande information eller annan identifierande
information från personliga eller företagskunder med någon till någon annan
fysisk eller juridisk person eller myndighet än de som anges i föregående
stycke. Till andra myndigheter vi kommer endast att avslöja personlig information
eller affärsinformation om det krävs enligt lag eller på annat sätt om så
föreskrivs eller myndigheten har inlett förundersökning eller liknande om
personen eller den juridiska personen, och person- eller affärsinformation
förordnas att lämnas ut på uppdrag av den berörda myndigheten.
Inloggningsuppgifter
och andra personuppgifter kan användas för att förhindra penningtvätt och
finansiering av terrorism, upptäckt och utredning av penningtvätt, finansiering
av terrorism och lagföring av terroristbrott i syfte att erhålla egendom eller
vinning från brott som är föremål för penningtvätt eller finansiering av
terrorism.
Uppgifterna
får inte överföras utanför Europeiska unionens medlemsstaters eller europeiska
ekonomiska samarbetsområdets territorium såvida inte tidigare specificerats nödvändiga
för ändamålen med behandlingen av personuppgifter eller för det tekniska
genomförandet av behandlingen, i vilket fall överföringen av uppgifter
uppfyller kraven i personuppgiftslagstiftningen.
7.
Lagringstider för personuppgifter
Som
fastighetsmäklare behåller Inkoon LKV – AFM i Ingå de registrerades
personuppgifter inom de tidsfrister som lagen anger handla om. Efter detta
kommer personuppgifterna att raderas från KIVIs informationstjänst, samt från Inkoon
LKV – AFM i Ingå dokumentarkiv.
Enligt
lagen om fastighetsförmedling och hyreslägenhetsförmedling beställningsdagboken,
uppdragsavtalen med tillhörande bilagor, förfrågningsunderlaget, broschyrer och
annan information relaterad till uppdraget handlingarna ska bevaras i fem år
från mandatets utgång.
Personuppgifter
som samlas in med samtycke kommer endast att sparas så länge det är nödvändigt
att kontakta personen för det ändamål för vilket personen samtyckte till
insamlingen av hans eller hennes personuppgifter. Lagringsperiod för
personuppgifter förtydligas i detta fall separat för kunden när personuppgifter
samlas in.
8. Den
registrerades rättigheter
8.1 Rätten
att få transparent information om behandlingen av personuppgifter
Den
registeransvarige ska informera de registrerade om behandlingen av
personuppgifter vid den tidpunkt då uppgifterna tas emot från den registrerade
själv. Den registrerade ska också informeras när informationen hämtas från en
annan källa än den registrerade.
Information
om behandlingen ska då lämnas inom skälig tid och senast inom en månad från
behandlingen av personuppgifterna tar emot. Om personuppgifter används för att
kommunicera med den registrerade ska information om behandlingen lämnas senast
när den registrerade kontaktas första gången. Om informationen ska lämnas
vidare till annan mottagare ska informeras om behandlingen senast när
uppgifterna först lämnas ut.
De
registrerade måste informeras om kontaktuppgifterna för den
personuppgiftsansvarige och dennes ombud, behandlingen av personuppgifter ändamålen
och den rättsliga grunden för behandlingen, de kategorier av personuppgifter
som företaget samlar in och behandlar och källorna till uppgifterna information
om huruvida personuppgifter kommer att lämnas ut och i så fall
mottagare/grupper av mottagare av uppgifterna.
Om personuppgifter
överförs utanför EU, informationen om den och alla andra lagringsperioden
eller, om det inte är möjligt, kriterierna för att bestämma perioden,
rättigheterna enligt den registrerade förordningen (inklusive rätten att få
personuppgifter om honom eller henne rättade) och rätten att återkalla samtycke;
och göra klagomål till tillsynsmyndigheten om automatiskt beslutsfattande,
inkl. förekomsten av profilering, liksom till den datalogiken, dess betydelse
och dess möjliga konsekvenserutföra automatiskt beslutsfattande baserat på
personuppgifter. Om den personuppgiftsansvarige har för avsikt att ytterligare
behandla personuppgifter för andra ändamål än de för vilka personuppgifterna
samlades in, ska den registeransvarige informera den registrerade ändamål innan
vidare behandling.
