Nu är det bara tre veckor kvar tills den nya europeiska dataskyddslagstiftningen GDPR börjar gälla. Och många som faktiskt är berörda vet fortfarande inte att det är dags att agera.
De nya reglerna gäller nämligen även bostadsrättsföreningar och samfällighetsföreningar, till vilka en väldigt stor del av den svenska befolkningen är ansluten. En snabb koll med Statistiska Centralbyrån, SCB, visar att det är runt 2 miljoner svenskar som är medlem i en bostadsrättsförening eller samfällighetsförening. Det finns över 30 000 registrerade bostadsrättsföreningar.
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Monika Jukic, jurist på Sveriges Bostadsrättscentrum, säger att man jobbat mycket med de här frågorna, men hon gissar att det är många som ännu inte har tagit tag i frågan.
– En bostadsrättsförening har lika mycket skyldigheter att få grepp om sin personuppgiftshantering som vilket annat företag som helst. Man måste kunna visa att man har tagit tag i frågan och att man har ett register över vilka personuppgifter man har. Många föreningar tror kanske att man har en förvaltare som gör det. Förvaltaren gör kanske en del, men det finns andra saker som föreningen behöver titta på, säger hon.
Det kan till exempel handla om e-postlistor med utskick till medlemmar, bilder eller andra personuppgifter som läggs ut på hemsidan.
– Föreningen har informationsskyldighet, man är personuppgiftsansvarig för sina medlemmar, och alla medlemmar måste få information om hur de olika personuppgifterna behandlas, säger Monika Jukic.
I vissa fall räcker det att informera och då krävs inte ett aktivt godkännande. Men i vissa andra fall kan det behövas ett uttryckligt samtycke från den berörda personen. Det kan exempelvis gälla bilder från städdagen som publiceras på föreningens hemsida.
Det enklaste sättet att få samtycke är så klart att mejla till samtliga medlemmar och be dem godkänna den information som finns sparad. De nya reglerna gör också att om en medlem vill veta vilken information som finns sparad så har personen i fråga rätt att begära ut samtliga uppgifter.
Läs också: Håll ögonen på EPR – nästa EU-smocka efter GDPR
Samtidigt måste bostadsrättsföreningar föra register över sina medlemmar. Enligt bostadsrättslagen ska viss information om medlemmar registreras, som namn, postadress och datum på tillträde. I de fallen anses det vara en godtagbar grund, men alla övriga uppgifter bör ses över och hanteras med varsamhet.
Och för de föreningar som inte har tagit tag i sitt GDPR-arbete än bjuder Monika Jukic på följande enkla tips på vad man bör ta tag i nu när dagen GDPR närmar sig med stormsteg:
1. Ha inte gamla personuppgifter skvalpande överallt. Ta bort allt som inte är aktuellt.
2. Ta inte in mer uppgifter än nödvändigt för de personuppgifter du måste ha. Det kanske räcker med bara en e-postadress.
3. Försök skapa en överblick över vilka personuppgifter föreningen har. Därefter får man informera och få in samtycke om så behövs.
