GDPR - guide till de nya reglerna

08 dec 2017 | Den 25 maj 2018 börjar nya dataskyddsförordningen, även kallad GDPR, att gälla. Syftet med förordningen är att stärka den enskildes integritetsskydd men också att underlätta för företag att verka inom EU med enhetliga regler. GDPR är en lag som alla företag, myndigheter och organisationer, även bostadsrättsföreningar, måste känna till och följa.

Personuppgiftslagen "extra allt"

Dataskyddsförordningen, GDPR*, ersätter den 25 maj 2018 den nu gällande personuppgiftslagen, PUL, från 1998. Den ersätter också EU:s dataskyddsdirektiv från 1995. Några övergångsregler finns inte utan den tid föreningen har på sig att anpassa sig till lagen är fram till den 25 maj nästa år.

Förändringar som påverkar föreningarna:

Mycket av det som GDPR reglerar gäller redan i dag, i och med PUL, men en del regler blir strängare. När dataskyddsförordningen ersätter personuppgiftslagen kommer den så kallade missbruksregeln inte längre finnas kvar. Missbruksregeln innebär att enklare regler gäller för personuppgifter i ostrukturerat material. Det handlar till exempel om information om personer i e-post, på internet eller i en enkel lista som finns i datorn.

När missbruksregeln försvinner innebär det att samma regler som finns för alla personuppgifter även ska gälla för det som skrivs om personer finns i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade, inhämta samtycke och föra register över vilka register som förs.

Den enskilda individen får en stärkt makt över sina personuppgifter genom rätten till insyn, till rättelser och ändringar. Om föreningen registrerar personuppgifter måste föreningen också informera de berörda om varför – på vilken rättslig grund – och hur länge informationen sparas. Informationen ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk.

Om föreningen lämnar personuppgifter till en annan organisation måste den organisationen också informeras då föreningen ändrar eller raderar personuppgifter. Det kommer inte att vara tillåtet att samla in och behandla fler uppgifter än nödvändigt för ändamålet, så kallad dataminimering.

Högre krav kommer att ställas på it-säkerhet. Om något händer, exempelvis att ett register kommer i orätta händer eller uppgifter skickas till fel mottagare, måste det finnas beredskap för att upptäcka, rapportera och utreda sådana incidenter. För känsliga uppgifter gäller att incidenterna måste rapporteras inom 72 timmar till Datainspektionen och till den/de registrerade.

Sanktionsavgifter införs. 20 miljoner euro eller fyra procent av företagets eller organisationens omsättning om det är en allvarlig överträdelse. 10 miljoner euro eller två procent av omsättningen i mindre allvarliga fall. Även enskilda personer kan begära skadestånd.

VAD BEHÖVER FÖRENINGEN GÖRA?

1. Informera alla i styrelsen om vad GDPR innebär och vad som kommer att gälla. Även om föreningen inte hanterar registren själv utan har en ekonomisk förvaltare eller annan förvaltare finns skäl att vara medveten om vikten av att handskas försiktigt med personuppgifter. Troligtvis har föreningen medlemslistor i andra former för att exempelvis nå ut med information till  medlemmarna. Eller kontaktlistor för personer hos lokalhyresgäster, anställda hos förvaltare, byggbolag, leverantörer och samarbetspartners.

2. Inventera: Vilka register för vi och på vilken laglig grund? Vilka personuppgifter hanterar vi i registren, varifrån får vi dem och vem lämnar vi ut dem till? Har vi fler uppgifter i registren än som behövs för ändamålet? Hur ofta uppdateras de, och raderas inaktuella register? Dokumentera det som kommer fram. Ett krav är att den som för uppgifterna ska kunna visa att reglerna följs. Bostadsrättsföreningar har laglig grund att föra lägenhetsregister och medlemsförteckning (bostadsrättslagen 9 kap. 8 §, samt lagen om ekonomiska föreningar 3 kap. 6§-8§). Har medlemmarna fått information om det och om hur länge data sparas?

