Det här bör din bostadsrättsförening tänka på vid hantering av personuppgifter enligt GDPR
Inom bostadsrättsföreningen hanteras personuppgifter i många olika sammanhang. Det kan röra sig om allt ifrån uppgifter om medlemmar, andrahandshyresgäster och lokalhyresgäster, till uppgifter om tidigare medlemmar och styrelseledamöter. Dagens digitala värld har ökat möjligheten att dela personuppgifter, vilket medfört ett större ansvar kring hanteringen av dessa. Enligt GDPR (dataskyddsförordningen) är en bostadsrättsförening ansvarig för att de personuppgifter som hanteras inom ramen för föreningens verksamhet, lever upp till de krav som dataskyddsförordningen uppställer. Nedan följer därför några tips på vad styrelsen i en bostadsrättsförening bör tänka på vid hanteringen av personuppgifter.
Se över föreningens personuppgiftsbehandling och upprätta rutiner
Den som är personuppgiftsansvarig (bostadsrättsföreningen) ska enligt GDPR ha vetskap om de personuppgifter som hanteras inom föreningen. Därav är det bra att föra ett register över föreningens personuppgiftsbehandling. Med ett register menas en lista med kategorier av enskilda vars personuppgifter föreningen hanterar. Registret behöver därmed inte vara detaljerat utan kan till exempel återge vems personuppgifter du behandlar. Är det medlemmar, hyresgäster eller anställda? Det kan även vara bra att se över kategorierna av personuppgifter, är det till exempel mailadresser, postadresser och personnummer?
Se även över vem eller vilka som har tillgång till informationen och om den lämnas ut till någon. Vidare är det bra att sätta upp rutiner kring var personuppgifterna förekommer och specificera vad informationen används till.
Gallring av personuppgifter
Inom bostadsrättsföreningen bör du även se över om du har rätt att spara de personuppgifter som föreningen hanterar i dagsläget. Bostadsrättsföreningen får nämligen endast lagra uppgifter som har ett berättigat syfte. Se därför till att rensa bort gammalt material som du längre inte använder. Gallring av uppgifter kan ske antingen genom att uppgifterna förstörs eller att uppgifterna avidentifieras genom anonymisering. Tänk på att det inte alltid räcker med att radera en fil i vilken personuppgifter sparas, eftersom uppgifterna fortfarande kan komma att återskapas. Se även över föreningens fysiska pärmar och se till att gallring sker genom att till exempel strimla papper eller liknande. Det är således en god idé att ha tydliga gallringsrutiner där det regelbundet görs en kontroll över de personuppgiftsbehandlingar bostadsrättsföreningen hanterar.
Medlemsförteckning och medlemsinformation
En grundregel är att föreningen ska ha ett berättigat ändamål för att kunna behandla personuppgifter. Det måste alltså finnas en laglig grund för att få hantera personuppgifterna. Bostadsrättslagen uppställer vissa formkrav kring vad som ska framgå av lägenhetsförteckningen, vilket innebär att det finns en laglig grund att få registrera dessa uppgifter.
När det rör medlemsförteckningen är det viktigt att denna inte innehåller övriga personuppgifter utöver vad som framgår av lagstiftningen. Eftersom lagen uppställer krav på vilka uppgifter medlemsförteckningen ska innehålla, föreligger en så kallad laglig grund för att få registrera dessa uppgifter. De uppgifter som får framgå av en medlemsförteckning är således uppgifter om medlemmens namn, postadress samt information om den bostadsrätt som medlemmen är bosatt i. Medlemsförteckningen ska – till skillnad från lägenhetsförteckningen – hållas tillgänglig för den som vill ta del av den.
För därför endast in de uppgifter som behövs för föreningens verksamhet och ändamål. Även om utomstående kan begära att ta del av medlemsförteckningen finns det ingen skyldighet för styrelsen att lämna ut en kopia. Erbjud istället att den kan läsas fysiskt eller på en dataskärm digitalt. Anledningen till att bostadsrättsföreningen bör vara extra försiktig med vilka uppgifter som framgår av medlemsförteckningen är just för att skydda att känsliga personuppgifter inte sprids. Vidare är det viktigt att skyddade uppgifter i medlemsförteckningen maskas eller anonymiseras. Det kan till exempel röra sig om personer som har skyddad identitet.
Personuppgiftspolicy
Det är viktigt att föreningen sätter upp en rutin för personuppgiftshanteringen. Varje bostadsrättsförening bör upprätta en personuppgiftspolicy som reglerar insamlingen och gallringen av personuppgifterna. I denna ska det bland annat framgå vad, varför och hur länge bostadsrättsföreningen lagrar personuppgifter. Personuppgiftspolicyn ska bland annat omfatta både medlemmar, andrahandshyresgäster, anställda och förtroendevalda, beroende på hur organisationen inom just er förening ser ut. Det är viktigt att föreningen har en personuppgiftspolicy som täcker information om vilka ändamål personuppgifterna används till, men även vilka GDPR-rutiner som gäller inom bostadsrättsföreningen.
Personuppgiftsbiträdesavtal
För att bostadsrättsföreningen ska leva upp till de krav som GDPR ställer måste det även finnas så kallade personuppgiftsbiträdesavtal. Ett personuppgiftsbiträde är en person, en organisation eller ett företag som behandlar personuppgifter för bostadsrättsföreningens räkning. Ett personuppgiftsbiträdesavtal är alltså ett avtal med alla företag som behandlar personuppgifter för föreningens räkning. Ett exempel kan vara avtal med leverantörer och förvaltare.
Tydliga policys minimerar risken för sanktionsavgifter och skadestånd
Kom ihåg att en tydlig regelefterlevnad minskar risken för att föreningen ska drabbas av sanktionsavgifter. Föreningen kan även riskera att få betala skadestånd till en eventuell enskild som drabbats av en sådan överträdelse. Ett tips är att utse en ledamot i styrelsen som ska ha särskilt ansvar för hanteringen av personuppgifter och dess rutiner när det rör till exempel gallring av personuppgifter.
Kontakt
Har du frågor eller vill ha hjälp med att upprätta en personuppgiftspolicy inom din förening är du välkommen att höra av dig till Nabos jurister på juridik@nabo.se eller också kan du ringa oss direkt. Vill du veta mer om vad som gäller om kamerabevakning inom bostadsrättsföreningen? Läs mer här.
Anne von Perner, Fastighetsjurist
E-post: anne.von.perner@nabo.se
Tel: 073 068 76 05
