Vad är en personuppgift?
En personuppgift är allting som kan kopplas till en levande person. Inte bara namn, personnummer och adress utan även bilder kan vara personuppgifter, om de går att knyta till en person.
GDPR och Dataskyddsförordningen
GDPR är en EU-förordning som gäller i alla EU:s medlemsländer. På svenska kallas GDPR Dataskyddsförordningen. GDPR och Dataskyddsförordningen är alltså samma sak.
Hantering av en personuppgift
Så snart du hanterar en personuppgift är det en behandling som träffas av GDPR. Det kan röra sig om insamling eller registrering, organisering eller lagring, bearbetning eller ändring på annat sätt. Även framtagning, läsning, användning, utlämning och spridning, radering eller förstöring av personuppgifter är olika typer av behandling av personuppgifter. Som ni hör är det mesta en behandling av personuppgifter.
Personuppgiftsansvarig och personuppgiftsbiträde
Alla som behandlar personuppgifter träffas av GDPR. Både Riksbyggen och alla bostadsrättsföreningar är skyldiga att följa GDPR.
Den som hanterar personuppgifterna kallas personuppgiftsansvarig. Hanterar man personuppgifter för någon annans räkning är man personuppgiftsbiträde. Riksbyggen är personuppgiftsbiträde för våra bostadsrättsföreningar i och med det förvaltningsavtal som föreningarna har tecknat med Riksbyggen. Då har Riksbyggen personuppgifterna åt föreningarna.
GDPR blir ofta missförstådd, både vad man får göra och vad man inte får göra. GDPR säger inte att man inte får använda personuppgifter överhuvudtaget, behövs de ska de självklart få användas. Man får ha namnlistor i trapphus, man får skicka ut medlemsbrev, man får publicera stämmoprotokoll på Mitt Riksbyggen och så vidare.
För att följa GDPR måste man kort sagt:
- följa de grundläggande principerna i GDPR
- se till att behandlingen har en laglig grund och
- informera de registrerade om hanteringen.
Grundläggande principer
I GDPR finns vad man kallar grundläggande principer, de är själva grunden i förordningen. Principerna går i korthet ut på att det måste finnas en laglig grund för behandlingen, dvs. ett stöd för behandlingen i GDPR. Vidare får man bara samla in uppgifter för just de syften som angivits. Man får heller inte behandla fler uppgifter än vad som behövs – vill vi ha någons mailadress behöver vi inte personnumret också. Man får inte samla in uppgifter bara för att de kan vara bra att ha någon gång i framtiden.
Förutom att inte använda oss av för många uppgifter måste vi också se till att uppgifterna stämmer, och ha rutiner för att snabbt kunna ändra eller radera uppgifter om det blir fel.
Föreningen får inte spara uppgifterna längre än de behövs. Det kan förstås finnas anledningar att spara uppgifter en längre tid ibland, det kan vara att de behövs till bokföring eller uppgifter som det finns andra lagkrav på att ha; till exempel uppgifterna i lägenhets- och medlemsförteckningen.
Laglig grund för behandlingen
För att få behandla personuppgifter krävs en laglig grund för behandlingen, annars får ni överhuvudtaget inte göra det ni tänkt. Det finns sex rättsliga grunder: Samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning och allmänt intresse samt grundläggande intresse. De två sista: myndighetsutövning och grundläggande intresse är inte intressanta för en bostadsrättsförening.
Föreningen sysslar inte med myndighetsutövning, och grundläggande intresse handlar om när man måste behandla personuppgifter för en person som inte kan lämna samtycke, till exempel för att hen är medvetslös, det är i princip bara inom sjukvården det är aktuellt. Vi ska koncentrera oss på de fyra första grunderna: Samtycke, avtal, intresseavvägning och rättslig förpliktelse.
