4 minuters lästid | Sten Ahlin
När gav du senast bort upplysningar om dig själv på nätet?
Att handla online eller att upprätta ett användarkonto på en nätsida har blivit så vardagligt att vi nästan inte tänker på det längre. Endast ett fåtal av oss har kontroll på vilken information som är lagrad, vem som sitter på tillgången till informationen, vad den används till, eller om den blir såld vidare till en tredje part.
2018 trädde EUs nya personupplysningslag, GDPR, i kraft. Syftet med lagen är att ge individer bättre möjlighet att kontrollera upplysningar som är registrerade om dem själva.
I korthet går GDPR ut på följande:
1. Skall du samla in personupplysningar, så skall du ha en avsikt med det.
2. Skall du samla in personupplysningar, så måste du få ett samtycke till att göra det.
3. De som ger ifrån sig personupplysningar, skall ha tillgång till den informationen – och skall kunna kräva att upplysningarna raderas.
Dessutom skall du inhämta minsta möjliga information.
Vad innebär detta för dig som sitter i styrelsen i en bostadsrättsförening?
Styrelsen i bostadsrättsföreningen samlar in och behandlar personupplysningar om de boende, för att uppfylla de regler om detta som gäller, samt för att tillvarata föreningens intresse av korrekt drift av bostadsrättsföreningen. Följdaktligen blir styrelsen delvis styrd av GDPR.
Vi tittar närmare på vilket ansvar styrelsen har.
De som lagrar eller behandlar information om andra, betecknas som behandlingsansvarig och databehandlare. Styrelsen är att anse som behandlingsansvarig. En behandlingsansvarig har ansvar för personupplysningarna som är lagrade. Därför är det styrelsens ansvar att signera databehandlingsavtal med alla parter som har tillgång till bostadsrättsföreningens personupplysningar, även om det enbart är för en begränsad period.
Till exempel kan leverantörer ha tillgång till de boendes namn och adresser i samband med underhåll eller tryckning av nycklar.
Bostadsrättsföreningen har vidare ansvar för att tillvarata de boendes personupplysningar. Under de nya personskyddsreglerna innebär det följande:
De boende har krav på att få insyn i vilka personuppgifter som lagras om var och en av dem. När de ber om insyn, har styrelsen – som behandlingsansvarig – krav på sig att svara.
Det måste också vara ett lagenligt ändamål med varje personupplysning som de lagrar. Till exempel att det är nödvändigt för räkenskaperna i bostadsrättsföreningen.
En viktig del av personskyddsbestämmelserna är «rätten att bli glömd». Då det inte längre är nödvändigt att behålla upplysningarna om de boende, eftersom ändamålet med upplysningarna är uppnådd, måste det finnas fullgoda rutiner för radering.
Då en boende flyttar ut från bostadsrättsföreningen, har vederbörande krav på att upplysningarna om hen raderas.
Utöver databehandlingsavtalen (se ovan) måste styrelsen få samtycke från de boende att samla in och använda personupplysningar. Om styrelsen skall använda personupplysningarna till något annat än det som är klargjort, måste de ha fått samtycke till detta.
Styrelsen skall ordna säker förvaring av personupplysningar, så att inte ovidkommande har tillgång till dem på PC, mobiltelefon och andra plattformar och medier där det lagras information.
All korrespondens, avtal och andra dokument skall arkiveras på ett säkert sätt .
Då ni som bostadsrättsförening kan visa att ni tar personskydd på allvar och har bra rutiner för behandling av personupplysningar, bygger det upp trovärdigheten och tilliten mot både de boende och samarbetspartners.