GDPR – 8 saker din brf måste åtgärda innan 25 maj

Den 25 maj 2018 träder en ny och mycket viktig lag i kraft. GDPR, General Data Protection Regulation, är en ny dataskyddsförordning som kommer att gälla i samtliga EU-länder. GDPR ersätter vår svenska personuppgiftslag (PUL) som då slutar att gälla. Många av lagkraven i GDPR finns redan i PUL, skillnaden är att GDPR är strängare och omfattar fler uppgifter. PUL hade även undantag som nu försvinner. Dessutom innebär GDPR att Datainspektionen har större möjligheter att bötfälla företag och organisationer som inte följer regelverket.

Har din förening inte sett över sin hantering av personuppgifter och anpassat den till GDPR så är det hög tid nu!

GDPR huvudsakliga syfte är att skydda den personliga integriteten.

GDPR reglerar lagring och hantering av personuppgifter och berör även bostadsrättsföreningar. Har din förening inte sett över sin hantering av personuppgifter och anpassat den till GDPR så är det hög tid nu. GDPR är mycket mer omfattande än många har insett. Det räcker med att ha en e-postkonversation med någon av medlemmarna sparad utan tillåtelse för att lagen ska anses vara överträdd. I en bostadsrättsförening kan det vara en snabb ruljangs på medlemmar och det är då viktigt att styrelsen har kontroll över sina register och snabbt och enkelt kan ändra och radera information.

Vad säger Bostadsrättslagen om lagring av personuppgifter?

Styrelsen i en bostadsrättsförening måste naturligtvis hålla reda på vilka som är medlemmar i föreningen och vem som äger vilken bostadsrätt. Detta regleras i Bostadsrättslagen och är ingenting som hindras av GDPR. Däremot omfattar Bostadsrättslagen inte övrig information och kontaktuppgifter till medlemmarna. Sådant som telefonnummer och e-postadresser till medlemmarna får alltså inte registerföras automatiskt.

Bostadsrättslagen 9 kap. Bestämmelser om föreningen m.m.

Medlems- och lägenhetsförteckning

8 § Styrelsen skall föra förteckning över bostadsrättsföreningens medlemmar (medlemsförteckning) samt förteckning över de lägenheter som är upplåtna med bostadsrätt (lägenhetsförteckning). Förteckningarna kan bestå av betryggande lösblads- eller kortsystem. De kan också föras med
automatisk databehandling eller på annat liknande sätt.

9 § Medlemsförteckningen skall för varje medlem innehålla uppgift om hans namn och postadress samt om den bostadsrätt som han har.

Styrelsen skall hålla förteckningen tillgänglig för den som vill ta del av den.

Enligt Bostadsrättslagen finns alltså inga skyldigheter att registerföra vare sig personnummer eller kontaktuppgifter utöver postadress. Vill styrelsen spara fler uppgifter, så är det GDPR som reglerar hur detta får göras.

Detta bör styrelsen göra innan GDPR träder i kraft

Inför att GDPR träder i kraft bör varje bostadsrättsföreningsstyrelse se över sina rutiner för lagring och hantering av personuppgifter samt annan information som gäller medlemmarna. Nedan listas de viktigaste frågorna varje brf-styrelse bör ställa sig:

1. Vilka register finns?

En bostadsrättsförening kan ha flera olika register där personuppgifter sparas. Medlemsförteckning, lägenhetsförteckning och kölista till parkeringsplats är vanligt förekommande. Styrelsen ska kunna presentera vilka register som finns och vad de innehåller, så det krävs helt enkelt ett register över föreningens register.

2. Var finns registren?

Schematisk bild över datalagring i molnet

Använder föreningen molntjänster för lagring? Då måste styrelsen säkerställa att leverantören har adekvat säkerhetsnivå.

Styrelsen måste säkerställa att registren är lagrade på ett säkert sätt så att de inte är åtkomliga för utomstående. Om bostadsrättsföreningen använder någon webbtjänst för lagring är det bra om servrarna finns i Sverige, eftersom överföring av uppgifter till tredje land bör begränsas. Om säkerhetsnivån är adekvat kan lagring dock ske på utländska servrar. På Datainspektionens webbplats finns en lista över vilka länder som anses ha en adekvat skyddsnivå. Även vissa leverantörers molntjänster, exempelvis Googles och Microsofts, har bedömts vara säkra att använda för lagring även om servrarna befinner sig utomlands.