3. Inhämta samtycke: Utnyttjar föreningen missbruksregeln i dag? Exempelvis när det gäller publicering av namn, e-postadresser, bilder eller videor på föreningens webbplats eller i e-postprogram? Har medlemmarna i så fall informerats på rätt sätt och gett sitt medgivande? Föreningen måste kunna visa att ett samtycke har lämnats.

4. Granska befintliga samtycken: I de fall föreningen redan inhämtat samtycken, exempelvis för att publicera bilder eller annan information på sin webbplats, bör den se över hur dessa är utformade. Individen måste aktivt ha gett sitt samtycke efter att ha fått tydlig information. Kanske behöver nya samtycken inhämtas? Använd då gärna kryss- eller klickrutor eller underskrifter så att det blir tydligt att personen aktivt samtycker.

5. Se till att det finns rutiner för hur personuppgifter lämnas ut på begäran: Enskilda individer  kommer att få en större möjlighet att begära ut, ändra och radera sina egna personuppgifter. Om PUL redan i dag följs är det en bra grund att utgå ifrån. Har föreningen en ekonomisk förvaltare som sköter detta behöver föreningen ändå ha koll på att det sköts på rätt sätt, att det finns rutiner för att till exempel rätta felaktiga uppgifter och även rätta dem hos annan organisation som fått uppgifter. Hur ser personuppgiftsbiträdesavtalet ut? Finns beredskap ifall en incident inträffar? Hur ser avtalen för molntjänster ut? Finns molntjänstleverantörens servrar utanför EU? Det behöver föreningen ha koll på eftersom överföring av uppgifter till tredje land bör begränsas.

TÄNK PÅ ATT INTE:

• ha mer information i registren än vad lagen kräver, eller som är nödvändigt för att föreningen ska kunna fullgöra sina skyldigheter.

• föra in några uppgifter som klassas som känsliga i registren i onödan, och i så fall ha en laglig grund eller samtycke för att föra sådana uppgifter (se känsliga personuppgifter).

BEGREPP

*GDPR: General Data Protection Regulation

PERSONUPPGIFTER: All slags information som antingen direkt eller indirekt (det vill säga via annan information) kan kopplas till en fysisk person, exempelvis namn, personnummer, e-postadress,  lägenhetsnummer, fotografier eller film- och ljudfiler. De fysiska personerna kan vara   bostadsrättshavare, hyresgäster som är fysiska personer, kontaktpersoner hos lokalhyresgäster, anställda hos förvaltare, byggbolag, leverantörer och samarbetspartners, och andra.

PERSONUPPGIFTSBEHANDLING: Varje åtgärd som görs med personuppgifter, exempelvis att samla in och använda uppgifterna eller lämna ut dem till utomstående. Det kan till exempel vara avgifts- och hyresavisering, medlemsregistrering eller pantsättningsnotering. Behandling  är det också om det handlar om passiva åtgärder som till exempel lagring av personuppgifter i it-system.

PERSONUPPGIFTSANSVARIG: Den som bestämmer ändamål och medel för  personuppgiftsbehandlingen och därmed är ansvarig för att den sker i enlighet med gällande lagar, i detta fall bostadsrättsföreningen.

PERSONUPPGIFTSBITRÄDE: Det företag eller den organisation som behandlar personuppgifter på uppdrag av personuppgiftsansvarig – föreningen – för dennes räkning, exempelvis en ekonomisk förvaltare.

KÄNSLIGA PERSONUPPGIFTER: Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa och sexualliv. Även personuppgifter som rör lagöverträdelser som innefattar brott. Hanteringen av  sådana uppgifter ställer högre krav, till exempel på kryptering/pseudonymisering. Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter. Exempel på känsliga uppgifter i en förening kan vara ritningar som visar handikappanpassning i lägenhet och som lagts till lägenhetsregistret.

Mer information om GDPR finns på Datainspektionens webbplats

Skriv en kommentar

Mer som detta