GDPR – vad händer nu?

GDPR trädde i kraft den 25 maj 2018. Ingen kommer undan dess tillämpning, inte heller bostadsrättsföreningar.

Varför GDPR?

Alla företag berörs av GDPR, och som konsument har du översköljts av diverse godkännanderutor och informationstexter om hur dina personuppgifter behandlas. Det kan tyckas onödigt och överdrivet vid första anblick, men om man tänker ett steg till inser man att förordningens syfte är gott. Ingen ska samla på sig för mycket personinformation i onödan – företag eller andra som registrerar personuppgifter ska inte samla in för mycket information, informationen ska vara nödvändig och relevant och inte heller sparas när den inte längre behövs. I Sverige har vi haft en tradition av att samla in väldigt mycket personuppgifter, inte sällan utan närmare tanke på om informationen ens behövs. Detta gäller inte minst personnummer. 

Vilka personuppgifter finns i en Brf

En bostadsrättsförening behandlar personuppgifter dagligen, på en mängd sätt och vis. Föreningen för en medlemsförteckning, lägenhetsförteckning, röstlängder till stämma, närvarolista på stämma, adressregister, kanske nyckeltaggar till tvättstuga, kölistor, styrelseprotokoll, störningsärenden, uppgifter om andrahandsupplåtelse, kontrolluppgifter till Skatteverket om arvoden, betalningshistorik med mera.

Som personuppgifter räknas inte bara namn och personnummer utan även adress, lägenhetsnummer, kontaktuppgifter, ljudinspelningar, fotografier, uppgifter om störningar och all annan information som kan knytas till en enskild individ.  

Vem är ansvarig?

Även om uppgifterna sköts av en förvaltare eller liknande är det föreningen som är personuppgiftsansvarig och därmed skyldig att se till att dataskyddslagstiftningen följs. Det räcker inte att följa förordningen, föreningen är även skyldig att kunna visa hur man följer förordningen.

Vid en granskning måste föreningen kunna visa att den lämnat information till medlemmarna om behandlingen av personuppgifter på ett adekvat sätt, att personuppgifterna skyddas på ett lämpligt sätt och att det finns dokumenterade interna riktlinjer för hanteringen av personuppgifter.

Om föreningen inte kan visa detta riskerar man att drabbas av mycket höga böter. Sanktionsavgiften kan vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Integritetsskyddsmyndigheten har redan påbörjat granskningen av vissa branscher och det finns ingen anledning att tro att fastighetsbranschen inte kommer på tur. 

Hur kommer ni igång?

Så, har din förening ännu inte börjat arbetet med GDPR-säkring är det hög tid. Det första föreningen bör göra är att göra en kartläggning av vilka personuppgifter föreningen hanterar: vilka typer av uppgifter, vilken kategori, är de särskilt integritetskänsliga, lämnas de till extern part, hur länge sparas de och så vidare.

Vidare bör en informationstext sammanställas om hur personuppgifterna behandlas. Ni bör också se till att ni har interna rutiner för arbetet med personuppgifter – både det löpande arbetet och för det fall att en personuppgiftsincident uppstår. En personuppgiftsincident kan till exempel uppstå om föreningen får inbrott och blir av med en dator eller en mobiltelefon med personuppgifter.

Behöver ni hjälp? 

Om ni i er förening ännu inte kommit igång med GDPR-arbetet och behöver hjälp erbjuder Riksbyggen ett startpaket. Startpaketet innehåller bland annat kvalitetssäkrade mallar, policies och riktlinjer som föreningen kan anpassa samt e-learning (en webbaserad utbildning). Kontakta Riksbyggen för närmare information om innehållet. 

I RB-ledamotens uppdrag ingår att stötta föreningens styrelse så att arbetet sker effektivt och korrekt och det gäller även GDPR-efterlevnad. Uppdraget innebär inte att RB-ledamoten tar ett större ansvar för arbetet med GDPR, utan det sker på lika villkor som övriga i styrelsen. 

Kvalitetssäkrade mallar, policies och riktlinjer

Mallar, policies och riktlinjer har tagits fram och kan anpassas efter er förenings behov. Mer information finns att läsa i skriften "information om GDPR" som finns publicerad på Mitt Riksbyggen

I vår strävan att stötta våra kunder inför GDPR har Riksbyggen tagit fram en mall för personuppgiftsbiträdesavtal som inkluderar en redogörelse för vilka personuppgiftsbehandlingar som blir aktuella vid köp av viss tjänst.

Personuppgiftsbiträdesavtalet ersätter avsnittet i förvaltningsavtalet om personuppgiftshantering enligt PuL samt underlättar för er förening att besvara frågor från medlemmar gällande vilka personuppgifter som behandlas av Riksbyggen.