Samtycke
Samtycke kan låta smidigt men är sällan det. Detta eftersom personen när som helst kan ändra sig, det måste vara helt frivilligt vilket gör att det inte funkar om personen är i underläge. En bostadsrättshavare kan ses som den svagare parten i förhållande till föreningen. Grunden samtycke är framförallt lämplig när det handlar om nyhetsbrev och andra mailutskick.
Avtal
Avtal är en bra och tydlig grund. Om den registrerade har ett avtal eller är på väg att ingå ett avtal med den personuppgiftsansvariga är avtalet stödet för behandlingen. En förening kan exempelvis ha garageavtal med bostadsrättshavarna. Det säger sig självt, att vill en bostadsrättshavare hyra en garageplats av föreningen måste föreningen få lov att registrera bostadsrättshavarens namn och adress och så vidare för att kunna sköta hyreshanteringen.
Intresseavvägning
Intresseavvägning är nästa grund, den kan vara lite knepigare. Då handlar det om att bostadsrättsföreningen ska ha ett intresse av att behandla personuppgifterna som väger tyngre än den registrerades – oftast den boendes – intresse av att skydda sin integritet.
En intresseavvägning kan göra att en bostadsrättsförening som har haft stora problem med inbrott och skadegörelse i källarutrymme får lov att bevaka källaren, åtminstone nattetid, utan att få samtycke eller att ha ett avtal med de boende om det.
Däremot får samma förening inte bevaka trapphuset, så att man filmar vem som går in i vilken lägenhetsdörr och vilken tid och så vidare. Det skulle vara för känsligt för de boendes integritet.
Rättslig förpliktelse
Den sista grunden som är aktuell för oss är rättslig förpliktelse. Det innebär att det finns lagar eller regler som gör att vi måste behandla uppgifterna.
Bostadsrättsföreningen är skyldig att följa bokföringslagen och penningtvättslagen. Vidare måste föreningen upprätta medlemsförteckningar och lägenhetsförteckningar för bostadsrättshavarna. Det går alltså bra att ange personuppgifter i dessa fall.
I samband med att föreningarna håller sina årsstämmor brukar det alltid dyka upp frågor om stämmoprotokoll och röstlängder och liknande, om det är okej att ange namn i dessa. Det är alltså okej med stöd av grunden rättslig förpliktelse.
Står det i en lag att man ska – eller får – upprätta en röstlängd, så får man det. Då behöver man inte ytterligare samtycke från den registrerade. Däremot måste ni fortfarande tänka på att bara använda uppgifterna för det ändamål som anges.
Ska namnen på de boende anges i röstlängden vid stämman är en sak – att publicera namnuppgifterna på en helt öppen webbsida på nätet, om föreningen har en egen hemsida, är en annan sak.
Mitt Riksbyggen är inte riktigt samma sak eftersom det bara är föreningarna som har tillgång till Mitt Riksbyggen, vem som helst kan inte gå in och läsa där. Men man måste ändå alltid tänka efter hur man har samlat in uppgifterna, med vilket stöd och varför, innan man kan ta beslut om ytterligare spridning av uppgifterna.
Sammanfattning
Detta var en allmän genomgång av GDPR. För att sammanfatta så måste vi hitta stöd för vår behandling i GDPR – för en bostadsrättsförening gäller oftast avtal, intresseavvägning eller rättslig förpliktelse som grund, men ibland gäller också samtycke.
Oavsett vilken grund ni använder gäller de allmänna principerna – berätta varför ni ska ha personuppgifterna, använd inte fler uppgifter än vad ni behöver, använd dem bara på det sätt ni har berättat om, spara dem bara så länge som behövs, och ha tydliga rutiner för gallring.
Vill du veta mer om Dataskyddsförordningen och GDPR?
Läs gärna på Integritetsskyddsmyndighetens, IMY:s hemsida. IMY är tillsynsmyndighet i Sverige och kontrollerar att GDPR följs. Det finns många intressanta avgöranden och information, inte minst när det gäller bostadsrättsföreningar, på IMY:s hemsida.