Sedan GDPR började gälla 2018 har bostadsrättsföreningar fått ett tydligt ansvar för hur personuppgifter hanteras. Många styrelser tänker kanske att ”det där gäller väl bara stora företag”, men så är det inte. Även en liten förening med tio lägenheter omfattas av reglerna.
Styrelsen är alltid ytterst ansvarig – det betyder att ni måste se till att uppgifterna används lagligt, att ni inte samlar in mer än nödvändigt och att medlemmarna får veta hur deras uppgifter behandlas. Det handlar inte bara om att undvika böter, utan också om att skapa förtroende. Här är fyra vanliga misstag – och hur ni kan undvika dem.
1. Överinsamling – när ”bra att ha” blir ett problem
Enligt GDPR får ni bara samla in de uppgifter som verkligen behövs. Ändå är det vanligt att föreningar tar in mer än nödvändigt.
Exempel:
- Personnummer begärs in vid anmälan till e‑postlistor, fast namn och adress räcker.
- Kopior på legitimation sparas vid överlåtelser, utan laglig grund.
Varje behandling måste ha en rättslig grund – alltså en anledning som gör att uppgifterna får behandlas. De vanligaste för föreningar är:
- Rättslig förpliktelse – t.ex. medlemsförteckningen enligt bostadsrättslagen.
- Avtal – t.ex. upplåtelseavtal.
- Berättigat intresse – t.ex. att lämna kontaktuppgifter till entreprenörer.
Samtycke används ofta fel, och är en osäker grund eftersom det kan återkallas. IMY avråder från samtycke när annan grund finns.
Så gör ni: Inventera vilka uppgifter ni samlar in. Fråga er: Varför behöver vi den här uppgiften? Vilken rättslig grund finns? Om svaret inte är tydligt – samla inte in den.
2. Bristande gallring – när gamla uppgifter aldrig försvinner
GDPR säger att personuppgifter inte får sparas längre än nödvändigt. Ändå ligger gamla medlemslistor, e‑postregister och avtal ofta kvar i pärmar eller system.
Exempel:
- Uppgifter om tidigare medlemmar sparas flera år efter överlåtelse.
- Gamla e‑postlistor används trots att mottagarna inte längre är medlemmar.
Här blandas GDPR ofta ihop med andra lagar. Bokföringslagen kräver att vissa handlingar sparas i sju år. Medlemsförteckningen ska sparas så länge bostadsrättsföreningen finns (och minst sju år efter en eventuell upplösning). Den ska alltid hållas uppdaterad – tidigare medlemmar tas inte bort, utan markeras med datum för utträde. Men för många andra uppgifter – som e‑postlistor – finns ingen grund för långtidslagring.
Så gör ni: Inför en årlig gallringsrutin. Till exempel kan styrelsen i samband med bokslutet gå igenom pärmar och digitala mappar och rensa bort det som inte längre behövs. Dokumentera vilka uppgifter som finns, varför de sparas och hur länge.
3. Bristande information – när medlemmarna lämnas i ovisshet
Medlemmarna har rätt att veta hur deras uppgifter används. Trots det saknar många föreningar en tydlig integritetspolicy eller missar att informera när uppgifter delas med externa aktörer, t.ex. ekonomiska förvaltare.
Avsaknad av information är inte bara en juridisk risk – det skadar också förtroendet.
En bra integritetspolicy ska svara på följande frågor:
- Vem som är personuppgiftsansvarig och kontaktuppgifter (och ev. dataskyddsombud).
- Vilka uppgifter som behandlas (eller åtminstone kategorier av uppgifter).
- Varför uppgifterna behandlas (ändamål).
- På vilken rättslig grund behandlingen sker.
- Om grunden är berättigat intresse – då måste intresset beskrivas.
- Hur länge uppgifterna sparas (eller kriterier för lagringstiden).
- Vem som får del av uppgifterna (mottagare eller kategorier av mottagare).
- Vilka rättigheter den registrerade har (tillgång, rättelse, radering, begränsning, invändning, dataportabilitet, klagomål till IMY).
Policyn ska vara kortfattad, begriplig och lätt att hitta. I vissa fall kan ytterligare information krävas, till exempel om uppgifter överförs utanför EU eller om automatiserat beslutsfattande används. För de flesta bostadsrättsföreningar räcker dock dessa åtta punkter.
Så gör ni: Upprätta en enkel integritetspolicy. Dela den med alla medlemmar och publicera den på webbplats eller anslagstavla. Uppdatera den regelbundet och komplettera med särskild information vid nya behandlingar, t.ex. kameraövervakning.
4. Avsaknad av personuppgiftsbiträdesavtal – när externa aktörer hanterar uppgifter utan reglering
När föreningen anlitar ekonomisk förvaltare, fastighetsskötare eller IT‑leverantör behandlas ofta personuppgifter för föreningens räkning. Då krävs ett personuppgiftsbiträdesavtal (PUB‑avtal).
Många föreningar saknar sådana avtal eller använder mallar som inte uppfyller kraven. Ett korrekt avtal ska reglera:
- Ändamålet med behandlingen
- Vilka uppgifter som behandlas
- Säkerhetsåtgärder
- Rutiner för incidentrapportering
- Regler för underbiträden
Utan avtal riskerar föreningen att stå ansvarig för leverantörens brister.
OBS: Om entreprenören använder uppgifterna för sitt eget syfte (t.ex. en hantverkare som får en adress för att utföra ett jobb) är den själv ansvarig – då behövs inget PUB‑avtal.
Så gör ni: Säkerställ att alla leverantörer som hanterar personuppgifter för er räkning har giltiga PUB‑avtal. Granska och uppdatera dem regelbundet.
Konsekvenser av bristerna
Att förbise dessa områden kan få allvarliga följder. Överträdelser kan leda till sanktionsavgifter eller skadestånd, även vid oaktsamhet. IMY har redan ingripit mot föreningar, t.ex. vid otillåten kameraövervakning i tvättstugor. Även små föreningar kan få tillsyn.
Slutsats
GDPR är inte bara en juridisk formalitet utan en fråga om förtroende mellan styrelse och medlemmar. Genom att undvika överinsamling, införa rutiner för gallring, ge tydlig information och teckna korrekta biträdesavtal kan bostadsrättsföreningar både minska risken för sanktioner och stärka relationen till sina medlemmar.