Persondata og GDPR
I forbindelse med at persondataforordningen er trådt i kraft d. 25. maj 2018 har vi vedtaget følgende persondatapolitik.
Cobblestone er dataansvarlig
Cobblestone har selv ansvaret for persondata, der behandles hos Cobblestone, og optræder, med mindre andet er eksplicit aftalt i et særligt kundeforhold, ikke som databehandler i relation til vores administrationskunder.
Som følge af dette beder Cobblestone ikke kunderne om at underskrive en databehandleraftale.
Cobblestone benytter selv databehandlere. Det sker f.eks. når vi har en backup liggende i et eksternt datacenter, eller vi har systemleverandører, som har direkte tilgang til vores systemer.
Grundlag for databehandling
Cobblestone behandler kun persondata i det omfang det er tilladt uden samtykke efter Persondataforordningen, dvs. når det følger af eller er nødvendigt for at opfylde en kontrakt/et aftaleforhold, f.eks. lejekontrakt eller serviceaftale, hvis det tjener et sagligt formål eller til opfyldelse af lovkrav.
Man skal have et grundlag for at samle og behandle persondata, ellers må man ikke gøre det.
For os er det ret enkelt. Vi kan ikke administrere en ejendom, hvis vi ikke ved, hvad beboerne hedder, hvordan vi kontakter dem, hvor de bor, eller hvis vi ikke kan registrere deres indbetalinger, osv.
Det betyder også, at vi ikke behøver at indgå aftaler med enkelte beboere, have accept osv. for at registrere og behandle deres persondata. Vores ret til at samle og behandle persondata om dem, der bor i vores ejendomme, ligger ganske enkelt og naturligt i administrationsaftalen, den opgave vi udfører for vores kunder og den lovgivning vi er underlagt.
Sletning af data
Cobblestone sletter persondata, når de ikke længere er relevante.
Det sker efter 10 år, som er danske rets almindelige forældelsesfrist. De 10 år løber fra, at et aftaleforhold ophører, dvs. at persondata godt kan være endnu ældre, hvis f.eks. en lejer har boet i en ejendom i 20 eller 30 år.
E-mails slettes efter 10 år, medmindre det er gemt i administrationssystemet på en konkret sag.
Følsomme persondata
Der gælder særlige regler for følsomme persondata. Følsomme persondata er helbredsoplysninger, oplysninger om politisk eller seksuel orientering m.m. Det er oplysninger, som Cobblestone som udgangspunkt ikke ønsker at have, og alle medarbejdere har instruktion om at slette den slags oplysninger, medmindre der er noget helt konkret, som de skal bruges til. Det kunne være:
- Oplysning om helbredsoplysninger i forbindelse med f.eks. skimmelsvamp i en bolig eller lignende.
- Oplysning om særlige fysiske forhold/begrænsninger som f.eks. handicap, der er afgivet i forbindelse med administration af ventelister eller i forbindelse med særindretning af lejemål eller fællesarealer.
- Oplysninger om sociale forhold, konflikter eller personlige problemer som vi modtager, når vi nogen gange er nødsaget til at bistå bestyrelser eller myndigheder i personsager på ejendommene.
Hvis Cobblestone er nødsaget til at opbevare denne type oplysninger, opbevares de på en måde, så man ved præcis hvor de er, og mindst hver 12. måned skal det vurderes, om der stadig er brug for oplysningerne – eller om de kan slettes.
CPR-numre er ikke følsomme persondata, men de skal behandles efter Persondataloven. Cobblestone opbevarer CPR-numre efter Hvidvasklovens regler og med henblik på entydig identifikation af beboere og andre kontraktsparter.
Ret til indsigt, berigtigelse mv.
På forespørgsel oplyser Cobblestone hvilke persondata selskabet har liggende på en konkret person.
Hvis man ønsker at få sådanne oplysninger, skal man legitimere sig, så der ikke bliver udleveret persondata til uvedkommende.
Overførsel af persondata til lande uden for EU
Cobblestone opbevarer ikke persondata uden for EU.
Uddannelse og kontrol
Cobblestone uddanner sine medarbejdere i korrekt håndtering af persondata, og der bliver foretaget stikprøvekontroller for at sikre, at reglerne bliver overholdt.
Cobblestone er dataansvarlig
Cobblestone har selv ansvaret for persondata, der behandles hos Cobblestone, og optræder, med mindre andet er eksplicit aftalt i et særligt kundeforhold, ikke som databehandler i relation til vores administrationskunder.
Som følge af dette beder Cobblestone ikke kunderne om at underskrive en databehandleraftale.
Cobblestone benytter selv databehandlere. Det sker f.eks. når vi har en backup liggende i et eksternt datacenter, eller vi har systemleverandører, som har direkte tilgang til vores systemer.
Cobblestone benyttes også andre selskaber i Cobblestone Gruppen som f.eks. Cobblestone Facility Management ApS, Plan 1 Arkitekter ApS, Cobblestone Hotel Asset Management ApS eller Heimdal Nordic ApS som databehandlere, ligesom Cobblestone i forhold til disse selskaber også kan optræde som databehandler, f.eks. ved modtagelse af telefoniske henvendelser. Det indbyrdes forhold mellem selskaberne er reguleret af en gensidig databehandleraftale.
Fortrolighed
Der bliver ikke videregivet oplysninger til andre uden samtykke fra de registrerede, medmindre det sker som led i normale arbejdsgange, ligesom Cobblestone beskytter sine IT-systemer imod at andre kan tilgå disse.