Integritetspolicy för inpasseringssystem

1. Personuppgiftsansvarig

HSBs Brf Herbert i Göteborg
Org.nr: 716443-9619
c/o HSB Göteborg
Box 31111
400 32 Göteborg

Bostadsrättsföreningen är personuppgiftsansvarig för behandling av personuppgifter inom ramen för föreningens inpasseringssystem. Styrelsen företräder föreningen i frågor som rör personuppgiftsbehandling.

2. Syfte med behandlingen

Personuppgifter behandlas i syfte att:

·        Administrera behörighet till föreningens gemensamma utrymmen

·        Upprätthålla säkerhet och förebygga obehörigt tillträde

·        Möjliggöra felsökning och utredning av incidenter

Behandlingen sker för att säkerställa trygghet och säkerhet i fastigheten.

3. Kategorier av personuppgifter

Följande uppgifter behandlas i inpasseringssystemet:

·        Namn

·        Lägenhetsnummer

·        RFID-taggens unika identifikationsnummer

·        Logguppgifter (datum, tidpunkt samt dörr/utrymme för inpassering)

4. Rättslig grund

Behandlingen sker med stöd av artikel 6.1 f i dataskyddsförordningen (GDPR) – berättigat intresse.

Föreningens berättigade intresse är att kunna kontrollera tillträde till fastigheten samt upprätthålla trygghet och säkerhet för medlemmar och boende.

5. Lagring och gallring

·        Inpasseringsloggar lagras i identifierbar form i 30 dagar.

·        Efter 30 dagar anonymiseras logguppgifterna.

·        Efter 50 dagar raderas loggarna permanent.

·        Uppgifter kopplade till RFID-tagg raderas när medlemskap upphör eller när behörighet tas bort.

Gallring sker löpande och automatiserat i systemet.

6. Åtkomst till uppgifter

Tillgång till personuppgifter är begränsad till:

·        Särskilt utsedda styrelseledamöter

·        Eventuell teknisk förvaltare eller systemleverantör

Åtkomst sker endast vid behov, exempelvis vid felsökning eller incidentutredning.

Personuppgiftsbiträdesavtal ska finnas med leverantör som behandlar personuppgifter för föreningens räkning.

Inpasseringssystemet är inte anslutet till internet eller något externt nätverk. Personuppgifter lagras lokalt i passagesystemets styrenhet, i en separat administrationsdator samt i säkerhetskopia på fysisk lagringsenhet (USB). Ingen av dessa enheter är uppkopplad mot internet eller annan extern kommunikation.

Den tekniska lösningen är utformad för att minimera risken för obehörig extern åtkomst genom att systemet är isolerat från nätverksanslutning.

7. Utlämnande av uppgifter

Personuppgifter lämnas inte ut till tredje part annat än:

·        Till personuppgiftsbiträde enligt avtal

·        När det följer av lag, förordning eller myndighetsbeslut

8. Registrerades rättigheter

Registrerade personer har rätt att:

·        Begära information om vilka personuppgifter som behandlas (registerutdrag)

·        Begära rättelse av felaktiga uppgifter

·        Begära radering eller begränsning av behandling

·        Invända mot behandling som sker med stöd av berättigat intresse

Begäran ska göras skriftligen till styrelsen. Föreningen besvarar begäran utan onödigt dröjsmål och senast inom en månad.

Registrerade har även rätt att inge klagomål till Integritetsskyddsmyndigheten (IMY).

9. Säkerhetsåtgärder

Föreningen vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot obehörig åtkomst, förlust, förändring eller spridning.

10. Översyn

Denna policy ska ses över vid behov, dock minst vartannat år eller när förändringar sker i systemet eller tillämplig lagstiftning.