Företräder du en förening eller driver ett företag har du samma skyldigheter som Egrannar och alla andra företag kring hur du hanterar personlig data om dina medlemmar eler kunder.

Nedan hittar du några tips från oss vad du behöver tänka på för att din förening eller företag ska uppfylla dataskyddsförordningen (GDPR).

Observera att denna sida inte är juridisk rådgivning och du bör alltid rådgöra med en jurist innan ni fattar beslut kring lagring och behandling av personuppgifter.

Vanliga frågor vi får från föreningar om GDPR

  • Ni som brf behöver godkänna vårt Tjänsteavtal. I det regleras att ni är Personuppgiftsansvariga för de personuppgifter ni lägger in i systemet och Egrannar är Personuppgiftsbiträde.
  • Ett Personuppgiftsbiträdesavtal finns med som bilaga till Tjänsteavtalet.
  • Egrannar har en Integritetspolicy där det framgår syfte och laglig grund för de behandlingar som Egrannar gör.
  • Alla användare behöver godkänna Användaravtalet när de loggar in för att kunna använda tjänsten.
  • Användare som inte godkänner användaravtalet kommer inte kunna logga in, men de kommer fortfarande kunna finnas med i tjänsten då de är medlemmar i er bostadsrättsförening, vilket innebär att föreningen har laglig grund för behandlingarna.
  • Servern som lagrar alla personuppgifter finns inom EU, i Frankfurt för att vara precis.
  • Ni som är en brf har laglig rätt att spara medlemmarnas uppgifter då ni har en skyldighet att föra ett medlemsregister enligt Bostadsrättslagen §8 och ni har ett avtalsförhållande med medlemmarna i och med att de är medlemmar i er förening. Ni har därmed ett berättigat intresse av att kunna kommunicera med medlemmarna.

Användarna behöver godkänna Användaravtalet därför att hemsidan gör en del behandlingar som inte täcks av Bostadsrättslagens §8 eller av brf:ens berättigade intresse, det kan vara behandlingar som när en medlem inte företräder föreningen utan agerar som privatperson, exempelvis skriver på anslagstavlan, bokar tvättstugan eller en annan bokningsbar resurs, tittar i medlemsmatrikeln etc. Det handlar också om behandlingar som Egrannar kommer att göra som att hantera supportfrågor, sköta backuper, teknisk vidareutveckling mm.

Saker som ni bör göra är även:

Ni kommer att behöva upprätta ett Behandlingsregister för de behandlingar ni gör som är utöver de behandlingar som finns med i Egrannars Integritetspolicy. Om ni tycker att vi missat någon behandling i vår integritetspolicy får ni gärna säga till så undersöker vi det.

Alla brf:er behöver ta bort användare när de slutat vara medlemmar. I många brf:er missar man det, men det kommer innebära att man inte längre har laglig grund för personuppgiftsbehandlingarna, vilket inte är bra.

Generella saker ni bör känna till om GDPR

Är er organisation medveten om EU:s nya dataskyddsförordning?

  • Försäkra dig om att alla i din organisation har koll på vad GDPR innebär i stora drag.
  • Se till att beslutsfattare och nyckelpersoner vet att GDPR ersätter personuppgiftslagen (PUL) och vad skillnaderna är.
  • Undersök hur er organisation kommer att påverkas och identifiera de områden ni måste arbeta särskilt med.

Vilka personuppgifter hanterar ni?

Undersök och sammanställ vilka personuppgifter ni samlar in och hanterar idag, samt till vem uppgifterna lämnas ut och varför.

Ni har förmodligen fler personuppgifter än ni tror. Hemsidan hos Egrannar är bara ett system. Nyckelsystem, förteckningar på papper i pärmar, Namntavlan i entrén innehåller personuppgifter som lyder under GDPR.

Använder ni missbruksregeln idag?

I personuppgiftslagen (PUL) har det varit tillåtet att behandla personuppgifter i ostrukturerat material (t ex löpande text på Internet) så länge behandlingen inte utgör en kränkning av den registrerades integritet. Detta undantag kommer att försvinna i samband med GDPR, därför är det viktigt att se över hur ni har hanterat detta tidigare.

Vilken information lämnar ni vid insamling av personuppgifter?

