Hantering av personuppgifter

Detta dokument är ett utkast och ännu ej slutligt godkänt av styrelsen.

Bakgrund

Med anledning av de nya EU-lagstiftningen GDPR (General Data Protection Regulation) så har styrelsen för brf Trollkarlen 2 tagit fram riktlinjer och rutiner för hur personuppgifter ska hanteras inom ramen för föreningens arbete.

Detta dokument redogör för hur, när och varför vi behandlar personuppgifter. Dokumentet beskriver även vilka rättigheter du har och vilka skyldigheter föreningen har.

Vad är register?
Ett register är ett it-system för att lagra information. Denna definition är väldigt bred och inkluderar därför exempelvis e-post och lägenhetshetsförteckning.

Var är personuppgifter?
En personuppgift är data som direkt eller indirekt kan härledas till en individ. Denna definition är väldigt bred och inkluderar exempelvis namn, personnummer, telefonnummer, fotografier, fakturor och loggar från inpasseringssystem.

Vad är en personuppgiftsansvarig och ett personuppgiftsbiträde?
Föreningen är personuppgiftsansvarig. Detta betyder att föreningen ansvarar för att de personuppgifter vi har tillgång till hanteras korrekt. Om företag som utför uppdrag åt föreningen, ex. ekonomisk förvaltning och fastighetsskötsel, behöver tillgång till personuppgifter, ex. namn och adress, för att kunna utföra sina uppdrag så är de personuppgiftsbiträden.

I korthet

Föreningen håller medlemsbaserade register i form av medlemsförteckning, och pantregister samt avtal och handlingar för boendet, såsom för överlåtelse, medlemskap och för part, medlem och/eller lägenhet, specifika förhållanden och är därmed personuppgiftsansvarig. Ändamålet med registrering av eventuella personuppgifter är för att kunna genomföra aktuella uppdrag mellan boende/medlem och förening/hyresvärd. Behandlingen av personuppgifter sker enligt dataskyddsförordningens (GDPR) regler. Utlämnande av personuppgifter enligt ovan (och enligt avtal) kan göras till personuppgiftsbiträden såsom mäklare och finansinstitut när detta är påkallat, såsom för överlåtelse och vid pantförskrivning samt vidare till myndigheter och revisorer samt avtalade förvaltare av föreningens uppdrag och administration.

Rättigheter och skyldigheter

Du har som individ följande rättigheter:

  • Du har rätt att få ett utdrag med samtliga personuppgifter som föreningen har om dig.
  • Du har rätt att få personuppgifter raderade om föreningen inte måste hantera dessa personuppgifter enligt lag.

Bostadsrättsföreningen behandlar endast personuppgifter när det finns en laglig grund, dvs. när föreningen behöver personuppgiften för att fullgöra förpliktelser i lag eller avtal, eller om det finns ett uttryckligt samtycke från dig som boende.

Bostadsrättsföreningen har följande skyldigheter:

  • Upprätthålla ett medlemsregister
  • Upprätthålla en lägenhetsförteckning

Samtycke och inhämtning av uppgifter

Föreningen får tillgång till personuppgifter på flera olika sätt, inklusive överlåtelseavtal, kreditupplysning och e-postmeddelanden. Genom att ingå avtal, ex. hyresavtal, eller genom att ansöka om medlemskap i föreningen så samtycker du till föreningens behandling av dina personuppgifter.

Personuppgifter inkommer också via post och e-post. Genom att skicka information till föreningen samtycker du till att föreningen behandlar dina personuppgifter i enlighet med detta dokument. Om personuppgifter för andra personer inkluderas i det du sänder föreningen så ansvarar du för att även dessa personer samtycker till föreningens behandling deras personuppgifter.

Samtycke för behandling av personuppgifter anses inhämtat för samtliga medlemmar och hyresgäster som gick med i respektive ingick avtal med föreningen innan 25 maj 2018. Efter detta datum krävs uttryckligt samtycke från nya medlemmar och nya hyresgäster för behandling av deras personuppgifter.

Registerutdrag

Du har alltid rätt att få ett registerutdrag som visar vilka personuppgifter föreningen har om dig. Ett utdrag måste begäras skriftligen genom att begäran skickas till föreningens postadress. Registerutdrag kan inte begäras via e-post eller andra digitala kanaler.

Ändringar i och gallring av register

Föreningen önskar alltid ha korrekta register. Föreningen uppmanar därför alla hyresgäster och medlemmar att informera föreningen om förändrade personuppgifter. Exempel förändring av telefonnummer, e-postadress eller postadress.

Föreningen har en skyldighet att inte hantera mer personuppgifter än nödvändigt. När specifika personuppgifter inte längre behövs, exempelvis telefonnummer till personer som flyttat ut, så raderas de från föreningens register.

Om du anser att föreningen har personuppgifter om dig som inte krävs för att föreningen ska kunna uppfylla sina förpliktelser gentemot dig så har du rätt att få dessa raderade. Observera dock att vissa personuppgifter måste sparas enligt lag och att vissa personuppgifter behövs för att kunna ge bra service till dig som boende.

Följande tidsgränser appliceras för lagring av personuppgifter:

  • Medlemsförteckning: lagras upp till 7 år efter att föreningen upplöst.
  • Lägenhetsförteckning: lagras upp till 7 år efter att föreningen upplöst.
  • Personuppgifter gällande hyresgäster: lagras upp till 2 år efter att avtalet avslutats.

Personuppgifter som inte längre ska behandlas kan antingen raderas eller anonymiseras. Anonymisering kan exempelvis vara ett alternativ om föreningen önskar ha statistik över hur många hyresgäster som funnits tidigare år.

Ändringar av hur personuppgifter hanteras

Föreningen förbehåller sig rätten att i framtiden uppdatera principerna i det här dokumentet för att ta hänsyn till framtida ändringar av lagar eller tekniska krav. Sådana förändringar kommer att tillkännages i god tid via föreningens vanliga informationskanaler.

Känsliga personuppgifter

Följande personuppgifter hanteras av föreningen i enskilda ärenden och anses vara extra känsliga och skyddsvärda:

  • Personuppgifter relaterade till lagbrott, ex. polisanmälningar som berör en viss lägenhet eller en viss boende.
  • Personuppgifter relaterade till funktionsvariationer, ex. handikappanpassning av lägenheter.
  • Personuppgifter relaterade till personer med skyddad identitet. Personens rätta identitet hanteras aldrig elektroniskt/digital utan enbart på papper. Så länge lagar inte ställer andra krav så anonymiseras dessa personuppgifter vid elektronisk/digital hantering.

Samtliga pappersdokument med personuppgifter av ovanstående typ förvaras inlåsta i brandklassat arkivskåp med kodlås. Enbart styrelsen har tillgång till detta arkivskåp.