DATASKYDDSBESKRIVNING

En registerhelhet, som består av en dataskyddsbeskrivning och ett informeringsdokument enligt Europeiska unionens allmänna dataskyddsförordning (2016/679/EU).

1. Kontaktuppgifter till personuppgiftsansvarige

Ab Åbolands Fastigheter AFM
Rantatie 24
21600 Pargas

2. Representant för personuppgiftsansvarige

Rabbe Holmberg
+358 40 557 4024
Rabbe.holmberg@åbolandsfastigheter.fi

3. Registrets geografiska läge och säkerhet

Personuppgifterna insamlas i databasen KIVI, som upprätthålls av Alma Media Oyj och skyddas av brandvägg. Användningen av registret är skyddat av användarspecifika användarnamn, lösenord och användarrättigheter. Dessutom registreras personuppgifter i papper i ett officiellt förmedlingsarkiv, som upprätthålls av förmedlingsbyrån och är belägen i Ab Åbolands Fastigheter AFM:s upplåsta affärsutrymmen. I samband med disponeringsverksamheten insamlas personuppgifter i DOMUS-disponeringsprogrammet. Programmet är skyddat bland annat av brandvägg.

4. Den rättsliga grunden och syftena för behandlingen av personuppgifter Uppgifter som finns i kundregistret kan användas i följande huvudsakliga syften:

  • upprätthållande och utveckling av kundförhållandet
  • producering, erbjudande, utveckling, förbättring och skyddande av tjänster
  • fakturering, indrivning och bekräftelse av kundevenemang
  • fokusering av reklam
  • analysering och insamling av statistik om tjänsterna
  • kommunikation med kunder, marknadsföring och reklam
  • skyddande och försäkring av rättigheter och/eller egendom som tillhör den personuppgiftsansvarige eller andra personer och parter som har anknytning till uppdragen
  • skötande av den personuppgiftsansvariges lagstadgade skyldigheter, samt
  • andra motsvarande användningsändamål.

Behandlingen av personuppgifter kan även grunda sig på samtycke, givet av den registrerade till ett eller flera särskilda behandlingsändamål för personuppgifterna.

Personuppgifterna kan även användas för direktmarknadsföring och marknadsundersökningar. Personuppgifterna används för direktmarknadsföring och marknadsundersökningar endast i fall personen vars personuppgifter har insamlats för registrering har givit sitt uttryckliga samtycke till detta.

I registret kan följande typer av uppgifter behandlas:

  1. För- och efternamn
  2. Kontaktuppgifter (postadresser, telefonnummer, e-postadresser)
  3. Personbeteckning
  4. Nationalitet
  5. Språk
  6. Den registrerades arbetsgivare samt uppgifter om den registrerades ställning eller uppdrag i ett samfund, då den registrerade representerar samfundet
  7. Uppgifter som den registrerade har givit åt fastighetsförmedlingsbyrån och som anknyter sig till ett uppdrag och skötseln av ett uppdrag, som till exempel datumet för mottagning av uppdraget och giltighetstid
  8. Innehåll av och villkor för uppdragsavtalet
  9. Uppgifter angående det förmedlade objektet
  10. Övriga uppgifter som ges i samband med givande av uppdraget och som är nödvändiga för utförande av uppdraget. Sådana uppgifter kan bland annat vara uppgifter om hur länge objektet har använts som stadigvarande bostad och huruvida objektet har använts som gemensamt hem tillsammans med den registrerades äkta make eller partner i ett registrerat parförhållande och en eventuell upplösning av äktenskapet eller det registrerade parförhållandet och uppgifter gällande avvittring och avskiljande av egendom
  11. Övriga uppgifter angående utförande av uppdraget
  12. Uppgifter om ett uppdragsenligt köp eller ett annat avtal, som till exempel avtalsparternas namn, avtalsobjekt, köpeskilling, förmedlingsersättning och andra avtalsvillkor
  13. Uppgifter om disponentbyråns kundtillgångar
  14. Övriga uppgifter som anknyter sig till kundförhållandet och ett annat sakligt samband
  15. Reklamationer, återkopplingar samt annan kontakt om kundförhållandet och ett annat sakligt samband
  16. Marknadsföringsåtgärder som är riktade gentemot den registrerade, användning av åtgärderna och uppgifter som har givits i samband med åtgärderna, samt den registrerades tillstånd eller annat samtycke till eller förbud mot marknadsföringsåtgärder
  17. Tillstånd till eller förbud mot direktmarknadsföring
  18. Uppgifter om ändring av ovan specificerade uppgifter
  19. Uppgifter som krävs för att upprätthålla i disponeringsverksamheten förvaltade bostadsaktiebolagens lagstadgade aktie- och bostadslistor, vilka kan även innehålla en lista över invånarna.

5. Kategorier av personuppgifter

Ab Åbolands Fastigheter AFM:s allmänna kategorier av personuppgifter är uppdragsgivarna, säljarna och köparna, hyresmännen och hyresgästerna, bostadsaktiebolagens aktieägare och i vissa situationer bostadens besittare och övriga invånare. I Ab Åbolands Fastigheter AFM:s verksamhet behandlas inte särskilda kategorier av personuppgifter, med vilka här avses behandling av personuppgifter, vari framgår ras eller etnicitet, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i ett fackförbund samt behandling av genetiska eller biometriska uppgifter i syfte att entydigt identifiera en person eller uppgifter om hälsa, eller behandling av uppgifter om sexuellt beteende och läggning av en fysisk person.

6. Överlåtelse och överföring av uppgifter

Personuppgifter som vi insamlar överlåter vi endast till sådana aktörer, som har anknytning till köpprocessen. Av myndigheterna överlåter vi personuppgifter till Skatteförvaltningen, till vilken vi överlåter köparens personuppgifter i samband med den överlåtelseskattedeklaration som vi uppgör
 
på kundens vägnar. Köparnas och säljarnas personuppgifter överlåter vi efter att köpet har ingåtts genom att överlåta kopior av köpebrevet, skattedeklarationen och aktiebrevet även åt en möjlig disponent som bostadsaktiebolaget utnämner. Genom köpebrevet överlämnas personuppgifter även åt den bank som köparen använder. Vid fastighetsköp överlämnas personuppgifter åt köpvittnet under köptillfället. Personuppgifter i form av lagfartsbevis och disponentintyg överlämnas även till den kund som erlägger ett köpeanbud. Ur handlingarna framgår fastighets- och bostadsaktieägarens personuppgifter. Personuppgifter som framkommer ur aktie- och bostadslistorna till bostadsaktiebolag som disponeras överlåter vi till bostadsaktiebolagets styrelse och möjligen revisor.

Vi överlåter inte person- eller företagskundernas person- eller igenkänningsuppgifter eller övriga identifieringsuppgifter till några andra fysiska eller juridiska personer förutom de som listats i föregående paragraf. Till andra myndigheter överlåter vi person- och företagsuppgifter endast om ett domstolsförordnande för detta finns eller om det annars förordnas så i lag, samt om myndigheten har påbörjat för- eller annan undersökning om den fysiska eller juridiska personen och myndigheten som sköter ärendet förordnar att person- eller företagsuppgifterna överlåts.

Identifieringsuppgifter och andra personuppgifter kan användas för motverkande, avslöjande och utredande av penningtvätt och terrorism samt för att påbörja utredning av finansiering av penningtvätt eller terrorism eller utredning av det brott, genom vilket egendomen som är föremål till finansieringen av penningtvätt, eller terrorism eller den fördel som brottet har medfört, har erhållits.

Uppgifter överförs inte utanför området för medlemsstaterna i den Europeiska unionen eller Europeiska ekonomiska samarbetsområdet, ifall det inte är nödvändigt för verkställande av syftet för behandlingen av personuppgifter eller för tekniskt verkställande av behandlingen av personuppgifter, i vilka situationer vid överlåtelse av uppgifter följs de krav som ställs i personuppgiftslagstiftning.

7. Personuppgifternas förvaringstider

I egenskap av en fastighetsförmedlingsbyrå förvarar Ab Åbolands Fastigheter AFM de registrerades personuppgifter under lagstadgade bestämda tidsfrister. När tidsfristen har gått ut raderas personuppgifterna ur uppdragsarkivet som är i papper samt ur KIVI-systemet. Enligt lagen om förmedling av fastigheter och hyreslägenheter ska uppdragsdagbok, uppdragsavtal med bilagor, anbudshandlingar, broschyrer och andra handlingar som har anknytning till uppdraget bevaras i fem år efter att uppdraget har upphört. Personuppgifter som har insamlats och registrerats med den registrerades samtycke förvaras tills syftet för insamlingen av personuppgifter och grunden till samtyckets givande har uppfyllts. Personuppgifter som har insamlats vid disponeringsverksamhet förvaras så länge som bostadsaktiebolaget är kund till vårt disponentföretag.

