Personvernerklæring

 

1 Behandling av personopplysninger

Denne personvernerklæringen gjelder for Heimdal Bolig AS og våre datterselskaper (heretter «vi», «oss», og «Heimdal Bolig») sin behandling av personopplysninger når vi er behandlingsansvarlig for behandling av dine personopplysninger En «personopplysning» er enhver opplysning som kan direkte eller indirekte knyttes til en fysisk person. En «behandlingsansvarlig» er den som bestemmer hvorfor og hvordan personopplysningene skal behandles.

Vi skal behandle dine personopplysninger i samsvar med det til enhver tid gjeldende personvernregelverk, herunder personopplysningsloven av 2018 som inkorporerer EUs Personvernforordning 2016/679 (GDPR). Gjennom denne personvernerklæringen gir vi deg informasjon om hvilke personopplysninger vi behandler og samler inn gjennom bla. din bruk av vår hjemmeside (www.heimdalbolig.no), det rettslige grunnlaget og formålet med behandlingen, hvor lenge vi behandler personopplysninger, om vi benytter informasjonskapsler (cookies) som lagrer personopplysninger, samt informasjon om dine rettigheter i henhold til det gjeldende personvernregelverket.

Vår kontaktinformasjon for henvendelser i tilknytning til denne personvernerklæringen er:

Heimdal Bolig AS (org nr 874 375 942)

Vestre Rosten 69

7072 Heimdal

Telefon: 72 90 17 00

E-post: post@heimdal.no

2 Hvorfor vi samler inn personopplysninger og hva slags informasjon vi samler inn

Generelt

Generelt samler vi inn og behandler dine personopplysninger for å kunne gi kunder og entreprenører tilgang til kundesystemet, APEX, og for å kunne besvare henvendelser fra kunder og besøkende på vår hjemmeside. Dette kan omfatte personopplysninger som navn, telefonnummer, e-postadresse, og opplysninger om boligen du har kjøpt. Vi behandler dine personopplysninger kun i den utstrekning som er nødvendig for å oppnå formålet med behandlingen.

Vi samler inn og behandler disse personopplysningene basert på ditt uttrykkelige samtykke (jf. GDPR art. 6(1) bokstav a), for å kunne inngå og oppfylle en avtale med deg (jf. GDPR art. 6(1) bokstav b), på grunnlag av vår berettigede interesse i å gi deg en best mulig kundeopplevelse, på grunnlag av vår berettigede interesse i å behandle rettslige krav og på grunnlag av vår berettigede interesse i å inngå og oppfylle en avtale med den virksomheten du handler på vegne av (jf. GDPR art. 6(1) bokstav f), så vel som for å oppfylle våre rettslige forpliktelser (jf. GDPR art. 6(1) bokstav c).

Vi behandler generelt ikke særlige kategorier (sensitive) av personopplysninger, som helseopplysninger, jf. GDPR artikkel 9

I det videre kan du se i hvilke tilfeller vi samler inn og behandler personopplysninger om deg, hvilke kategorier av personopplysninger vi typisk behandler, og det rettslige grunnlaget for behandlingen.

Kontaktskjema på hjemmesiden

Du kan kontakte oss ved bruk av vårt kontaktskjema på hjemmesiden. Når du kontakter oss, enten ved bruk av kontaktskjemaet, eller per e-post eller telefon, vil vi typisk behandle informasjon om deg som navn, e-postadresse, telefonnummer, i tillegg til all annen informasjon du velger å dele med oss. Dette gjør vi for å kunne kontakte deg tilbake og besvare dine henvendelser på en hensiktsmessig måte.

Vi behandler personopplysningene på grunnlag av ditt eksplisitte samtykke (jf. GDPR art. 6(1) bokstav a), for å kunne gjennomføre en avtale med deg (jf. GDPR art. 6(1) bokstav b) eller på grunnlag av vår berettigede interesse i å svare på dine henvendelser (jf. GDPR art. 6(1) bokstav f).

Brukerprofil i APEX-systemet

Dersom du kjøper bolig gjennom Heimdal Bolig, vil vi opprette en personlig brukerprofil for deg i kundesystemet, APEX. Systemet er levert av APEX It AS.

Dersom du er entreprenør eller ansatte hos entreprenør i prosjektet, vil du også få tilgang til kundesystemet, APEX, gjennom en personlig brukerprofil.

Vi bruker systemet og lager en personlig brukerprofil for deg for å kunne optimalisere din kundeopplevelse. Gjennom systemet er det enkelt for kunde og entreprenør å administrere forhold ved boligen og boligovertakelsen samt å holde direkte kontakt med hverandre og med oss i Heimdal Bolig.

I forbindelse med oppretting av brukerprofil for kunder i APEX, vil vi behandle personopplysninger om deg, blant annet ditt navn, adresse, telefonnummer, e-postadresse, og fødselsdato, samt informasjon om boligen du har kjøpt som adresse med leilighetsnummer, boligprosjekt, dine bud på boligen, mv. Disse personopplysningene samles hovedsakelig inn fra megler gjennom budet du la inn på boligen, eller fra kjøper selv.

I forbindelse med oppretting av brukerprofil for entreprenør eller ansatte hos entreprenør i APEX, vil vi behandle personopplysninger som navn, telefonnummer, e-postadresse og firma. Disse opplysningene hentes inn fra entreprenøren/din arbeidsgiver eller direkte fra deg.

Vi behandler personopplysningene for å kunne gjennomføre en avtale med deg (jf. GDPR art. 6(1) bokstav b) og på grunnlag av vår berettigede interesse i å optimalisere og forenkle din kundeopplevelse hos oss og på grunnlag av vår berettigede interesse i å inngå og oppfylle en avtale med virksomheten du handler på vegne av (jf. GDPR art. 6(1) bokstav f).

