GDPR i en BRF: Styrelsens guide till korrekt hantering av personuppgifter

Dataskyddsförordningen, GDPR, kan kännas komplex och svår att överblicka. Men faktum är att en bostadsrättsförening hanterar en stor mängd personuppgifter och därmed har ett tydligt juridiskt ansvar. Att förstå grunderna i GDPR är avgörande för att skydda både medlemmarnas integritet och styrelsens rygg. Här är en enkel guide till vad som gäller.

Vilka personuppgifter hanterar en BRF?

Fler än man kanske tror. En personuppgift är all information som kan knytas till en levande person. För en BRF inkluderar detta bland annat:

Medlemsförteckningen: Namn, adress, personnummer, och in- och utträdesdatum. Detta är den mest centrala databasen.
Avgifts- och hyresavier: Information om betalningar och eventuella skulder.
Kontaktuppgifter: Telefonnummer och e-postadresser.
Passersystem och bokningslistor: Loggar från elektroniska lås eller bokningar av tvättstuga.
Störningsärenden: Noteringar om klagomål som rör en specifik medlem.

Styrelsen är personuppgiftsansvarig, vilket innebär att ni har det yttersta ansvaret för att all denna information hanteras på ett korrekt och säkert sätt.

GDPR:s grundprinciper – översatt till BRF-språk

Man behöver inte kunna hela lagen utantill. Om ni följer dessa tre enkla principer har ni kommit väldigt långt.

1. Samla inte in mer än ni behöver (Ändamålsbegränsning)
Ni får bara samla in och behandla uppgifter som är nödvändiga för att driva föreningen. Ni måste ha medlemmarnas personnummer för medlemsförteckningen, men ni behöver inte veta deras civilstånd eller yrke. Fråga er alltid: “Varför behöver vi den här informationen?”.

2. Spara inte uppgifter längre än nödvändigt (Lagringsminimering)
Personuppgifter ska inte sparas “för säkerhets skull”. När en medlem flyttar ut ska deras uppgifter gallras ur de flesta register efter en viss tid (viss information måste dock sparas enligt bokföringslagen). En lista över störningsärenden från fem år tillbaka ska inte finnas kvar om problemet är löst.

3. Skydda den information ni har (Säkerhet)
De personuppgifter ni hanterar måste förvaras på ett säkert sätt så att obehöriga inte kan komma åt dem. En utskriven medlemslista med personnummer ska inte ligga framme på ett bord. Digitala register bör vara lösenordsskyddade och endast tillgängliga för styrelsen.

Checklista: Vanliga GDPR-fällor i en BRF

[ ] Öppna e-postlistor: Skicka aldrig ut massmail där alla mottagares e-postadresser är synliga för alla. Använd alltid “Bcc” (hemlig kopia) eller ett riktigt nyhetsbrevsverktyg.
[ ] Publicering på hemsidan: Publicera aldrig protokoll eller medlemslistor som innehåller personuppgifter öppet på hemsidan. Om ni vill publicera protokoll, se till att de är avidentifierade.
[ ] Lappar i trapphuset: Häng aldrig upp listor med namn och lägenhetsnummer, till exempel vid störningsinformation. Skriv “lägenhet 1201” istället för namnet på medlemmen.
[ ] Överlämning till ny styrelse: När en ny styrelse tillträder, se till att det finns en strukturerad och säker process för att lämna över alla register och inloggningsuppgifter.

En professionell partner säkerställer er GDPR-efterlevnad

Hanteringen av medlemsregister, avier och andra ekonomiska uppgifter är en central del av GDPR-ansvaret. Att säkerställa att dessa system är säkra och att rutinerna för gallring följs kan vara en betungande uppgift för en ideell styrelse.

Undvik dyra fällor: En guide till avtalshantering för BRF-styrelser

Andrahandsuthyrning i BRF: Styrelsens guide till regler och tillstånd

Checklista för en lyckad årsstämma i er BRF

Föreningens Grundlag: En guide till stadgarna i er BRF