Vi stödjer inte längre, fullt ut, webbläsaren Internet Explorer (version 11 eller tidigare) då detta är en gammal webbläsare som inte längre underhålls av Microsoft och inte fungerar med modernare webbteknik. Därför rekommenderar vi att ni istället använder er av någon av dessa webbläsare: Google Chrome, Mozilla Firefox, Microsoft Edge eller Apple Safari

GDPR: så påverkas din bostadsrättsförening

Den 25 maj träder den nya dataskyddsförordningen GDPR i kraft. Den nya lagen ger ett starkare skydd för privatpersoner när det gäller personuppgifter och gäller företag, myndigheter och organisationer. Även bostadsrättsföreningar behöver följa den nya lagen.

Alla EU-länder omfattas av det nya regelverket och även bostadsrättsföreningar berörs av den nya reglerändringen. Här får du veta mer om hur GDPR påverkar bostadrättsföreningar, vad som är viktigt att tänka på och hur man kan förbereda sig på den nya reglerna som träder i kraft 25 maj 2018.

Vad är GDPR?
GDPR* är en förordning som ersätter lagen om personuppgifter, PUL. Alla som har hand om persondata, till exempel i form av ett register, kommer att behöva se över sin behandling av personuppgifter. GDPR innebär bland annat att en privatperson har möjlighet att begära ut uppgifter om honom eller henne själv och att alla som behandlar personuppgifter enbart får göra det om det finns stöd i lag eller samtycke till behandlingen. Exempelvis gäller det när lönespecifikationer skickas ut (arbetsgivare) eller vid kommunikation med boende medlemmar (bostadsrättsföreningar).

Vad innebär GDPR för bostadsrättsföreningar?
GDPR innebär att all hantering gällande personuppgifter behöver ses över: vilka register bostadsrättsföreningen har över persondata och hur de används, när dessa uppgifter gallras och rensas och vilka uppgifterna lämnas ut till.

En bostadsrättsförening får enbart hantera personuppgifter antingen med stöd av bostadsrättslagen eller där samtyckte uttryckligen har inhämtats. GDPR ställer också högre krav på datasäkerhet, till exempel ställs högre säkerhetskrav gällande hantering av datauppgifter och om uppgifterna skulle spridas. Skulle det hända behöver det rapporteras till dataskyddsinspektionen.  

Hur stöttar HSB Stockholm bostadsrättsföreningar när det gäller GDPR?
Stödmaterial som styrelser i bostadsrättsföreningar kan ta del av har tagits fram i form av rekommendationer som du hittar längst ner på sidan. En digital utbildning kommer att publiceras under våren och redan nu finns det möjlighet för styrelseledamöter att anmäla sig till en lunchföreläsning den 23 mars. HSB Stockholms jurister kan också erbjuda bostadsrättsföreningar extrastöd i frågor som rör GDPR.

 

Hur kan er bostadsrättsförening förbereda sig?

1. Se över era register. Vilka register har ni?  
Enligt GDPR behöver den som är personuppgiftsansvarig ha kännedom om vilken behandling av personuppgifter bostadsrättsföreningen hanterar. Bostadsrättsföreningen är personuppgiftsansvarig.
Att göra:
- Utse eventuellt en personuppgiftsansvarig i styrelsen och skapa en rutin för hur ni hanterar personuppgifter (om ni inte redan har det).
- Gå igenom vilka register ni har i bostadsrättsföreningen (till exempel över medlemmar och hyresgäster). En skillnad mellan GDPR och PUL är att enligt GDPR får ni endast hantera de personuppgifter ni har laglig rätt att hantera (till exempel föra en lägenhetsförteckning enligt bostadsrättslagen) eller har inhämtat uttryckligt samtyckte till.

2. Vad använder ni registret till?  
Som bostadsrättsförening får ni enbart behandla personuppgifter i den omfattningen som behövs för att fullgöra ändamålet med behandlingen: till exempel att tillhandahålla bostad/lokaler och kunna kommunicera samt skicka ut avier för avgifter och hyror.
Att göra:
- Gå igenom vem ni lämnar ut registerna med personuppgifter till.
- Gå igenom så att ni inte lämnar ut personuppgifter till annan part utan att den registrerade lämnat samtycke till detta.
- Kontakta era leverantörer och se till att de har en god regelefterlevnad när det gäller GDPR.
HSB Stockholm ansvarar för god regelefterlevnad och skapar en besvärsfrihet för bostadsrättsföreningar som medlemmar och/eller kunder.

3. Samlar bostadsrättsföreningen in rätt sorts personuppgifter?  
GDPR innebär att ni enbart får hantera de personuppgifter ni har laglig rätt att hantera eller har inhämtat samtycke till. För en bostadsrättsförening innebär det till exempel att kunna skicka ut avier och kommunicera med medlemmar i bostadsrättsföreningen.
Att göra:
- Gå igenom vilka personuppgifter ni samlar in och vad personuppgifterna används till.
- Säkerställ att ni har en rutin för att samla in aktuella uppgifter och göra er av med de uppgifter ni inte har laglig rätt att samla ihop.

4. Har ni en rutin för hur, när och var arbete med personuppgiftsbehandlingen dokumenteras?
GDPR säger att den personuppgiftsansvarige (bostadsrättsföreningen) behöver kunna visa att kraven efterlevs.
Att göra:
- Skapa en rutin som tydligt anger hur personuppgiftsbehandlingen inom bostadsrättsföreningen dokumenteras, vilka register som finns och vilka uppgifter de innehåller. Tips! Ta fram en tydlig policy för personuppgifter så att det är enkelt om/när styrelseledamöter byts ut att fortsätta följa GDPR-lagstiftningen. 
- Skapa en registerförteckning över vilka register/datastödsystem som bostadsrättsföreningen har (till exempel e-postlista, lägenhetsförteckning)


*Dataskyddsförordningen, GDPR*, ersätter den 25 maj 2018 den nu gällande personuppgiftslagen, PUL, från 1998. Den ersätter också EU:s dataskyddsdirektiv från 1995.

Här kan du se presentationen från frukostseminariet den 16 mars.

 

Vill du veta mer?

Den 23 mars har du möjlighet att medverka på ett lunchseminarium där vi redogör för de nya reglerna och hur dessa förväntas påverka din bostadsrättsförening.

Förbered er brf för GDPR

För att er förening ska få bra förutsättningarna att vara redo när GDPR träder i kraft så har vi tagit fram rekommendationer för hur ni kan förbereda er.