Citycon Oyj og dets datterselskaper og andre tilknyttede selskaper (heretter kalt «Citycon») respekterer personvernet til sine investorer, kunder, leverandører og andre interessenter. Denne personvernerklæringen (heretter kalt «personvernerklæring») beskriver hvordan Citycon samler inn og behandler personopplysningene til sine aksjonærer, andre investorer og analytikere, samt hvordan Citycon sørger for å ivareta personvernet og informasjonssikkerheten for det som samles inn og behandles.

I denne personvernerklæringen betyr «personopplysninger» all informasjon som kan identifisere deg som enkeltperson, som enten oppgis av deg og/eller innhentes gjennom alternative kanaler.

Behandlingsansvarlig

Med hensyn til personopplysningene til den registrerte, anses behandlingsansvarlig å være Citycon-konsernselskapet som har et kontraktsforhold eller annet samarbeidsforhold med den registrerte eller med organisasjonen den registrerte representerer. Behandlingsansvarlig kan dermed være enten Citycon Oyj (bedrifts-ID 0699505-3), et av dets datterselskaper eller andre tilknyttede selskaper. I denne personvernerklæringen viser «vi» eller «Citycon» til et hvilket som helst Citycon-konsernselskap som opptrer som behandlingsansvarlig i hvert enkelt tilfelle.

Kunder og leietakere

Formål og juridisk grunnlag for behandlingen

Vi behandler kunde- og leietakeropplysninger for etablering, vedlikehold og utvikling av kunde- og leieforholdet, saker knyttet til sikkerhet og sikkerhetsmeldinger, levering av tjenester, kommunikasjon, utsending av nyhetsbrev, organisering av arrangementer, kundeopplevelsesundersøkelser, statistikk, identifisering av kundens brukere, betalinger og deres tilsyn, utvikling av forretnings- og kundeservice, behandling av klager og forsvar mot klager, regnskap og andre juridiske forpliktelser. I tillegg brukes personopplysningene for direkte markedsføring av behandlingsansvarlig og tilknyttede konsernselskaper (inkludert elektroniske nyhetsbrev), for målretting og profilering av nettannonser samt for utvikling og planlegging av behandlingsansvarliges produkter og tjenester.

Vi behandler våre kunders opplysninger for å oppfylle våre berettigede interesser under et kontrakts- og kundeforhold med personen eller det representerte selskapet. Vi kan også behandle personopplysningene til våre potensielle kunder og leietakere eller deres representanter som vi ennå ikke har inngått en avtale eller et kundeforhold med, eller som vi tidligere hadde en avtale eller et kundeforhold med. I så tilfelle er behandlingen av opplysningene basert på vår berettigede interesse i å undersøke og forstå potensielle kunder eller leietakere, for å kommunisere med dem og utvikle vår kunde- og markedsinnsikt. Basert på vår berettigede interesse, og på samtykke hvis dette kreves, kan vi bruke personopplysninger til markedsføring, direkte markedsføring, undersøkelser og markedsundersøkelser og andre adresserte sendinger.

Kategorier av innsamlede personopplysninger

Kunder og leietakere av forretningslokaler:

  • Kontaktinformasjon som navn, adresse, telefonnummer, e-postadresse, tittel.
  • Informasjon om selskapet den registrerte representerer og selskapets beliggenhet.
  • Informasjon om selskapene den registrerte representert tidligere har registrert og hens tidligere titler hvis den registrerte har byttet jobb/stilling etter at hens opplysninger først ble registrert i systemet vårt.
  • Informasjon om forbud mot og samtykker til markedsføring.
  • Informasjon oppgitt av den registrerte gjennom registreringsskjemaer i forbindelse med Citycons arrangementer eller kampanjer.
  • Brukernavn og passord for elektroniske tjenester

Boligleietakere:

