GDPR
Dataskyddsförordningen (från engelska: General Data Protection Regulation, GDPR) Alla verksamheter som hanterar personuppgifter måste följa dataskyddsförordningen (GDPR). Det innebär bland annat att ni behöver följa de grundläggande principerna, se till att behandlingen har en rättslig grund och informera de registrerade om hur ni hanterar deras personuppgifter.
GDPR är en EU-gemensam lagstiftning som 2018 ersatte samtliga nationella lagstiftningar om personuppgifter (i Sverige gällde tidigare Personuppgiftslagen, PUL) Det är två stora skillnader med GDPR jämfört med tidigare gällande PUL: 1. Det finns en förväntan om att GDPR kommer följas upp hårdare än vad PUL gjordes från myndighetshåll. Dessutom är de potentiella böterna enligt GDPR extremt mycket högre än vad som var aktuellt under PUL. Detta i kombination gör att risken att inte följa GDPR bedöms högre än den tidigare risken att inte fullt ut följa PUL. (helt ärligt slarvades det nog på väldigt många företag med PUL)
2. I PUL fanns ett undantag för ostrukturerad behandling av personuppgifter(ungefär allt som inte fanns i databaser), som inte längre finns i GDPR. Detta innebär att utöver innehållet i databaser, så gäller GDPR även fullt ut för allt digitalt innehåll som finns i ett företag, dvs innehållet i samtliga mail, samtliga dokument eller samtliga ärenden i ett ärendehanteringssystem. GDPR gäller helt enkelt för allt digitalt material som ett företag innehar, oavsett om det finns på en hårddisk, telefon, hemsida eller server.
Ansvarsfördelning i bostadsrättsföreningars verksamhet:
Styrelsens ansvar: - Den som själv eller tillsammans med andra bestämmer “ändamål och medel” med behandlingen är personuppgiftsansvarig. - Ansvarar självständigt för att visa att lagen uppfylls. - Det är styrelsen, inte eventuella leverantörer som ansvarar för att lagen följs. - Antar och inför policys inom området - Genomför lämliga åtgärder, tekniska, funktionella eller organisatoriska för att uppfylla lagen. - Ansvarar för att alla personuppgifter (så som bostadsrättsinnehavare, hyresgäster, anställda och styrelsen) hanteras säkert inom ramen för styrelsearbetet. - Ansvarar för att informera den registrerade vilka personuppgifter som samlas in och hur de används. - Personuppgiftsansvarig och biträden har skyldighet att föra register över vilka behandlingar av personuppgifter som görs. (Finns även i dagens lagstiftning) - Krav på att göra konsekvensbedömningar i samband med nya projekt. - Föra samråd med dataskyddsmyndigheten i fall som kan ses som hög risk för personliga skyddet av personuppgifter. - Ha rutiner på plats för att hantera eventuella personuppgiftsincidenter.
Förvaltarens ansvar: -Är anlitad för att hantera och har tillgång till personuppgifter för den personuppgiftsansvariges (föreningens) räkning. -Skall se till att processer och rutiner inte riskerar bostadsrättsinnehavarens integritet. -Ska informera bostadsrättsföreningarna vilka personuppgifter, och på vilket vis dessa hanteras. -Ska skyndsamt informera styrelsen om en personuppgiftsincident inträffat. -Biträdesavtal för hanteringen av personuppgifter krävs.
Bostadsrättsinnehavaren: -Har rätt till information om vilka personuppgifter som inhämtas och hur de behandlas. -Nuvarande och tidigare hyresgäster har rätt att begära kostnadsfritt registerutdrag från styrelsen (personuppgiftsansvarig). -Kan kräva skadestånd från föreningen om de drabbats av integritetsbrott. -Rätt att i visa fall bli raderad från alla register.