Skip to main content

Har ni koll på personuppgiftbehandlingen?

Skärmavbild_2024-04-01_kl._10.11.59.png

 

Styrelsen i en bostadsrättsförening måste se till att kraven som GDPR ställer efterlevs. Definitionen enligt GDPR syftar till att fånga upp många olika typer av personuppgifter och är därför mycket bred. Begreppet ”personuppgifter” inkluderar inte bara namn och personnummer, utan även adresser, foton, lägenhetsnummer, anteckningar i medlemsförteckningen och fastighetsbeteckningar. Kortfattat omfattar begreppet i det här sammanhanget alla upplysningar som kan knytas till en identifierad eller identifierbar fysisk person.

GDPR är tillämplig på all behandling av personuppgifter och med sådan behandling avses bland annat insamling, behandling och lagring av personuppgifter. Detta gäller under förutsättning att behandlingen sker helt eller delvist automatiserat alternativt att uppgifterna ska ingå i manuella register. Det är viktigt att ha i åtanke att detta innebär att även de mest rutinartade sysslorna kan omfattas av GDPR.

När en styrelse i en bostadsrättsförening exempelvis uppdaterar medlemsförteckningen eller tar fram ett parkeringsavtal sker det alltså en personuppgiftsbehandling som omfattas av GDPR. Även namnlistor över bokning av tvättstugan, störningslistor och e-postmeddelanden kan innebära en personuppgiftsbehandling.

Personuppgiftsbehandling får inte ske hur som helst och det är den personuppgiftsansvariga som är ytterst ansvarig för att GDPR efterlevs. I det här sammanhanget är det bostadsrättsföreningen eller hyresvärden.

För att en personuppgiftsbehandling ska vara förenlig med GDPR behöver det finnas ett godtagbart syfte med behandlingen, det krävs alltså en rättslig grund. För en bostadsrättsförening handlar det främst om att behandlingen ska

(1) vara nödvändig för att fullgöra ett avtal med en enskild

(2) vara nödvändig för att fullgöra en rättslig förpliktelse

(3) vara baserad på samtycke från den enskilde eller

(4) grunda sig i att bostadsrättsföreningens intressen väger tyngre än den enskildes.

Förutom att personuppgiftsbehandlingen ska grunda sig i en rättslig grund behöver den personuppgiftsansvariga också säkerställa att behandlingen sker i enlighet med de principer som fastställs i GDPR. Bostadsrättsföreningen måste bland annat alltid ha ett ändamålsenligt syfte med behandlingen, genomföra behandlingen på ett säkert sätt, dokumentera alla åtgärder och inte samla in mer uppgifter än nödvändigt.

De flesta bostadsrättsföreningar, hyresvärdar och andra fastighetsbolag behandlar personuppgifter regelbundet. Under hela perioden för behandlingen måste GDPR efterlevas och konsekvensen av en bristfällig behandling är inte bara en inskränkning av den enskildes personliga integritet utan även höga sanktionsavgifter för den personuppgiftsansvariga.

Text: HSB

Bild: Colourbox