Hantering av personuppgifter och GDPR
Den 25 maj 2018 träder den nya dataskyddsförordningen, GDPR i kraft och ersätter lagstiftningen PuL. GDPR står för ”General Data Protection Regulation” och berör alla företag och organisationer som hanterar personuppgifter.
Bakgrunden till GDPR
Sedan PuL, personuppgiftslagen kom för 20 år sedan har den tekniska utvecklingen gått framåt mycket fort. Idag är det möjligt att samla in och spara stora mängder data som kan kopplas till en person. Det påverkar de personliga fri- och rättigheterna och därför har EU tagit fram denna GDPR-förordning som blir lag i alla EU-länder. Lagen syftar till att betona den enskilde personens fri- och rättigheter över sina personuppgifter.
Vad är en personuppgift?
Med personuppgifter menas alla data som kan kopplas till en person som t.ex. namn, adress, telefonnummer eller e-postadress. Personer ska få information då deras uppgifter sparas och rätt att på begäran få utdrag på vilka uppgifter som finns sparade om dem. En viktig nyhet i GDPR är rätten att få sina uppgifter rättade och att bli raderad då skälet för sparande av uppgifterna inte längre gäller.
Hur påverkas bostadsrättsföreningen eller samfällighetsföreningen?
Behandling av personuppgifter, både i elektronisk form och på papper, strukturerat som ostrukturerat får bara göras av den som har rätt till det och då för ett specifikt ändamål. Den lagliga rätten kan vara att man har ett avtal, gemensamma intressen eller att en person aktivt har samtyckt till att finnas med i registret. Endast nödvändiga personuppgifter får registreras och bara sparas den tid som registerhavaren har rätt till det.
En bostadsrättsförening är personuppgiftsansvarig för föreningens lägenhets- och medlemsförteckning. Anlitas en extern förvaltare blir denne personuppgiftsbiträde vilket vanligen regleras i ett avtal. Personuppgiftsbiträde har fått utökat ansvar i GDPR för det som utförs åt den personuppgiftsansvarige. Personuppgiftsbiträdet ska också bistå den personuppgiftsansvarige med att ta fram utdrag ur sina register om en person begär det. Den personuppgiftsansvarige ska teckna biträdesavtal med de som hanterar personuppgifter för dennes räkning.
Inträffar det en incident och personuppgifter som är integritetskänsliga läcker ut, ska den personuppgiftsansvarige anmäla det till Datainspektionen inom 72 timmar. Personuppgiftsbiträdet ska om de upptäcker en sådan incident meddela den personuppgiftsansvarige. Är det en känslig uppgift för personen som kan orsaka skada ska även personerna som berörs underrättas.
Efterlevs inte lagen kan Datainspektionen besluta om att en administrativ sanktionsavgift ska betalas. Den kan som mest vara fyra procent av årsomsättningen, men maximalt 20 miljoner Euro.
Mer information
SBC anser att det är viktigt att hantera och skydda dina personuppgifter på ett korrekt sätt. I vår integritetspolicy beskriver vi hur SBC hanterar personuppgifter. I kundportalen SBC Hemma finns mer information för SBCs kunder att ta del av.
Läs gärna mer på www.datainspektionen.se.