Den 25 maj i år träder det nya EU-direktivet General Data Protection Regulation (GDPR) i kraft och ersätter personuppgiftslagen (PUL). Dataskyddsförordningen avser att stärka integritetsskyddet för EU medborgare genom att reglera hur personuppgifter används och lagras. GDPR påverkar alla myndigheter, företag och organisationer i EU/EES – inklusive bostadsrättsföreningar. Denna artikel ger styrelser i bostadsrättsföreningar en överblick över vad de måste tänka på och åtgärda.
GDPR ersätter både PUL som verkat i Sverige sedan 1998 och EU:s dataskyddsdirektiv från 1995. Majoriteten av det regelverk som sedan tidigare funnits genom PUL kommer behållas i GDPR. Därtill stärker dataskyddsförordningen individens rättigheter och skydd medan den som hanterar personuppgifter får ökade skyldigheter. En förening äger inte längre uppgifter om en person, utan kan endast använda uppgifterna under vissa förutsättningar. GDPR medför även hårda straff vid regelbrott. Vid en allvarlig vanskötsel av personuppgifter kan föreningen bötfällas antingen upp till 20 miljoner euro eller 4 procent av dess årliga omsättning. För en mindre allvarlig överträdelse halveras böterna.
All information som direkt eller indirekt kan förknippas med en person räknas som personuppgifter. Detta inkluderar exempelvis namn, personnummer, bilder, adress och e-postadress. Alla åtgärder som rör personuppgifter, såsom utlämning, lagring, användning eller insamling, klassas som personuppgiftsbehandling. Särskilt varsam bör man vara med känsliga personuppgifter, kopplat till hälsa, religion, politiska åsikter, etnicitet, fackföreningsmedlemskap eller sexualliv. Känsliga uppgifter bör undvikas till största möjliga mån då högre krav ställs på behandlingen utav dessa.
GDPR medför främst tre viktiga förändringar som påverkar bostadsrättsföreningar:
Som nämnt ovan får den enskilda individen mer makt över sina personuppgifter. Vid behandling av personuppgifter måste föreningen informera individen att uppgifterna registreras och i vilket syfte. Denna information ska framgå på ett tydligt vis. Personen i fråga måste även ge sitt samtycke, såvida det inte finns stöd i lag, till en personuppgiftsbehandling. GDPR ger även privatpersoner rätten att begära ut, ändra och radera samtliga personuppgifter som en förening har registrerat i dess namn.
Reglerna gällande personuppgifter i ostrukturerat material, såsom i löpande text på webbplatser eller i e-mail, blir även striktare genom GDPR. Liksom för all registrering av personuppgifter kommer ostrukturerad text kräva rättslig grund eller samtycke av individen.
Högre krav ställs även på informationssäkerhet. Vid en incident gällande personuppgifter, där uppgifterna oavsiktligt sprids eller skickas fel, måste föreningen rapportera incidenten inom 72 timmar både till tillsynsmyndigheten och de berörda individerna. Föreningarna måste även förbereda sig och skapa riktlinjer för hur sådana ärenden upptäcks, rapporteras och utreds.
Vad behöver bostadsrättsföreningar göra?
Bostadsrättslagen ger bostadsrättsföreningar rättslig grund att hantera vissa personuppgifter, då lagen kräver att att ett register förs över föreningens medlemmar. Bostadsrättsföreningar har även rätt att föra styrelseprotokoll och att registrera uppgifter som behövs till hyresavtal. Även om föreningen har laglig grund att registrera dessa personuppgifter måste föreningen enligt lag informera medlemmarna att deras personuppgifter hanteras och till vilken nytta. Andra personuppgifter får föreningen enbart spara personuppgifter om samtycke givits från de berörda personerna.
Då uppgifter insamlade med samtycke under PUL inte nödvändigtvis uppfyller alla krav enligt GDPR, bör föreningens hantering av personuppgifter kontrolleras. Detta gäller särskilt för ostrukturerat material där kraven blir striktare. Föreningar måste granska vilka register över personuppgifter de har och hur de används, när dessa uppgifter senast kontrollerats och rensats samt till vilka uppgifterna utlämnas. Enligt lag får data enbart samlas in till det specifika ändamålet, vilket innebär att uppgifterna måste vara relevanta och nödvändiga för att sparas. Uppgifter om bostadsrättshavare som inte är relevant för föreningens verksamhet samt uppgifter om individer som lämnat föreningen måste raderas.
Föreningen måste även skapa en policy över vilka styrelsemedlemmar som har tillträde till och rätt att behandla personuppgifter. Enligt GDPR måste den personuppgiftsansvarige veta hur föreningen behandlar personuppgifter. I detta fall är bostadsrättsföreningen personuppgiftsansvarig men en styrelsemedlem kan exempelvis utses som ansvarig. GDPR kräver även att den personuppgiftsansvarige kan bevisa att föreningen följer regelverket, vilket en dokumenterad policy enkelt påvisar. Även säkerheten av personuppgifter bör ses över och förstärkas. Alla datorer med personuppgiftsregister bör exempelvis vara lösenordsskyddade.
I generella termer bör bostadsrättsföreningar:
- Säkerställa att styrelsemedlemmarna är medvetna om dataskyddsförordningen och vad som gäller framöver
- Inventera all personuppgiftsdata
- Granska befintliga medgivanden för att säkerhetsställa att de uppfyller kraven för GDPR eller inhämta nya samtycken
- Fastställa rutiner för hur personliga uppgifter registreras, hanteras och utlämnas
- Fastställa riktlinjer för när och hur personuppgifter uppdateras och raderas
- Se över säkerhetsåtgärder för behandling av personliga uppgifter
- Se över behörigheter till tillgång av personuppgifter
Allabrf och Bofokus kommer framöver att följa upp med mer praktiska tips för att GDPR-säkra er bostadsrättsförening.
bofokus 