8. Den registrerades rättigheter

8.1 Rätt att få genomsynlig information om behandlingen av personuppgifter

Personuppgiftsansvarige ska informera om behandlingen av personuppgifter när uppgifterna fås av den registrerade själv. De registrerade ska informeras även när uppgifter fås från någon annan part än den registrerade. Informationen om behandling av uppgifter ska i sådana situationer levereras inom en skälig tid och senast innan två månader har förflutit från uppgifternas mottagande. Om personuppgifter används för kommunicering med ifrågavarande registrerade, ska information om behandlingen ges senast när den registrerade kontaktas första gången. Är avsikten att överlåta uppgifter åt en annan mottagare, ska information om behandlingen ges senast när uppgifter överlåts för första gången.

De registrerade ska informeras om kontaktuppgifterna till den personuppgiftsansvarige och dennes representant, syftena för behandlingen av personuppgifter och den rättsliga grunden för behandlingen av personuppgifter, vilka kategorier av personuppgifter företaget samlar in och behandlar samt vilka källor uppgifter fås ifrån, information om huruvida personuppgifter överlåts och om de överlåts, mottagarna / kategorierna av mottagare. Överlåts personuppgifter utanför EU- området, ska information om överlåtelsen samt en sådan annan redogörelse om överlåtelsen som förutsätts enligt förordningen, personuppgifternas förvaringstid eller om den inte är möjlig att anges, kriterierna för definiering av förvaringstiden, de rättigheter som tillkommer den registrerade enligt förordningen (bl. a. rätt att be om korrigering av personuppgifter om sig själv) samt rätten att återkalla ett givet samtycke och anföra besvär till övervakningsmyndigheten, automatiserade beslutsfattandet, inklusive existensen av profilering, samt logiken som är anknuten därtill, dess betydelse och möjliga konsekvenser för den registrerade informeras, ifall den personuppgiftsansvarige utför automatiskt beslutsfattande med anledning av personuppgifterna. Om den registrerade har som avsikt att behandla personuppgifter åt övriga ändamål än de vartill personuppgifterna insamlades, ska den personuppgiftsansvarige informera den registrerade om de övriga användningsändamålen innan fortsatt behandling.

8.2 Registrerades rätt att få tillgång till uppgifterna

Den registrerade har som huvudregel rätt att få vetskap om vilka uppgifter som har anknytning till honom har sparats i personregistret. Om personuppgiftsansvarige har en välgrundad anledning att misstänka identiteten av den som har begärt om sådana uppgifter, kan personuppgiftsansvarige begära personen att leverera de tilläggsuppgifter som är nödvändiga för bestyrkning av personens identitet. Personuppgiftsansvarige kan även begära den registrerade att på ett tillräckligt sätt specificera, vilka uppgifter och behandlingsåtgärder dennes begäran avser. På en begäran framställd av den registrerade ska reageras inom en månad. Att förlänga denna tidsfrist med två månader är möjligt, ifall begäran finnes invecklad eller de är många. I sådana fall ska den personuppgiftsansvarige informera den registrerade om förlängningen av tidsfristen samt anföra orsakerna till dröjsmålet inom en månad från mottagandet av begäran.

Utgångspunkt till verkställande av begäran är kostnadsfrihet. Är den registrerades begäran uppenbart ogrundade eller oskäliga, till exempel om de framställs upprepade gånger, kan personuppgiftsansvarige neka att framföra den önskade åtgärden eller kräva en skälig ersättning i förhållande till de administrativa kostnaderna som uppstår av levereringen av uppgifterna.

Den registrerade har inte rätt att kontrollera uppgifter som har erhållits i syfte att fullgöra de i penningtvättslagen stadgade rapporterings- och utredningsskyldigheten. Datatillsynsmannen kan dock på kundens begäran kontrollera lagenligheten av behandlingen av sådana uppgifter.

Som en dataskyddsåtgärd ger vi uppgifter som har registrerats om den registrerade åt den registrerade som huvudregel endast i vår egen affärslokal, där vi identifierar den registrerade. Vid behov kan vi överlåta uppgifter som har registrerats om den registrerade åt den registrerade även på ett annat sätt skriftligen. I sådana situationer krävs att den registrerade har framfört en skriftlig och av honom eller henne undertecknad begäran om kontrollering av uppgifter riktat åt den person som ansvarar för Ab Åbolands Fastigheter AFM:s kundregister.

8.3 Rätt att korrigera uppgifter
 
Registrerade har rätt att begära att den personuppgiftsansvarige utan onödigt dröjsmål korrigerar inexakta och okorrekta personuppgifter som anknyter sig till den registrerade.

