Nu är det ett tag sedan EU:s dataskyddsförordning, det vi i dagligt tal kallar för GDPR, började gälla som lag i Sverige.
Denna lag omfattar även bostadsrättsföreningar, hyresvärdar och andra fastighetsbolag. Det innebär alltså att exempelvis styrelsen i en bostadsrättsförening måste se till att kraven som GDPR ställer efterlevs. Har ni koll på detta?
Vad är en personuppgift?
Definitionen enligt GDPR syftar till att fånga upp många olika typer av personuppgifter och är därför mycket bred. Begreppet ”personuppgifter” inkluderar inte bara namn och personnummer, utan även adresser, foton, lägenhetsnummer, anteckningar i medlemsförteckningen och fastighetsbeteckningar. Kortfattat omfattar begreppet i det här sammanhanget alla upplysningar som kan knytas till en identifierad eller identifierbar fysisk person.
Vad är en personuppgiftsbehandling?
GDPR är tillämplig på all behandling av personuppgifter och med sådan behandling avses bland annat insamling, behandling och lagring av personuppgifter. Detta gäller under förutsättning att behandlingen sker helt eller delvist automatiserat alternativt att uppgifterna ska ingå i manuella register. Det är viktigt att ha i åtanke att detta innebär att även de mest rutinartade sysslorna kan omfattas av GDPR.
När en styrelse i en bostadsrättsförening exempelvis uppdaterar medlemsförteckningen eller tar fram ett parkeringsavtal sker det alltså en personuppgiftsbehandling som omfattas av GDPR. Även namnlistor över bokning av tvättstugan, störningslistor och e-postmeddelanden kan innebära en personuppgiftsbehandling.
När får man behandla personuppgifter?
Personuppgiftsbehandling får inte ske hur som helst och det är den personuppgiftsansvariga som är ytterst ansvarig för att GDPR efterlevs. I det här sammanhanget är det bostadsrättsföreningen eller hyresvärden.
För att en personuppgiftsbehandling ska vara förenlig med GDPR behöver det finnas ett godtagbart syfte med behandlingen, det krävs alltså en rättslig grund. För en bostadsrättsförening handlar det främst om att behandlingen ska
(1) vara nödvändig för att fullgöra ett avtal med en enskild
(2) vara nödvändig för att fullgöra en rättslig förpliktelse
(3) vara baserad på samtycke från den enskilde eller
(4) grunda sig i att bostadsrättsföreningens intressen väger tyngre än den enskildes.
Vad ska vi tänka på när vi behandlar personuppgifter?
Förutom att personuppgiftsbehandlingen ska grunda sig i en rättslig grund behöver den personuppgiftsansvariga också säkerställa att behandlingen sker i enlighet med de principer som fastställs i GDPR. Bostadsrättsföreningen måste bland annat alltid ha ett ändamålsenligt syfte med behandlingen, genomföra behandlingen på ett säkert sätt, dokumentera alla åtgärder och inte samla in mer uppgifter än nödvändigt.
Är detta överväldigande? HSBs jurister kan hjälpa er!
De flesta bostadsrättsföreningar, hyresvärdar och andra fastighetsbolag behandlar personuppgifter regelbundet. Under hela perioden för behandlingen måste GDPR efterlevas och konsekvensen av en bristfällig behandling är inte bara en inskränkning av den enskildes personliga integritet utan även höga sanktionsavgifter för den personuppgiftsansvariga.
HSB som medlemsorganisation arbetar hårt för att vara ett tryggt stöd i bostadsrättsföreningens eget arbete. HSB värnar om att skydda allas personliga integritet och de tjänster som HSB erbjuder ska självklart ha en god regelefterlevnad.
