GDPR för föreningar

Bostadsrättsföreningen är personuppgiftsansvarig för de personuppgifter som föreningen hanterar. Det innebär ett ansvar att GDPR, det vill säga reglerna i integritetslagstiftningen, följs.

Reglerna i integritetslagstiftningen, eller GDPR som vi oftast säger, började gälla i maj 2018. De är anpassade efter dagens teknik och olika typer av personuppgifter som vi numera lämnar ifrån oss, ofta omedvetet. GDPR – General Data Protection Regulation – är anpassad efter de nya sätt som organisationer använder för att samla in information om människor och har kommit till för att skydda den enskildes integritet.

Lagstiftningen har skärpts i och med GDPR bland annat vad gäller att kunna visa skriftligt att reglerna följs, exempelvis med samtycken men också vad gäller information. En enskild person har rätt att få registerutdrag på vilka uppgifter som finns om den.

I bostadsrättsföreningen är det styrelsen som blir ytterst ansvarig att se till att GDPR efterlevs. Om den inte gör det kan föreningen få en varning, en reprimand eller behöva sluta med en viss personuppgiftshantering. I sista hand kan det bli fråga om sanktioner i form av böter.

Nödvändigt är ett nyckelord

I all hantering av personuppgifter är det lämpligt att fråga sig varför de ska föras, i vilken omfattning, på vilket sätt de samlas in och förvaras, hur länge samt vilka som har åtkomst till dem.

Personuppgifter får bara samlas och lagras i ett visst, i förväg, bestämt syfte och får inte användas i något annat syfte i efterhand. Föreningen måste ha stöd i lagen för att föra dem. Det är inte tillåtet att samla in fler uppgifter än nödvändigt, inte spara dem längre än nödvändigt och föreningen ska begränsa hur många personer som kommer åt uppgifterna.

Lagliga grunder för föreningen att föra uppgifter

De grunder föreningen kan stödja sig på för uppgiftshanteringen är lagar och förordningar, såsom att föreningen enligt lag måste föra både en lägenhets- och en medlemsförteckning.

Styrelsen kan inför ett avtalstecknande, och för avtalet i sig, behöva samla in personuppgifter och stödjer sig då på avtal som laglig grund.

Berättigat intresse är ytterligare en grund som föreningen kan stödja sig på. Då behöver styrelsen göra en så kallad intresseavvägning, det vill säga väga föreningens intresse att använda personuppgifterna mot den enskilde individens integritet. Ett exempel kan vara om styrelsen behöver lämna ut uppgifter till en entreprenör som ska utföra ett arbete åt föreningen. Då ligger det troligtvis även i medlemmarnas intresse att uppgifter lämnas ut.

Samtycke kan användas som laglig grund men bör övervägas noga eftersom det är den svagaste lagliga grunden. Ett samtycke kan nämligen alltid återkallas.

Fakta

Vad föreningen behöver göra

För att ha möjlighet att följa lagstiftningen behöver styrelsen göra följande:

  • Inventera – vilka personuppgifter hanterar styrelsen? Var finns de? Förvaras de säkert? Vem har tillgång till dem? Och, framför allt, varför behöver föreningen uppgifterna?
  • Informera – informera medlemmarna om vilka personuppgifter styrelsen för och varför, exempelvis de lagstadgade förteckningarna.
  • Samtycken – om styrelsen inhämtat samtycken för uppgifter utöver de lagstadgade behöver dessa ses över så att de lever upp till kraven i GDPR.
  • Upprätta personuppgiftsbiträdesavtal med de personuppgiftsbiträden föreningen anlitar, exempelvis ekonomiska och tekniska förvaltare. De ska innehålla instruktioner för hur dessa får behandla personuppgifterna och att det görs på ett säkert sätt.
  • Skapa rutiner för att informera, rensa, uppdatera och lämna registerutdrag. Även för nyckelhantering och byte av inloggningsuppgifter och koder. En rutin behövs också för incidentrapportering eftersom incidenter ska anmälas inom 72 timmar från det att styrelsen fått kännedom om en incident.

Känsliga personuppgifter

För känsliga personuppgifter ställs särskilt höga krav och utgångspunkten är att det är förbjudet. Känsliga uppgifter är enligt lagstiftningen uppgifter om hälsa, etniskt ursprung, politisk uppfattning, sexuell läggning, facklig tillhörighet eller religiös tro. I och med den nya lagstiftningen år 2018 adderades även genetiska och biometriska uppgifter till listan.