8.4 Rätt att radera uppgifter

Personuppgiftsansvarige ska på den registrerades begäran utan onödigt dröjsmål radera alla personuppgifter som anknyter sig till den registrerade, ifall personuppgifterna inte längre behövs för de ändamål, för vilka de insamlades eller för vilka de annars behandlades, eller den registrerade återkallar samtycket, på vilket behandlingen har grundat sig på och det finns ingen annan laglig grund, eller den registrerade motsätter sig behandlingen av personuppgifter och en grundad anledning för behandling finnes inte, eller den registrerade motsätter sig behandling av personuppgifter i direktmarknadsföringssyfte, eller personuppgifter har behandlats på ett olagligt sätt, eller personuppgifter ska raderas på grund av verkställande av en lagstadgad skyldighet som baserar sig på EU-rätt eller nationell lagstiftning och tillämpas på personuppgiftsansvarige, eller personuppgifter har insamlats i samband med direkt erbjudande av informationssamhällets tjänster åt barn.

Även om någon av de ovannämnda förutsättningarna skulle uppfyllas, behöver uppgifter inte raderas, ifall behandling är nödvändigt för användningen av en rättighet angående yttrandefrihet eller informationsförmedlingsfrihet, eller en skyldighet som grundar sig på EU-rätt eller nationell lagstiftning och som tillämpas på den personuppgiftsansvarige, eller om behandling sker för genomföring av ett uppdrag som anknyter sig till allmänt intresse eller användande av offentlig makt som tillhör den personuppgiftsansvarige, eller för anledningar som anknyter sig till ett allmänt intresse som angår folkhälsa i den mening som avses i förordningen, eller för arkiveringssyften som är enliga med det allmänna intresset eller vetenskapliga eller historiska forskningssyften eller statistiska syften i den mening som avses i förordningen, ifall radering av uppgifter sannolikt skulle förhindra ifrågavarande behandling eller i stor grad försvåra det, eller för upprättande, framförande eller försvarande av ett rättsligt yrkande.

Är den personuppgiftsansvarige tvungen att radera uppgifter och har den personuppgiftsansvarige publicerat personuppgifter, ska den personuppgiftsansvarige även vidta skäliga åtgärder för att informera andra personuppgiftsansvariga som behandlar personuppgifter att registrerade har begärt att radera alla länkar som anknyter sig till personuppgifterna eller kopior eller avskrifter om personuppgifterna.

8.5 Rätt att begränsa behandlingen

Vid begäran av den registrerade ska den personuppgiftsansvarige begränsa aktiv behandling av personuppgifterna, ifall den registrerade förnekar korrektheten av personuppgifterna, i vilka situationer behandling ska begränsas tills den personuppgiftsansvarige kan kontrollera korrektheten av personuppgifterna, eller behandling är lagstridigt och den registrerade kräver begränsning av behandlingen i stället för radering av personuppgifter, eller registrerade inte längre behöver ifrågavarande personuppgifter för att uppnå syften till behandlingen av personuppgifter, men registrerade behöver dem för upprättande, framförande eller besvarande av ett rättsligt yrkande eller registrerade har motstått sig behandlingen av personuppgifter och värdering av huruvida personuppgiftsansvariges berättigade grunder undantränger den registrerades berättigade grunder fortfarande pågår.
 
Personuppgiftsansvarige får fortfarande bevara personuppgifter, men inte på andra sätt behandla dem, utan den registrerades samtycke. Uppgifter får behandlas även för upprättande, framförande eller besvarande av ett rättsligt yrkande eller för beskyddande av en fysisk eller juridisk persons rättigheter eller för orsaker som anknyter sig till ett viktigt allmänt intresse. Innan begränsningen av behandlingen tas bort ska den registrerade informeras om detta.

8.6 Motsättningsrätt

Grundar sig behandlingen av personuppgifter på verkställandet av personuppgiftsansvariges eller en tredje parts berättigade intresse, utförande av ett uppdrag som anknyter sig till allmänt intresse eller utövande av offentlig makt som tillhör personuppgiftsansvarige, har registrerade rätt att motsätta sig behandlingen av personuppgifter som anknyter sig till den registrerade på grund av en grund som anknyter sig till hans eller hennes särskilda situation. Utövar registrerade sin motsättningsrätt, får personuppgifter inte längre behandlas, om inte personuppgiftsansvarige kan visa att ett uppenbart viktigt och motiverat skäl för behandling finnes och skälet undantränger registrerades intressen och rättigheter, eller om behandling är nödvändigt i syfte att upprätta, framföra eller motsvara ett rättsligt yrkande.

Registrerade har även rätt att när som helst motsätta sig behandling av den registrerades personuppgifter i direktmarknadsföringssyften, inklusive profilering, om det anknyter sig till direktmarknadsföring. Motsätter sig registrerade behandling av personuppgifter i direktmarknadsföringssyften, får uppgifter inte längre behandlas i direktmarknadsföringssyften. Registrerade ska tydligt informeras om motsättningsrätten senast vid punkten när kontakt med registrerade görs för första gången.

9. Överföring utanför EU-området

Överföring av personuppgifter till ett land utanför EU-området är tillåtet, om kommissionen har fattat ett beslut, i vilket konstateras att ifrågavarande tredje land garanterar en tillräcklig nivå för dataskydd.

Har inte kommissionen fattat ett ovannämnt beslut, är överföring av personuppgifter utanför EU- området tillåtet, om personuppgiftsansvarige eller personuppgiftsbiträde har genomfört vederbörliga skyddsåtgärder och om verkställbara rättigheter och effektiva rättsskyddsmedel finns i registrerades tillgång. I förordningen specificerade vederbörliga skyddsåtgärder är till exempel standardklausuler som är accepterade av kommissionen (standardavtalsklausuler), förordningsenliga bindande företagsregler, som övervakningsmyndigheten har bestyrkt, eller standardklausuler, som har antagits av en tillsynsmyndighet och som kommissionen har godkänt. Överföring av personuppgifter utanför EU-området är även tillåtet i undantagliga specialsituationer, som definieras i förordningen, även om kommissionen inte skulle ha fattat ett beslut om dataskyddsnivåns tillräcklighet och personuppgiftsansvarige eller personuppgiftsbiträde inte skulle ha genomfört ovannämnda vederbörliga skyddsåtgärder. Specialsituationer är bland annat att den registrerade har givit sitt uttryckliga samtycke till en föreslagen överföring efter att han eller hon har blivit informerad att sådana överföringar kan förorsaka risker för den registrerade på grund av ett beslut angående tillräckligheten av dataskyddsnivån och avsaknaden av vederbörliga skyddsåtgärder, eller överföringen är nödvändig för verkställande av ett avtal mellan registrerade och personuppgiftsansvarige eller för verkställande av åtgärder som föregår ett sådant avtal på den registrerades begäran, eller överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person i den registrerades intresse, eller överföringen är nödvändig för upprättande, framförande eller motsvarande av ett rättsligt yrkande eller överföringen är nödvändig för skyddande av den registrerades eller andra personers livsviktiga intressen, om den registrerade har fysisk eller juridiskt blivit förhindrad att ge sitt samtycka.

Personuppgifter till Ab Åbolands Fastigheter AFM:s registrerade kunder överförs inte utanför EU.

10. Dataskyddsåtgärder

I händelse av kränkning mot dataskyddet ska Ab Åbolands Fastigheter AFM göra en anmälan av kränkningen till tillsynsmyndigheten utan onödigt dröjsmål genast efter att kränkningen har kommit i företagets vetskap och senast inom 72 timmar. Om anmälningar som har gjorts efter att denna tidsfrist har gått ut ska en motiverad redogörelse för orsakerna till att anmälningen har gjorts försent levereras åt tillsynsmyndigheten. Dessutom ska de personer, för vilkas del kränkning mot dataskyddet har skett, informeras om kränkningen. Anmälan behöver dock inte göras, om personuppgiftsansvarige har vidtagit vederbörliga tekniska och organisatoriska skyddsåtgärder och ifrågavarande åtgärder har tillämpats på de personuppgifter som är föremål till dataskyddskränkningen eller den personuppgiftsansvarige har vidtagit åtgärder, som försäkrar, att en hög risk för rättigheterna av fysiska personer inte längre verkställs.

Ab Åbolands Fastigheter AFM har åt företaget som en dataskyddssåtgärd upprättat en dataskyddspolitik, i vilken finns uppskrivna alla centrala krav och skyldigheter för den personuppgiftsansvarige som följer av dataskyddsförordningen, samt rättigheter för den registrerade. Ab Åbolands Fastigheter AFM har utbildat dess personal om ämnet och uppdaterar sitt kunnande regelbundet.

11. Automatiskt beslutsfattande och profilering

Ab Åbolands Fastigheter AFM, i egenskap av en personuppgiftsansvarig, utför inte profilering som riktar sig mot kunder eller använder automatiskt beslutsfattande.