  • Kontaktinformasjon som navn, adresse, personnummer, telefonnummer, e-postadresse.
  • Annen informasjon som bankkontonummer, skattemelding, startdato for kundeforholdet, antall og navn på personer som bor i samme husholdning.
  • Informasjon om sysselsetting, sysselsettingens varighet og art, inntekt og eiendeler, kredittdata, opplysninger om omstrukturering og innkreving av gjeld, informasjon om behovet for losji, informasjon om leieavtalen, informasjon om leiedepositum og avslutning av leieavtalen, informasjon om potensiell verge. 
  • Dersom leietaker ikke er myndig, verges identifikasjonsopplysninger, klager, tilbakemeldinger og annen informasjon og kommunikasjon angående kundeforholdet og vesentlige meddelelser, tillatelser og forbud knyttet til direkte markedsføring 

Kilder til personopplysninger

Vår vanlige kilde til opplysninger er informasjonen som oppgis under leieavtalens forberedelse, inngåelse og løpetid.

Vi samler inn data til vårt register direkte fra kunder, leietakere eller deres representanter, fra leiekontrakter og fra Citycon-portalen. Informasjon kan for eksempel også samles inn når du deltar i våre kampanjer og arrangementer.

Vi oppdaterer dine opplysninger basert på merknader og utvikling r under leieforholdet, for eksempel. I tilfelle varslinger, kan kilden til opplysningene også være en ekstern part, hvor vi i så fall vi vil gjøre rimelige anstrengelser for å bekrefte opplysningenes nøyaktighet.

For leietakere i boliger kan vi kontrollere personopplysningenes nøyaktighet i Folkeregisteret i forbindelse med inngåelsen av leieavtalene. Vi kan også kontrollere beboeropplysningene om våre leiligheter i Folkeregisteret. Vi kan også samle inn og oppdatere dine personopplysninger basert på informasjon fra våre partnere, og fra myndigheter og selskaper som tilbyr tjenester knyttet til dine personopplysninger.

Vi kan også samle inn og oppdatere opplysninger om kreditt- og betalingsadferd og sanksjonsovervåkningsdata, for eksempel fra Bisnode Norge AS sitt register.

Alle opplysninger vi samler inn med formål om å administrere bruk av informasjonssystemer, slik som Citycon-portalen, vil innhentes fra deg eller din firmarepresentant, og vårt personell vil opprette og vedlikeholde påloggingsinformasjonen. Loggdata lagres automatisk ved bruk av informasjonssystemer.

Utlevering av personopplysninger og mottakerkategorier

Vi kan utlevere personopplysninger til selskaper i Citycon Group, og til myndigheter som følge av en juridisk forpliktelse.

Vi kan også overføre opplysninger til våre tjenesteleverandører som behandler dataene på våre vegne og i samsvar med våre instrukser (for eksempel for å vedlikeholde og utvikle kundeforholdet eller tjenesten, utleieaktiviteter, salg av leiligheter eller forretningslokaler, administrasjonstjenester for fast eiendom, bygging og reparasjoner og tilsyn med dette, sikkerhetskontroll og sikkerhetsmeldinger, utfylling eller innsamling av kundeopplysninger, eller utvikling og vedlikehold av datasystemer og datasikkerhet).

I tilfelle utleie av leiligheter utleveres personopplysninger kun til partene som er nødvendige for administrasjon av kunde-/leieforholdet. Disse partene inkluderer vedlikeholdsselskapet for å kontrollere beboernes opplysninger (navn og kontaktinformasjon), låsesmed for utlevering av nøkler (navn, personnummer og kontaktinformasjon) og innkrevingsselskapet for innkreving av krav (navn, personnummer, gjeldsbeløp og kontaktinformasjon). 

Når Citycon selger den utleide eiendommen, kan leietakernes gjeldende opplysninger knyttet til leieavtalen utleveres til kjøperen av den utleide eiendommen.

Overføring av personopplysninger utenfor EU/EØS

Personopplysninger kan overføres utenfor EU/EØS i samsvar med gjeldende databeskyttelseslover og forskrifter, og i henhold til begrensningene fastsatt i disse lover og forskrifter.