3 Informasjonskapsler

Vi benytter ikke informasjonskapsler (cookies) som samler inn personopplysninger på vår hjemmeside. Dette vil si at ingen personopplysninger om deg blir lagret dersom du kun besøker hjemmesiden vår.

4 Oppbevaring og lagring (sletting) av personopplysninger

Vi vil ikke lagre dine personopplysninger lenger enn det som er nødvendig for å oppfylle formålet med behandlingen og de lovpålagte pliktene vi har. Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f.eks. lovmessige plikter knyttet til regnskapsføring, oppfølging av kundeforholdet knyttet til reklamasjon mv. Personopplysninger vi behandler som følge av lovmessig plikt, vil slettes så snart vi ikke har plikt til å oppbevare opplysningene.

5 Utlevering av personopplysninger til tredjepart

Vi gir ikke personopplysningene dine videre til andre med mindre du samtykker til delingen (jf. GDPR art. 6(1) bokstav a), eller det foreligger et lovlig grunnlag for delingen. Eksempler på slike grunnlag er at det er nødvendig for å oppfylle en avtale med deg (jf. GDPR art. 6(1) bokstav b), vi har lovmessig plikt som pålegger oss å gi ut dine personopplysninger (jf. GDPR art. 6(1) bokstav c), eller det kan forsvares basert på våre berettigede interesser til å dele informasjonen (jf. GDPR art. 6(1) bokstav f).

Vi bruker underleverandører eller tjenestetilbydere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne («underdatabehandlere»). I slike tilfeller har vi inngått avtaler for å ivareta informasjonssikkerheten i alle ledd av behandlingen.

All behandling av personopplysninger som vi foretar skjer innenfor EU/EØS-området. Dersom vi i fremtiden benytter leverandører eller behandler personopplysninger utenfor EU/EØS (tredjeland), vil vi påse at slik overføring og behandling alltid skjer i overensstemmelse med GDPR kapittel V, herunder er underlagt et lovlig overføringsgrunnlag, for å sikre beskyttelsen av dine personopplysninger.

Vi deler relevant og nødvendig informasjon med Apex It AS i forbindelse med bruk av systemet APEX (se mer om dette under denne erklæringens punkt 2 – Brukerprofil i APEX systemet). Videre deler vi nødvendig informasjon med leverandøren av våre IT-løsninger, UpHeads. Vi deler også nødvendig informasjon om deg som kunde med Heimdal Eiendomsmegling i forbindelse med salg av bolig til deg. Ved bruk av kontaktskjemaet på vår hjemmeside, vil data som sendes fra kontaktskjemaet gå via mailserveren til vår leverandør og utvikler av nettsiden, Doghouse. Dataen sendes så videre til rett mottaker. Emnefelt og innhold i e-posten blir ikke lagret hos Doghouse.

6 Sikkerhet for behandlingen

All behandling av personopplysninger sikres med de påkrevede tekniske og organisatoriske tiltak.

Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhets-prosedyrer for å beskytte personopplysningene fra uautorisert tilgang, bruk eller formidling. Det gjennomføres risikovurderinger for behandling av personopplysninger.

Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har for vår behandling av personopplysninger.

Vi begrenser tilgangen til personopplysninger til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt konfidensialitetsplikt.

Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse

7 Dine rettigheter

Du har følgende rettigheter i forbindelse med personopplysninger vi behandler om deg:

  • Innsyn: Du har rett til informasjon om hvilke personopplysninger vi har lagret om deg, og rett til innsyn i disse personopplysningene.
  • Retting og sletting: Opplysningene vi har om deg skal være riktige og oppdaterte. Dersom du oppdager en feil, oppfordrer vi deg til å ta kontakt med oss slik at opplysningene kan bli rettet. Du kan også kontakte oss dersom du ønsker at opplysninger skal slettes. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
  • Begrensning av behandling: Du har en generell rett til å be oss om å stanse behandlingen av dine personopplysninger, for eksempel hvis du er av den oppfatning at vi behandler personopplysninger om deg ulovlig og du ikke ønsker at vi sletter personopplysningene i henhold til våre rutiner før forholdet har blitt avklart.
  • Dataportabilitet: For opplysninger som du har gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss) kan du be om å få personopplysningene om deg utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
  • Rett til å protestere: Du har rett til å protestere mot vår behandling av dine personopplysninger hvis dette kan forsvares av særlige omstendigheter fra din side.
  • Rett til å klage: Hvis du ikke er enig i hvordan vi behandler personopplysningene dine, har du rett til å klage til Datatilsynet. Du bør likevel ta kontakt med oss først slik at vi kan oppklare eventuelle uklarheter.
  • Behandling på grunnlag av samtykke: Behandler vi personopplysninger på grunnlag av ditt samtykke, så kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å bruke den måte som er opplyst om da du ga samtykket eller ved å kontakte oss.

For å ta i bruk dine rettigheter må du ta kontakt med oss på e-post eller telefon iht. vår kontaktinfo som står innledningsvis i denne erklæringen. Vi har plikt til å legge til rette slik at du kan få oppfylt dine rettigheter kostnadsfritt og innen 30 dager. Tar det lenger tid enn dette vil du få beskjed.

8 Oppdatering av personvernerklæringen

Hvis det skulle skje endring av våre tjenester, vårt engasjement av tredjeparter eller endringer i regelverket om behandling av personopplysninger, vil vi oppdatere denne personvernerklæringen for å gjenspeile eventuelle endringer. Vi varsler deg hvis vi gjør noen vesentlige endringer i personvernerklæringen. En oppdatert versjon ligger alltid tilgjengelig på vår hjemmeside.

Denne personvernerklæringen er sist oppdatert: 15. desember 2022