GDPR innebär att ni behöver lämna information kring de personuppgifter ni samlar in, som t ex:

  • ...varför samlar ni in uppgifterna?
  • ...hur länge sparas uppgifterna?
  • ...vilken rättslig grund har ni för att samla in uppgifterna?

Hur ska ni tillmötesgå dina kunders/användares rättigheter?

Era kunder/användare har en mängd rättigheter ni måste kunna uppfylla enligt GDPR.

De viktigaste är att de har rätten att...

  • ...få tillgång till sina personuppgifter.
  • ...få felaktiga personuppgifter rättade.
  • ...få sina personuppgifter raderade.
  • ...invända mot att personuppgifterna används för direktmarknadsföring.
  • ...invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering.
  • ...flytta personuppgifterna (dataportabilitet).

Behandlar ni personuppgifter utan rättslig grund?

Undersök med vilken rättslig grund ni behandlar personuppgifter, och radera alla uppgifter där ni inte har någon rättslig grund.

Med GDPR kommer krav att ni informerar om vilken rättslig grund respektive personuppgift samlas in för. Det innebär också att ni inte får använda personuppgifterna till annat än den/de rättsliga grunder ni angivit utan att få ett samtycke.

En

Hur inhämtar ni samtycke?

Undersök på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av kunden/användaren.

Det får till exempel inte finnas tveksamheter om er kund/användare aktivt har godkänt behandlingen av personuppgifter. Till exempel är det inte godkänt med ett tyst samtycke eller en på förhand ikryssad ruta på en hemsida.

Behandlar ni personuppgifter om barn?

Genom GDPR införs ett starkare skydd för barns personuppgifter. Om ni t ex erbjuder Internettjänster till barn måste ni få vårdnadshavares samtycke för att få behandla barnets uppgifter.

Vad ska ni göra vid personuppgiftsincidenter?

Om ni blir utsatta för dataintrång eller på annat sätt förlorar kontrollen över de personuppgifter ni hanterar måste ni dokumentera händelsen och anmäla den till tillsynsmyndigheten inom 72 timmar. Skapa rutiner och bestäm vem som har ansvaret för att göra en sådan anmälan.

Vilka särskilda integritetsrisker finns med er personuppgiftsbehandling?

Om ni behandlar personuppgifter som kan innebära stora integritetsrisker, som till exempel lagring av känsliga personuppgifter, profilering eller omfattande kameraövervakning på allmän plats är kraven höga. Ni måste samråda med tillsynsmyndigheten innan den typen av personuppgiftsbehandling får påbörjas.

Har ni byggt in skydd för personuppgifter i era it-system?

Några grundläggande principer inom integritetsskydd är att…

  • ...inte samla in mer information än vad som behövs.
  • ...inte ha kvar informationen längre än nödvändigt.
  • ...inte använda uppgifterna till något annat än vad syftet var när de samlades in.

Genom att ta hänsyn till dessa principer när ni utvecklar nya eller ändrar befintliga it-system blir det enklare för organisationen att uppfylla reglerna i GDPR.

Ni ska även skydda personuppgifterna med lämpliga tekniska och organisatoriska åtgärder baserat på hur känsliga uppgifterna är och vad de ska användas till.

Vem ansvarar för dataskyddsfrågor i er organisation?

Bestäm vem som har ansvaret för dataskyddsfrågor på ert företag.

För vissa typer av organisationer krävs ett dataskyddsombud. Det gäller t ex organisationer som har en omfattande behandling av känsliga personuppgifter.

Har ni personuppgiftsbeträdesavtal med de som behandlar personuppgifter på uppdrag av er?

Om ni använder en tjänst eller leverantör som behandlar era kunders personuppgifter på uppdrag av er är den leverantören ett så kallat personuppgiftsbiträde. Det innebär att de får behandla personuppgifterna enligt givna instruktioner och riktlinjer från er som personuppgiftsansvarig.

I de fall Egrannar agerar personuppgiftsbiträde så regleras dina rättigheter och skyldigheter gentemot oss i vår avtalsbilaga Personuppgiftsbiträdesavtal. Till exempel om du har en hemsida och intranät för din förening hos Egrannar där dina medlemmars uppgifter lagras och behandlas på våra servrar, eller övrig data du har i våra tjänster.