8.2 Den
registrerades rätt till tillgång till uppgifterna
Den
registrerade har som huvudregel rätt att få veta vilka uppgifter om hen som
finns lagrade i personregistret.
Om den registeransvarige har rimliga skäl att
misstänka identiteten på begäranden, men den registeransvarige kan begära lämna
all ytterligare information som behövs för att verifiera din identitet.
Registratorn kan också begära den registrerade att tillräckligt detaljerat ange
vilka uppgifter eller behandlingar som den registrerades begäran avser.
Registrerad
begäran måste besvaras inom en månad. Perioden kan förlängas med två månader
om: förfrågningar är komplexa eller många. I så fall ska den registeransvarige
informera den registrerade om tidsfristen inom en månad från mottagandet av
begäran och ange skälen till förseningen.
Utgångspunkten
för att uppfylla önskemål är kostnadsfri. Om den registrerades begäranden är
uppenbart ogrundade eller orimliga, till exempel om de upprepas kan den
registeransvarige vägra att göra det den begärda åtgärden eller ta ut en skälig
avgift med beaktande av kostnaderna för att lämna informationen administrativa
kostnader.
Den
registrerade har inte rätt att inspektera för att uppfylla den anmälnings-
eller anmälningsskyldighet som föreskrivs i penningtvättslagen information som
erhållits. Dataskyddsombudet kan dock på begäran av kunden granska behandlingen
av dessa uppgifter laglighet.
Som en
säkerhetsåtgärd kommer vi endast att förse den registrerade med information om hen
registrerad på vår plats när vi identifierar registranten.
8.3 Rätt
att rätta uppgifter
Den
registrerade har rätt att begära att den personuppgiftsansvarige rättar den
registrerades uppgifter utan onödigt dröjsmål felaktiga och felaktiga
personuppgifter.
8.4 Rätt
att radera data
På begäran
av den registrerade ska den registeransvarige radera den registrerades
personuppgifter utan onödigt dröjsmål försena om personuppgifterna inte längre
behövs för de ändamål för vilka de samlades in eller för vilka de annars är
till för behandlas, eller den registrerade återkallar det samtycke som ligger
till grund för behandlingen och behandlingen i övrigt inte är laglig eller den
registrerade invänder mot behandlingen av personuppgifter och det inte finns
något giltigt skäl för behandlingen, eller den registrerade invänder mot
behandling av personuppgifter i syfte att direkt marknadsföra, eller så har
personuppgifterna behandlats olagligt, eller så måste personuppgifter raderas i
enlighet med EU eller nationell lag som är tillämplig på den registeransvarige för
att uppfylla en rättslig skyldighet, eller personuppgifter samlas in direkt
från barnet i informationssamhället i samband med tillhandahållande av
tjänster.
Men även om
något av ovanstående villkor är uppfyllt finns det inget behov av att radera uppgifterna
om behandling är nödvändig utövande av rätten till yttrandefrihet och
informationsfrihet eller till EU-lagstiftning som är tillämplig på den
registeransvarige eller för att följa en lagstadgad skyldighet enligt nationell
lagstiftning att behandla, eller om behandlingen är till för att utföra en
uppgift som utförs av allmänt intresse eller för att utöva myndighet som ligger
hos den registeransvarige av hänsyn till folkhälsan enligt förordningen, eller för
arkivändamål av intresse eller för vetenskaplig eller historisk forskning eller
statistiska ändamål förutsatt att raderingen av uppgifterna sannolikt kommer
att försvåra eller försvåra sådan behandling i stor utsträckning, eller för att
framställa, framställa eller försvara ett rättsligt anspråk
Om den
personuppgiftsansvarige måste radera uppgifterna och den
personuppgiftsansvarige har lämnat ut personuppgifterna, ska den
registeransvarige även vidta rimliga åtgärder för att informera de
registeransvariga om att den registrerade är det begärt borttagning av länkar
till personuppgifter eller kopior eller kopior av sådana personuppgifter.
