GDPR – vad händer nu?

Vid det här laget har knappast någon missat den nya dataskyddsförordningen, GDPR, som trädde i kraft den 25 maj förra året. Ingen kommer undan dess tillämpning, inte heller bostadsrättsföreningar.

Varför GDPR?

Alla företag berörs av GDPR, och som konsument har du översköljts av diverse godkännanderutor och informationstexter om hur dina personuppgifter behandlas. Det kan tyckas onödigt och överdrivet vid första anblick, men om man tänker ett steg till inser man att förordningens syfte är gott. Ingen ska samla på sig för mycket personinformation i onödan – företag eller andra som registrerar personuppgifter ska inte samla in för mycket information, informationen ska vara nödvändig och relevant och inte heller sparas när den inte längre behövs. I Sverige har vi haft en tradition av att samla in väldigt mycket personuppgifter, inte sällan utan närmare tanke på om informationen ens behövs. Detta gäller inte minst personnummer. 

Med det sagt kan vi konstatera att oavsett vad man tycker om GDPR är förordningen här för att stanna. Ingen kommer undan dess tillämpning, inte heller bostadsrättsföreningar. 

Vilka personuppgifter finns i en Brf

En bostadsrättsförening behandlar personuppgifter dagligen, på en mängd sätt och vis. Föreningen för en medlemsförteckning, lägenhetsförteckning, röstlängder till stämma, närvarolista på stämma, adressregister, kanske nyckeltaggar till tvättstuga, kölistor, styrelseprotokoll, störningsärenden, uppgifter om andrahandsupplåtelse, kontrolluppgifter till Skatteverket om arvoden, betalningshistorik med mera.

Som personuppgifter räknas inte bara namn och personnummer utan även adress, lägenhetsnummer, kontaktuppgifter, ljudinspelningar, fotografier, uppgifter om störningar och all annan information som kan knytas till en enskild individ.  

Vem är ansvarig?

Även om uppgifterna sköts av en förvaltare eller liknande är det föreningen som är personuppgiftsansvarig och därmed skyldig att se till att dataskyddslagstiftningen följs. Det räcker inte att följa förordningen, föreningen är även skyldig att kunna visa hur man följer förordningen. Vid en granskning måste föreningen kunna visa att den lämnat information till medlemmarna om behandlingen av personuppgifter på ett adekvat sätt, att personuppgifterna skyddas på ett lämpligt sätt och att det finns dokumenterade interna riktlinjer för hanteringen av personuppgifter. Om föreningen inte kan visa detta riskerar man att drabbas av mycket höga böter. Sanktionsavgiften kan vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Datainspektionen har redan påbörjat granskningen av vissa branscher och det finns ingen anledning att tro att fastighetsbranschen inte kommer på tur. 

Hur kommer ni igång?

Så, har din förening ännu inte börjat arbetet med GDPR-säkring är det hög tid. Förordningen har redan varit i kraft nästan nio månader. Det första föreningen bör göra är att göra en kartläggning av vilka personuppgifter föreningen hanterar: vilka typer av uppgifter, vilken kategori, är de särskilt integritetskänsliga, lämnas de till extern part, hur länge sparas de och så vidare. Vidare bör en informationstext sammanställas om hur personuppgifterna behandlas. Ni bör också se till att ni har interna rutiner för arbetet med personuppgifter – både det löpande arbetet och för det fall att en personuppgiftsincident uppstår. En personuppgiftsincident kan till exempel uppstå om föreningen får inbrott och blir av med en dator eller en mobiltelefon med personuppgifter.

Behöver ni hjälp? 

Om ni i er förening ännu inte kommit igång med GDPR-arbetet och behöver hjälp erbjuder Riksbyggen ett startpaket. Startpaketet innehåller bland annat kvalitetssäkrade mallar, policies och riktlinjer som föreningen kan anpassa samt e-learning (en webbaserad utbildning). Kontakta Riksbyggen för närmare information om innehållet. 

Läs mer om GDPR här!