Når personopplysninger overføres til et land utenfor EU/EØS som ikke garanterer et tilstrekkelig nivå med databeskyttelse, iverksetter vi hensiktsmessige sikkerhetstiltak i samsvar med gjeldende databeskyttelseslover og forskrifter, for eksempel EU-kommisjonens generelle kontraktsbestemmelser og, hvis nødvendig, ytterligere sikkerhetstiltak.

Personopplysningene til leietakere i leiligheter overføres ikke ut av EU/EØS. 

Oppbevaringsperiode for personopplysninger

Vi beholder kunde- og leietakeropplysninger i hele kunde- og leieforholdets løpetid eller til du ikke lenger representerer vår kunde. Ved avslutning av kunde- eller leieforholdet, vil vi oppbevare opplysningene så lenge personopplysningene er nødvendige for å oppfylle Citycons behov eller etterleve Citycons juridiske forpliktelser, eller, i fravær av slike forpliktelser, i en periode på maksimalt 24 måneder.

Vi vil oppbevare informasjon om våre potensielle kunder og leietakere og deres representanter så lenge informasjonen er nødvendig for Citycon og i samsvar med Citycons juridiske forpliktelser, eller, i fravær av slike forpliktelser, i en periode på maksimalt 24 måneder. 

Opplysningene om leietakere i leiligheter skal kun beholdes i registeret så lenge behandlingen er basert på grunnlaget fastsatt i Personvernforordningen. 

Aksjonærer, andre investorer og analytikere

Formål og juridisk grunnlag for behandling

Vi behandler personopplysningene til aksjonærer og deres representanter for å opprettholde et aksjonærregister, for å organisere og administrere aksjonærmøter, for å fastslå aksjonærenes identitet og rett til å delta på møter, til å kommunisere med dem og utbetale utbytte og til å gjennomføre andre aksjetransaksjoner.

Vi behandler personopplysningene til andre investorer og analytikere for å oppfylle våre berettigede interesser og til å kommunisere med dem.

Vi må behandle personopplysningene til aksjonærer og deres representanter, andre investorer og analytikere for å kunne tilby informasjon til publikum som et selskap notert på Nasdaq Helsinki Ltd.

Vi behandler aksjonærers, andre investorers and analytikeres personopplysninger for å oppfylle våre juridiske forpliktelser. Vi kan også behandle dataene for å oppfylle våre berettigede interesser for å utlevere informasjon til publikum, til å kommunisere med, samt til å opprettholde gode forhold til våre aksjonærer, investorer og analytikere. I tillegg kan vi behandle data når vi sender invitasjoner til våre arrangementer, sender nyhetsbrev, sender informasjon om vår virksomhet og annen markedskommunikasjon.

Kategorier av personopplysninger vi samler inn

Aksjonærer

  • Kontaktinformasjon, for eksempel navn, adresse, telefonnummer, e-postadresse.
  • Annen informasjon, for eksempel fødselsnummer eller annen identifiserende informasjon, nasjonalitet, antall aksjer og stemmerettigheter, bokføringskontonummer.
  • Annen informasjon vedrørende aksjonærers deltakelse på generalforsamlinger (inkludert informasjon om fullmakter).

Aksjonærers fullmektiger og assistenter

  • Navn på representanter og fødselsnummer, når representanten representerer aksjonæren i aksjonærmøter.
  • Vi samler også inn personopplysningene fra fullmektiger og fra representanter som representerer/assisterer aksjonærer på generalforsamlinger.

Andre investorer og analytikere

  • Kontaktinformasjon, for eksempel navn, adresse, telefonnummer, e-postadresse.

Hvor vi samler inn personopplysningene fra

Vi samler inn personopplysninger fra:

  • Aksjonærer. Vi mottar informasjon som oppgis til oss i varsler om større aksjeposter (flaggvarsler).
  • Euroclear Finland Oy (nasjonal verdipapirsentral). Euroclear Finland Oy vedlikeholder Citycons aksjonærregister og er den tekniske leverandøren av databasen vi bruker til å administrere aksjonærinformasjonen.
  • Andre investorer og analytikere eller selskaper de representerer.

Utlevering av personopplysninger og kategorier av mottakere av opplysningene

Informasjon angående større aksjonærer, varsling om flagging og en liste over analytikere som følger Citycon, finnes på nettstedet vårt www.citycon.com.

Vi er pålagt å oppgi listen over aksjonærer til alle som ber om det, i henhold til gjeldende lover og forskrifter (publisering av aksjonærregister).

Vi kan dele enkelte data med myndighetene der vi har en juridisk forpliktelse til å gjøre det.

Vi kan også overføre data til tjenesteleverandørene som behandler dataene på våre vegne og i samsvar med instruksene våre.

Overføring av personopplysninger utenfor EU/EØS

I noen tilfeller kan personopplysninger overføres utenfor EU/EØS (f.eks. i forbindelse med tjenesteleverandører) i samsvar med gjeldende personvernlover og -forskrifter, og i henhold til begrensningene fastsatt i nevnte lover og forskrifter.

Oppbevaringstid

Data oppbevares så lenge det er nødvendig i henhold til Citycons juridiske forpliktelser som et selskap notert på Nasdaq Helsinki Ltd. I tillegg kan data oppbevares så lenge det er nødvendig for Citycons reelle interesser og behov for behandling.

Forretningspartnere og andre interessenter

Formål og juridisk grunnlag for behandling

Vi behandler våre forretningspartner- og annen interessentdata med formål om å oppfylle kontrakter, samarbeid og administrasjon av forretningsforhold, utvikle virksomheten, organisere og utvikle våre forretningsfunksjoner, for kommunikasjon og samarbeid, sending av nyhetsbrev, organisering av arrangementer, betalinger og deres tilsyn, regnskap og andre juridiske forpliktelser.

Vi behandler opplysningene til våre leverandører og interessenter for å oppfylle våre berettigede interesser som følger av kontrakts- og samarbeidsforholdet vi har med selskapet personen representerer. Vi kan også behandle dataene til våre potensielle forretningspartnere og andre interessenter som vi ennå ikke har inngått en avtale med, eller som vi ennå ikke har et klientforhold med. I slike tilfeller er behandlingen basert på vår berettigede interesse i å undersøke og forstå våre potensielle partnere og interessenter, til å kommunisere med dem og utvikle vår kunnskap om kunder og markedsføring.

Kategorier av personopplysninger vi samler inn

Vi samler inn kontaktinformasjon, for eksempel navn, telefonnummer, e-postadresse og tittel, informasjon om selskapet den registrerte representerer, samt den registrertes ansvarsområde og informasjon knyttet til administrering av samarbeidet som beskrevet over (f.eks. organiserte møter).

Hvor vi samler inn personopplysningene fra

Vi samler inn personopplysninger fra forretningspartneren og interessentrepresentanter.

Utlevering av personopplysninger og kategorier av mottakere av opplysningene

Vi kan utlevere forretningspartner- og interessentdata innenfor Citycon-konsernselskaper, og der vi har en juridisk forpliktelse til å gjøre det, til myndighetene.

Vi kan også overføre data til tjenesteleverandørene som behandler dataene på våre vegne og i samsvar med instruksene våre.

Overføring av personopplysninger utenfor EU/EØS

Personopplysninger kan overføres utenfor EU/EØS i samsvar med gjeldende personvernlover og -forskrifter, og i henhold til begrensningene fastsatt i nevnte lover og forskrifter.

Enkelte av Citycons tjenesteleverandører kan befinne seg utenfor EU/EØS, deriblant USA.

