GDPR

Alla EU-länder omfattas av det nya regelverket och även bostadsrättsföreningar berörs av den nya reglerändringen. Här får du veta mer om hur GDPR påverkar bostadrättsföreningar, vad som är viktigt att tänka på och hur man kan förbereda sig på den nya reglerna som träder i kraft 25 maj 2018.

Vad är GDPR?
GDPR* är en förordning som ersätter lagen om personuppgifter, PUL. Alla som har hand om persondata, till exempel i form av ett register, kommer att behöva se över sin behandling av personuppgifter. GDPR innebär bland annat att en privatperson har möjlighet att begära ut uppgifter om honom eller henne själv och att alla som behandlar personuppgifter enbart får göra det om det finns stöd i lag eller samtycke till behandlingen. Exempelvis gäller det när lönespecifikationer skickas ut (arbetsgivare) eller vid kommunikation med boende medlemmar (bostadsrättsföreningar).

Vad innebär GDPR för bostadsrättsföreningar? 
GDPR innebär att all hantering gällande personuppgifter behöver ses över: vilka register bostadsrättsföreningen har över persondata och hur de används, när dessa uppgifter gallras och rensas och vilka uppgifterna lämnas ut till.

En bostadsrättsförening får enbart hantera personuppgifter antingen med stöd av bostadsrättslagen eller där samtyckte uttryckligen har inhämtats. GDPR ställer också högre krav på datasäkerhet, till exempel ställs högre säkerhetskrav gällande hantering av datauppgifter och om uppgifterna skulle spridas. Skulle det hända behöver det rapporteras till dataskyddsinspektionen. 

Under april och maj kommer vi arrangera infoträffar kring bostadsrättsföreningar och GDPR. Vi återkommer med inbjudan via mail och på hemsidan.

Hur kan er bostadsrättsförening förbereda sig?

1. Se över era register. Vilka register har ni?  

Enligt GDPR behöver den som är personuppgiftsansvarig ha kännedom om vilken behandling av personuppgifter bostadsrättsföreningen hanterar. Bostadsrättsföreningen är personuppgiftsansvarig.

Att göra:
- Utse eventuellt en personuppgiftsansvarig i styrelsen och skapa en rutin för hur ni hanterar personuppgifter (om ni inte redan har det). 
- Gå igenom vilka register ni har i bostadsrättsföreningen (till exempel över medlemmar och hyresgäster). En skillnad mellan GDPR och PUL är att enligt GDPR får ni endast hantera de personuppgifter ni har laglig rätt att hantera (till exempel föra en lägenhetsförteckning enligt bostadsrättslagen) eller har inhämtat uttryckligt samtyckte till.

2. Vad använder ni registret till?  
Som bostadsrättsförening får ni enbart behandla personuppgifter i den omfattningen som behövs för att fullgöra ändamålet med behandlingen: till exempel att tillhandahålla bostad/lokaler och kunna kommunicera samt skicka ut avier för avgifter och hyror. 

Att göra:
- Gå igenom vem ni lämnar ut registerna med personuppgifter till. 
- Gå igenom så att ni inte lämnar ut personuppgifter till annan part utan att den registrerade lämnat samtycke till detta. 
- Kontakta era leverantörer och se till att de har en god regelefterlevnad när det gäller GDPR. 
HSB Södertörn ansvarar för god regelefterlevnad och skapar en besvärsfrihet för bostadsrättsföreningar som medlemmar och/eller kunder. 

3. Samlar bostadsrättsföreningen in rätt sorts personuppgifter?  
GDPR innebär att ni enbart får hantera de personuppgifter ni har laglig rätt att hantera eller har inhämtat samtycke till. För en bostadsrättsförening innebär det till exempel att kunna skicka ut avier och kommunicera med medlemmar i bostadsrättsföreningen. 

Att göra:
- Gå igenom vilka personuppgifter ni samlar in och vad personuppgifterna används till. 
- Säkerställ att ni har en rutin för att samla in aktuella uppgifter och göra er av med de uppgifter ni inte har laglig rätt att samla ihop.

4. Har ni en rutin för hur, när och var arbete med personuppgiftsbehandlingen dokumenteras? 
GDPR säger att den personuppgiftsansvarige (bostadsrättsföreningen) behöver kunna visa att kraven efterlevs. 

Att göra:
- Skapa en rutin som tydligt anger hur personuppgiftsbehandlingen inom bostadsrättsföreningen dokumenteras, vilka register som finns och vilka uppgifter de innehåller. Tips! Ta fram en tydlig policy för personuppgifter så att det är enkelt om/när styrelseledamöter byts ut att fortsätta följa GDPR-lagstiftningen. 

- Skapa en registerförteckning över vilka register/datastödsystem som bostadsrättsföreningen har (till exempel e-postlista, lägenhetsförteckning)

*Dataskyddsförordningen, GDPR*, ersätter den 25 maj 2018 den nu gällande personuppgiftslagen, PUL, från 1998. Den ersätter också EU:s dataskyddsdirektiv från 1995.