Säkerhet för uppgifterna

För att kunna gallra och radera onödiga personuppgifter rekommenderar Bostadsrätterna att föreningen skapar en gemensam e-postadress som samtliga i styrelsen har tillgång till och som all kommunikation går till och ifrån. Ta för vana att sortera inkommen e-post i mappar för att göra känsliga personuppgifter mer svåråtkomliga utifrån och lättare att gallra. Det kan till exempel handla om e-post om ombyggnationer kopplade till bostadsanpassning eller störningar på grund av psykisk ohälsa. Skicka heller inga känsliga personuppgifter via e-post utan kryptering.

Personers rättigheter

En person har rätt till information om vilka uppgifter föreningen har om den. Denne har också rätt till utdrag av uppgifterna i det medium som begärs. Personen har rätt till rättelse, radering (gäller dock inte medlem upptagen i medlems- och lägenhetsförteckning), begränsning av behandling och rätt att göra invändningar. Alla har också rätt att framföra klagomål vilket då görs till Integritetsskyddsmyndigheten, IMY. Skadeståndstalan för integritetsintrång kan också väckas av den enskilde.

Tips!

Ärenden med personuppgifter som kan behöva sparas

Trots allt behöver föreningen spara en del uppgifter för framtida behov eller möjliga rättsliga anspråk. Sådana situationer är exempelvis följande:

  • Ombyggnation av lägenhet – Vid ombyggnation av lägenhet bör uppgifter i e-post och ansökan sparas i lägenhetsförteckningen men ska raderas efter 10 år.
  • Störningsärenden – Anmälan av störningsärende via e-post bör sorteras in i särskild mapp. Rättelseanmaning för störning och störningsschema bör föras separat, och raderas då det inte längre är relevant att ha kvar uppgifterna, till exempel då medlem flyttat eller senast efter 10 år.
  • Felanmälningar – Vid felanmälningar kan  behöva sparas för statistik på återkommande fel och brister men personuppgifterna bör då anonymiseras.
  • Nya medlemmar – Förfrågningar om till exempel kreditupplysningar bör ske via telefon, krypterad e-post, digitala brevlådor eller portal. Kreditbedömningar äldre än tre månader ska raderas. Uppgifter om sena betalningar kan sparas i tre år.
  • Andrahandsuthyrning – Vid andrahandsuthyrningar. Ibland får styrelsen alla uppgifter om andrahandshyresgästen vid ansökan om uthyrning. Huvudregeln är att de ska raderas om ansökan avslås eller när uthyrningen upphört. Men om det finns skäl att tro att de behövs för rättsliga anspråk kan de sparas i 10 år, men ska sedan raderas.
  • Rättsliga anspråk – Vid möjliga rättsliga anspråk ska uppgifterna föras separat och inte i medlems- eller lägenhetsförteckningen och ska raderas så snart de inte är relevanta, exempelvis då medlemmen har flyttat eller senaste efter tio år.

Kamerabevakning

Eftersom personuppgifter inte bara är namn, adress och liknande utan även bilder och filmer reglerar dataskyddsförordningen även materialet som tas upp vid kamerabevakning. Läs mer om det under Kamerabevakning.

Elektroniska nyckelsystem

Många föreningar har elektroniska nyckelsystem och frågar sig då om det är acceptabelt med tanke på GDPR. Här är den lagliga grunden berättigat intresse. Medlemmarna måste få tydlig information om hur dessa personuppgifter behandlas och hur länge.

Ett personuppgiftsbiträdesavtal bör tecknas med företaget som tillhandahåller systemet. Uppgifterna ska inte sparas längre än nödvändigt och får inte användas för att exempelvis i efterhand spåra vem som stökat till i tvättstugan. Men de kan behöva sparas längre tid för att tillvarata rättsliga anspråk.

Överföring till land utanför EU

Överföring av personuppgifter till tredje land – det vill säga utanför EU/EES – är bara tillåten under vissa omständigheter, det vill säga om särskilda skyddsåtgärder vidtagits eller om EU-kommissionen ansett att landet har det man kallar för adekvat skyddsnivå. Läs mer på imy.se.