8.5 Rätt
att begränsa behandlingen
På begäran
av den registrerade ska den registeransvarige begränsa den aktiva behandlingen
av personuppgifter om den registrerade bestrider det riktigheten av
personuppgifterna, i vilket fall behandlingen måste begränsas till den tid som
den personuppgiftsansvarige kan verifiera uppgifternas riktighet, eller så är
behandlingen olaglig och den registrerade kräver att personuppgifter raderas
istället begränsningar av behandlingen av uppgifterna, eller så behöver den
personuppgiftsansvarige inte längre sådana personuppgifter för ändamålen med
behandlingen, men den registrerade behöver dem för att göra, presentera eller
försvara ett rättsligt anspråk, eller så är den registrerade motsatte sig
behandling av personuppgifter och bedömningen av om den registrerade är legitim
grunderna är under behandling.
Den
personuppgiftsansvarige kan fortfarande behålla personuppgifter men inte på
annat sätt behandla dem utan den registrerades samtycke.
Uppgifterna
kan också behandlas i syfte att framställa, framställa eller försvara ett
rättsligt anspråk eller annat för att skydda en fysisk eller juridisk persons
rättigheter, eller viktiga övervägande skäl som hänför sig till
allmänintresset. Innan behandlingsbegränsningen hävs ska den registrerade
underrättas.
8.6 Rätten
att överföra data från ett system till ett annat
Om
behandlingen av personuppgifter grundar sig på samtycke eller avtal och behandlingen
sker automatiskt, den registrerade har rätt att få de personuppgifter som hen
har lämnat till den registeransvarige på ett strukturerat, allmänt sätt i
maskinläsbar form och rätten att överföra dessa uppgifter till en annan
personuppgiftsansvarig utan att det påverkar den registeransvarige till vilken
den registrerade ursprungligen lämnade uppgifterna.
Om den
registrerade utövar ovanstående rätt har hen rätt att få uppgifterna överförda
direkt från en personuppgiftsansvarig till en annan, om det är tekniskt
möjligt.
8.7 Rätt
att invända
Om
behandlingen av personuppgifter grundar sig på utövandet av ett berättigat
intresse hos den registeransvarige eller hos en tredje part, allmänt utförandet
av en uppgift av allmänt intresse eller utövandet av offentlig myndighet som
ligger hos den registeransvarige, ska den registrerade ha rätt motsätter sig
behandling av personuppgifter som rör hen på grund av hens specifika personliga
situation.
Om den
registrerade utnyttjar sin rätt att göra invändningar får personuppgifter inte
längre behandlas om inte den personuppgiftsansvarige har möjlighet visa att det
finns ett övervägande och giltigt skäl för behandlingen som åsidosätter den
registrerades intressen, och rättigheter, eller om behandlingen är nödvändig
för att förbereda, lägga fram eller försvara ett rättsanspråk.
Dessutom
har den registrerade rätt att när som helst invända mot behandlingen av hens
personuppgifter för direktmarknadsföringsändamål, inkl. profilering om det är
relaterat till direktmarknadsföring. Om den registrerade invänder mot
behandling av personuppgifter genom direktmarknadsföring uppgifter får inte
längre behandlas för direktmarknadsföringsändamål.
Den
registrerade ska tydligt informeras om rätten att göra invändningar senast när
den registrerade kontaktas för första gången.
9.
Överföringar utanför EU
Överföring
av personuppgifter till ett land utanför EU är tillåtet om kommissionen har
fattat ett beslut om det att det berörda tredjelandet säkerställer en adekvat
dataskyddsnivå.
I avsaknad
av ett sådant beslut av kommissionen ska överföring av personuppgifter utanför
EU vara tillåten om den registeransvarige eller den registeransvarige har
vidtagit lämpliga skyddsåtgärder och om de registrerade har tillgång verkställbara
rättigheter och effektiva rättsmedel. Lämpliga skyddsåtgärder som anges i
förordningen är till exempel standardklausuler (modellavtalsklausuler) godkända
av kommissionen, företag som följer förordningen bindande regler som
fastställts av tillsynsmyndigheten eller standardklausuler bekräftas och
godkänns av kommissionen. Dessutom är överföringar av personuppgifter utanför
EU tillåtna i de exceptionella speciella situationer som definieras i
förordningen, även om kommissionen inte har fattat något beslut om dataskydd tillräcklig
nivå och den registeransvarige eller registerföraren inte har vidtagit lämpliga
skyddsåtgärder
Specifika
situationer inkluderar det faktum att den registrerade har gett sitt
uttryckliga samtycke till den föreslagna överföringen efter att ha informerats
om att sådana överföringar kan innebära risker för den registrerades
dataskyddsnivå på grund av ett beslut om lämplighet och avsaknad av lämpliga skyddsåtgärder,
eller överföringen är nödvändig för den registrerade och åtgärder före avtal på
begäran av den registrerade, eller så är överföringen nödvändig mellan den
registeransvarige och en annan fysisk person eller för ingående eller
fullgörande av ett avtal i den registrerades intresse, eller överföringen är nödvändig
för att förbereda, lägga fram eller försvara rättsanspråket eller överföringen
är nödvändig för den registrerade eller andra för att skydda personers vitala
intressen om den registrerade är fysiskt eller juridiskt förhindrad att ge samtycke.
10.
Säkerhetsåtgärder
Vid
säkerhetsintrång ska Inkoon LKV – AFM i Ingå göra det meddelande om
säkerhetsbrott till tillsynsmyndigheten utan onödigt dröjsmål så snart
överträdelsen har kommit till företagets kännedom och senast inom 72 dagar.
Detta anmälningar
som görs efter tidsfristen ska åtföljas av en motiverad anmälan till
myndigheten om varför anmälan gjordes görs sent. Dessutom ska den registrerade
underrättas om överträdelsen.
Den
registrerade behöver dock inte underrättas om den registeransvarige har
implementerat lämpliga tekniska och organisatoriska skyddsåtgärder och
personuppgifter har tillämpats på de personuppgifter som kränkts eller den
registeransvarige har vidtagit åtgärder för att säkerställa att den höga risken
för fysiska personer rättigheter förverkligas inte längre.
Som en
datasäkerhetsåtgärd har Inkoon LKV – AFM i Ingå utarbetat en
informationssäkerhetspolicy och dataskyddsguide för företaget, som innehåller registrerat
alla nyckelkrav och skyldigheter i dataskyddsförordningen för den
personuppgiftsansvarige, samt rättigheterna till den registrerade.
Inkoon LKV – AFM i Ingå har utbildat sin
personal i ämnet och uppdaterar sin kompetens regelbundet.
11.
Automatiskt beslutsfattande och profilering
Som
huvudregel förbjuder integritetsförordningen automatisk behandling av
personuppgifter, som t.ex såsom profilering, som har rättsverkningar för
registrerade eller vilka påverka honom på liknande sätt avsevärt.
I
förordningens syften avser profilering automatisk behandling av personuppgifter
med hjälp av personuppgifter bedöma en persons personliga egenskaper och i
synnerhet analysera eller förutse egenskaper relaterade till personens
prestation, ekonomiska situation, hälsa, personliga preferenser, intressen,
tillförlitlighet, beteende, plats eller verksamhet.
Registratorn
profilerar inte kunden utifrån personuppgifter eller använder automatiskt beslutsfattande.