Når personopplysninger overføres til et land utenfor EU/EØS som ikke garanterer et tilstrekkelig nivå med databeskyttelse, tar vi i bruk passende sikkerhetstiltak, for eksempel EU-kommisjonens generelle kontraktsbestemmelser og når nødvendig, benytter ytterligere sikkerhetstiltak, i samsvar med gjeldende personvernlovgivning og forskrifter.

Oppbevaringstid

Vi oppbevarer personopplysningene så lenge samarbeidsforholdet varer. Når samarbeidsforholdet avsluttes, oppbevarer vi dataene så lenge personopplysningene er nødvendige for Citycons reelle behov, samt for de juridiske og lovmessige kravene Citycon er underlagt, eller ved mangel på gjeldende lovmessige krav, i maksimum 24 måneder.

 

Databeskyttelse

Citycon har gjennomført tekniske og organisatoriske tiltak for å begrense tilgang til personopplysningene selskapet oppbevarer, og å beskytte de mot tap, utilsiktet ødeleggelse, misbruk og ulovlig endring. Tilgang til personopplysninger er begrenset til enkeltpersoner (Citycons ansatte og tjenesteleverandører) som trenger tilgang til opplysningene for formålene den ble samlet inn for.

Hvis personopplysninger overføres til et land utenfor EU/EØS som ikke garanterer et tilstrekkelig nivå med databeskyttelse, tar vi i bruk passende sikkerhetstiltak, for eksempel EU-kommisjonens generelle kontraktsbestemmelser og når nødvendig, benytter ytterligere sikkerhetstiltak, i samsvar med gjeldende personvernlovgivning og forskrifter.

Dine rettigheter

Rett til å protestere

Basert på situasjonen du befinner deg i, har du rett til å protestere mot profilering og annen behandling i situasjoner der vi behandler dine personopplysninger basert på våre berettigede interesser. Disse situasjonene kan for eksempel være sending av nyhetsbrev eller invitasjoner til arrangementene våre vi antar du er interessert i, for eksempel basert på ditt selskaps virksomhetsområde.

Direkte markedsføring

Du har rett til å når som helst protestere mot direkte markedsføring uten kostnad. Du kan gjøre dette ved å ta kontakt med Citycon.

Rett til innsyn

Du har rett til å få informasjon om personopplysningene dine som behandles, samt til å få en kopi av slike opplysninger.

Rett til å kreve retting, sletting eller begrensning av behandling av personopplysninger

Du har rett til å be om at vi retter uriktige opplysninger om deg. Du kan også be om at vi sletter enkelte opplysninger om deg eller be om at behandlingen begrenses med grunnlag i lov.

Rrett til å trekke tilbake samtykke

For at et samtykke skal være gyldig i de tilfellene der behandlingen er basert på samtykke, må det kunne trekkes tilbake. Du har rett til å kunne utføre en slik tilbaketrekking når som helst.

Rett til dataportabilitet

I den utstrekning du har gitt oss opplysninger som behandles basert på ditt samtykke, har du rett til å få utlevert slik informasjon i et maskinlesbart format, samt rett til å overføre slike data til en annen behandlingsansvarlig.

Rett til å klage til en tilsynsmyndighet

Du har rett til å levere en klage til den gjeldende tilsynsmyndigheten, hvis du er av den mening at vi ikke har overholdt databeskyttelsesforskriftene som gjelder vår virksomhet.

Hvordan du kan kontakte oss og utøve rettighetene dine

Hvis du har spørsmål vedrørende beskyttelse av dine personopplysninger i vår databehandlingsvirksomhet, eller du ønsker å utøve rettighetene dine, kan du kontakte oss på privacy@citycon.com.

Citycons Personvern, Eero Nurmilaukas, Piispansilta 9 A, 02230 Espoo, Finland, +358 20 766 4529, eero.nurmilaukas@citycon.com.

Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen fra tid til annen for å gjenspeile endringer i vår virksomhet og/eller gjeldende lovgivning. Eventuelle endringer vil bli publisert her.