När det gäller USA kunde vi tidigare luta oss mot det som hette Privacy Shield, ett säkerhetsavtal som gjorde att vi kunde använda exempelvis amerikanska molntjänster. Men efter en dom i EU-domstolen i juli 2020 (Schrems II-domen) som slog fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter har avtalet ogiltigförklarats.

Sedan en tid tillbaka gäller i stället ett nytt ramverk mellan EU och USA, EU/U.S. Data Privacy Framework. De företag och organisationer som omfattas av ramverket anses enligt EU-kommissionen uppfylla kraven på säkerhet för personuppgifter. Se vilka företag och organisationer som är anslutna här.

Rev. 2023-11-27

För våra medlemmar

Frågor och svar inom gdpr för föreningar

  • Får vi lagra personuppgifterna?

    Vi har installerat ett nytt passersystem i vårt hus och undrar om vi har rätt att lagra uppgifter som exempelvis telefonnummer kopplade till lägenhetsnummer enligt integritetslagstiftningen, eller krävs det godkännande från medlemmarna?

  • Ska webbansvarig ha tillgång till e-posten?

    Vi har en styrelseledamot som har avgått men som fortsatt ska vara ansvarig för föreningens webbplats. E-post som berör exempelvis uppdateringar av webbplatsen kommer till styrelsens e-postadress, varför webbansvarig har behov av åtkomst till den. Är det okej att personen har fortsatt tillgång till vår e-postinkorg? En sekretessförbindelse som gäller i tre år efter avgång har undertecknats.

  • Bör vi avslå motionen på grund av lagbrott?

    Vi har en medlem som lämnat in en motion med förslag om att styrelsen ska skriva ut och underhålla listor med namn och lägenhetsnummer på de medlemmar som hyr parkeringsplats och anslå denna information på olika ställen i föreningen. Vi funderar på om det är lagligt enligt integritetslagstiftningen. Om det inte är det, kan vi ens behandla motionen på stämman om resultatet av den skulle bryta mot existerande lag?

  • Hur länge får vi spara arbetsmaterial?

    En fråga som kommit upp i vår förenings valberedning handlar om hur länge vi får spara arbetsmaterialet? Fram tills nu har vi sparat intervjuanteckningar och CV som vi fått från styrelseintressenter. E-postkonversationer har gått via en privat e-postadress. Hur länge får vi spara dokument, kontaktuppgifter och e-post?

  • Är det okej att ange allas mobilnummer?

    När det gäller GDPR: Är det okej att i medlemslistan, som vi skickar ut till våra medlemmar i föreningen, ange allas mobilnummer eller ska det bara stå namn och adress? Behöver vi ha medlemmarnas godkännande först?

Relaterade artiklar

Relaterade ämnen

  • Bostadsanpassning

    En person med funktionsvariation har möjlighet att söka bidrag hos kommunen för anpassning i och utanför sin permanentbostad. För att kunna genomföra vissa av dessa anpassningar krävs tillstånd från föreningen.

  • Kamerabevakning

    En bostadsrättsförening behöver inget formellt tillstånd för att sätta upp kameror i föreningen. Men det är långt ifrån fritt fram att bevaka personer som kommer och går i exempelvis föreningens entré. Och integritetsskyddsreglerna måste följas.

  • Lägenhetsförteckning

    Det finns flera förteckningar som styrelsen i en bostadsrättsförening enligt lag måste föra. Lägenhetsförteckningen är en av dem och till skillnad mot medlemsförteckningen är den inte offentlig.

  • Medlemsförteckning

    Styrelsen i bostadsrättsföreningen måste enligt lag föra en medlemsförteckning. Förteckningen ska innehålla uppgift om medlemmarnas namn, datum för in- och utträde samt vilken bostadsrätt de har och postadress till dem.

  • Störningar

    I en bostadsrättsförening bor människor med många olikheter sinsemellan. Därför är det viktigt att både vara tillåtande och hänsynstagande som boende. Men vid störningar i juridisk mening måste styrelsen ta tag i problemet.

Bli medlem

Testa oss och se vad vi går för. Bli medlem nu så bjuder vi på medlemskapet året ut och hela 2025 (om föreningen inte har varit medlem tidigare).

Läs mer om medlemskapet