Nyheter

Blogginlägg från HSB: GDPR

EU:s dataskyddsförordning (GDPR) gäller sedan den 25 maj 2018 som lag i Sverige, vilket innebär att även bostadsrättsföreningar måste efterleva de krav som uppställs i GDPR.

Det här blogginlägget från HSB ger en övergripande beskrivning av GDPR med fokus på de skyldigheter som kan hamna på bostadsrättsföreningarnas bord:

”I en digital och uppkopplad värld med snabb teknisk utveckling riskerar den personliga integriteten att åsidosättas. Det är viktigt att vi alla ska kunna känna oss säkra på att våra personuppgifter används på ett schysst sätt och för rimliga ändamål. Det huvudsakliga syftet med GDPR är därför att skydda individers personuppgifter och därmed stärka integritetsskyddet.

Med personuppgifter menas i det här sammanhanget alla upplysningar som avser en identifierad eller identifierbar fysisk person. Definitionen av personuppgifter i GDPR är således mycket bred och syftar till att omfatta många olika typer av uppgifter. Namn och personuppgifter utgör såklart personuppgifter, men även uppgifter som adresser, foton, lägenhetsnummer, medlemsregister, fastighetsbeteckningar fångas upp av definitionen.

GDPR är tillämplig på behandling av personuppgifter (personuppgiftsbehandling), vilket också är ett brett begrepp. Allt från inhämtning, lagring och annan hantering av personuppgifter ses som behandling av personuppgifter, under förutsättning att behandlingen sker helt eller delvist automatiserat eller om uppgifterna ska ingå i manuella register. Detta betyder att en bostadsrättsförening ägnar sig åt personuppgiftsbehandling när den uppdaterar lägenhetsregistret eller för namnlistor över bokning av tvättstugan – GDPR kan alltså vara tillämplig på de mest rutinartade av sysslor!

Laglig och olaglig personuppgiftsbehandling

En bostadsrättsförening får inte behandla personuppgifter hur som helst och det är bostadsrättsföreningen i egenskap av s.k. personuppgiftsansvarig som ytterst ansvarar för att GDPR efterlevs. Behandlingen måste till att börja med vila på en rättslig grund, vilket i korta drag handlar om att personuppgiftsbehandlingen endast får ske om det finns ett godtagbart syfte med den. För bostadsrättsföreningars vidkommande handlar det framförallt om att behandlingen ska (1) vara nödvändig för att fullgöra ett avtal med en enskild, (2) vara nödvändig för att fullgöra en rättslig förpliktelse, (3) vara baserad på samtycke från den enskilde eller (4) grunda sig i att bostadsrättsföreningens intressen väger tyngre än den enskildes intressen i det aktuella fallet.

Bostadsrättsföreningen måste också säkerställa att behandlingen sker i linje med de principer som finns i GDPR. Bostadsrättsföreningen måste t.ex. alltid ha ett godtagbart ändamål med behandlingen, utföra behandlingen på ett säkert sätt, dokumentera alla åtgärder och inte samla in fler uppgifter än vad som faktiskt behövs.”