Vad betyder den nya dataskyddsförordningen (GDPR) för bostadsrättsföreningar?

De senaste 20 åren har personuppgiftslagen, PUL, styrt hur och vem som får hantera personuppgifter. Från och med 25 maj 2018 är det dags för den nya dataskyddsförordningen (GDPR) att ta över. Niklas Olsson, jurist på HSB Malmö, berättar här om den nya lagen, vad den innebär för en bostadsrättsförening och vad som är viktigt för en styrelse att tänka på.

Vad är egentligen en personuppgift?

En personuppgift är all information som kan kopplas till en fysisk levande person. Även olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgift om den kan härledas till en fysisk person.

Vad är det för skillnad på PUL, DSF och GDPR?

Den nya dataskyddsförordning (förkortning DSF) heter på engelska General data protecion regulation (förkortat GDPR).

Mycket av det som GDPR reglerar gäller redan idag, i och med PUL, men en del regler blir strängare. Den stora skillnaden jämfört med PUL är att GDPR innebär att ni som förening (eller företag) inte kan äga en uppgift om person, utan bara låna den. På ett mer konkret plan innebär GDPR att ni måste kunna visa vad ni vill göra med personuppgifterna. Dessutom införs sanktionsavgift om en organisation missköter sin behandling av personuppgifter.

Fem viktiga saker för en brf-styrelse att tänka på, av Niklas Olsson, jurist och expert på bostadsrättsföreningar:

#1 Sitt lugnt i båten

Bara för att lagen träder i kraft i maj betyder det inte att ni måste ha rensat alla era system och veta exakt hur ni ska arbeta framåt. Det viktiga är att kunna visa att ni har påbörjat arbetet. Kom även ihåg att speciallagstiftning gäller över GDPR, exempelvis har ni fortfarande skyldighet att spara styrelseprotokoll och medlemsregister. 

#2 Prata om GDPR på ett styrelsemöte

Vilka personuppgifter behandlar ni idag och var finns de? Kanske har ni en styrelsemejl, gamla register på specialkost noterat till er stämma eller deltagarlistor på olika evenemang? Hantera alltid personuppgifter på ett respektfullt sätt, lämna exempelvis inte ut det till tredje part.

#3 Börja rensa

Har ni personuppgifter som är ”bra att ha” – så är de inte det. Släng! Göm ej undan, utan radera helt.

#4 Vilka system har ni som lagrar personuppgifter?

Kanske har ni elektroniska nycklar (tag-system). Fråga leverantören om deras åtgärder – hur länge sparas informationen och vem har tillgång till den?

#5 Hur ska ni jobba framöver?

Sätt upp en enkel process och tänk på att inte ha onödig spridning av personuppgifter – då ökas risken för missbruk.

HSB Malmö kommer under våren gå ut med mer information till sina medlemsföreningar om utbildningar, riktlinjer för behandling samt verktyg som underlättar övergången till den nya lagstiftningen.