3. Vilken information om medlemmarna finns i registren och finns det laglig grund för att spara uppgifterna?

Enligt bostadsrättslagen är styrelsen skyldig att före förteckning över namn, postadress och datum på tillträde så dessa uppgifter finns det laglig grund för att spara. Däremot finns det inte laglig grund för någon som helst annan personlig information. Inte heller kontaktuppgifter som e-postadress eller telefonnummer får sparas utan medgivande.

4. Om det finns uppgifter om medlemmarna som inte måste sparas enligt lag, har medlemmen gett sitt tillstånd till detta?

Många föreningar har register som innehåller kontaktuppgifter till medlemmarna, något som alltså inte längre kommer vara lagligt enligt GDPR. För att spara e-postadresser eller telefonnummer krävs medlemmens samtycke och samtycket är endast gällande om personen har fått information och därefter gjort ett aktivt val. Detta kan exempelvis göras genom underskrift på ett fysiskt formulär. Har ni redan medlemmarnas e-postadresser kan ni också begära in en bekräftelse via e-post. Det viktiga är att styrelsen kan visa att medlemmen har fått informationen om vilka uppgifter som sparas och hur de hanteras, och uttryckligen har givit sitt samtycke till detta.

5. Finns det rutiner för hantering av register med personuppgifter?

Styrelsen bör ha tydliga rutiner för registerhantering, så att en medlem kan begära ut, ändra och radera sina personuppgifter. Det är också viktigt att registren uppdateras omgående vid förändringar, som exempelvis när en medlem utträder ur föreningen, så att inaktuella uppgifter raderas.

6. Vem kommer åt informationen?

Styrelsen bör säkerställa att ingen utanför styrelsen kan komma åt informationen. Gemensamma inloggningar till webbtjänster och e-postkonto som styrelsen använder bör alltså ändras när en styrelseledamot avgår. Det bör också säkerställas att inga samarbetspartners heller har åtkomst till dessa utan styrelsens kontroll.

7. Har någon utomstående fått ta del av information ifrån registren?

Om bostadsrättsföreningen har avtal med utomstående som hanterar information om medlemmarna, exempelvis har en ekonomisk förvaltare, ansvarar styrelsen för hur information om medlemmarna hanteras av denne. Det krävs alltså att styrelsen ser till att även dessa register är uppdaterade och inte innehåller någon information om medlemmarna utöver vad lagen kräver, samt att information som inte längre är aktuell raderas ur registren. En sådan tredje part som hanterar uppgifter på uppdrag av föreningen kallas ”personuppgiftsbiträde” och styrelsen bör lämpligen se till att det finns ett så kallat personuppgiftsbiträdesavtal som reglerar hur denne hanterar uppgifter som kommer ifrån bostadsrättsföreningen.

8. Vilken information finns i e-postkommunikationen?

Styrelsen bör inte hantera frågor innehållande känsliga personuppgifter via e-post. Ofta sker felanmälan och liknande via e-post, och dessa e-postmeddelanden bör raderas efter att ärendet är hanterat. Ärenden gällande sådant som störningar, kreditupplysningar för godkännande av nya medlemmar mm bör helst hanteras på styrelsemötena. Om det är nödvändigt att kommunicera detta via e-post bör personuppgifterna anonymiseras.

Varje brf-styrelse bör vara vaksam på fler situationer som kan uppkomma

GDPR innebär en omfattande förändring. Genom att gå igenom ovanstående lista med frågor har styrelsen kommit långt i sitt arbete med anpassning till den nya lagen. Det är dock sannolikt så att varje brf-styrelse kommer få anledning över att fundera över fler situationer som kan beröras av GDPR. Därför finns det all anledning att alltid vara vaksam på om ett ärende som hanteras av styrelsen på ett eller annat sätt medför hantering av personuppgifter eller känslig information.

 

Malin Alstersjö
ma@sustend.se