GDPR även en fråga för brf

Den 25 maj träder den nya personuppgiftslagen GDPR i kraft. Då är det viktigt att styrelsen i bostadsrättsföreningen har påbörjat arbetet med att inventera de personuppgifter som föreningen behandlar. Här följer några enkla tips på hur man kommer till skott.

Annons:

Annons:

Annons:


Bra att veta redan från början är att det är styrelsen som är personuppgiftsansvarig. Därför är det viktigt att lämna tydlig information till medlemmarna så att de känner till vilka uppgifter som finns registrerade. Detta kan med fördel vara en stående punkt i förvaltningsberättelsen. Men informera även medlemmarna med infolappar i brevlåda eller trapphus. Formuleringen bör klargöra att föreningen har ett register enligt gdpr:s regler, och att syftet är att kunna genomföra aktuella uppdrag mellan förening och medlem.

Om styrelsen inte har kunskapen att formulera en sådan text är det en god idé att ta hjälp av en jurist så att det blir rätt och heltäckande.

Om föreningen lagt ut förvaltningen på en extern leverantör ska styrelsen begära ett personuppgiftsbiträdesavtal av förvaltaren.

Sedan då, hur går man vidare rent praktiskt i det dagliga arbetet? Börja med att inventera de register där personuppgifter behandlas. En gyllene regel är att uppgifter som inte längre är relevanta ska raderas.

När det gäller befintliga medlemmar krävs inga nya avtal. De gamla upplåtelse- och överlåtelseavtalen gäller, eftersom man knappast kan skriva på ett avtal utan att dela med sig av sina personuppgifter.

När det gäller styrelseprotokoll och medlems- och lägenhetsförteckningen så behöver inte dessa raderas. Detta omfattar även uppgifter om tidigare bostadsrättsinnehavare.

Om det dyker upp löpande situationer som kräver en tillfällig hantering av personuppgifter, så som klagomål om störningar eller köplatser för parkeringsplatser, ska all information förvaras säkert i en dator eller i molnet – med lösenord som byts ut med jämna mellanrum och som bara styrelsemedlemmarna känner till. När situationer av den här typen uppstår ska uppgifterna raderas när ärendet är avslutat.

Tänk även på mejl-inboxen kan vara ett register, både föreningens och din privata. Där behandlas ofta ärenden och det är lätt hänt att man glömmer bort eller har dålig koll på vad man egentligen har skrivit där. Gå därför igenom och radera allt som är avslutat.

Det kan man förövrigt se som en gyllene regel: allt som inte måste sparas ska raderas när det inte längre är aktuellt.

Naturligtvis är GDPR mycket mer än det som nämnts här. Men allt behöver inte göras på en gång. Det viktiga är att sätta i gång med arbetet, och att man tar kontroll över sina register. Mycket handlar som sagt om sunt förnuft och kom ihåg att GDPR:s syfte är ”att öka den enskildes rätt till sin information och integritet”. Och om tveksamhet uppstår, ta hellre kontakt med jurist eller förvaltare för att räta ut frågetecknen än att gissa dig fram.

Läs även om den vägledning som SABO och Fastighetsägarna i samarbete med Studentbostadsföretagen tagit fram:

 

Annons: