GDPR i praktiken: “Det här bör styrelsen ha koll på” 

Dataskyddsförordningen, eller GDPR, kan låta skrämmande. Det sista man vill är att få en reprimand för att någon ur styrelsen slarvar med medlemmarnas personuppgifter. Men med rätt rutiner kan styrelsen minska risken för att omedvetet bryta mot GDPR. Dessutom finns det ett vanligt missförstånd – att man måste lämna ut mer än bara personuppgifter, menar experten Ivana Matic.

Syftet med GDPR är i grund och botten att värna om den personliga integriteten. För samfällighetsföreningar handlar det främst om att behandla och lagra personuppgifter på rätt sätt. 

–  Kan uppgiften knytas till en fysisk person, eller om uppgiften i kombination med andra uppgifter kan knytas till en fysisk person, då är det en personuppgift som styrelsen ska behandla i enlighet med GDPR, säger Ivana Matic, Jurist på Integritetsskyddsmyndigheten. 

Behandling av personuppgifter i debiteringslängder, medlemslistor och andra dokument som är vanligt förekommande i en samfällighetsförening omfattas alltså av GDPR. Men det betyder inte att styrelsen behöver oroa sig för att bryta mot någon regel, menar Ivana, och lyfter debiteringslängden som exempel. 

För att få behandla personuppgifter måste det finnas en rättslig grund som man stöder behandlingen på. Det finns totalt sex olika rättsliga grunder, varav ”rättslig förpliktelse” kan bli aktuell vid behandling av personuppgifter för samfälligheter. ”Rättslig förpliktelse” innebär att behandlingen av personuppgifter är nödvändig för att föreningen, enligt lag, har en skyldighet att behandla vissa typer av personuppgifter. 

– I fallet med debiteringslängden och medlemslistor och sådant som kräver att man behöver veta vilka som är medlemmar i föreningen skulle lagen om förvaltning av samfällighetsföreningar kunna vara tillämplig. Eftersom det finns bestämmelser i lagen som förutsätter att föreningen har en debiteringslängd, så skulle en sådan behandling kunna stödja sig på den rättsliga grunden, säger hon. 

Medlemmarnas rätt att ta del av personuppgifter

Enligt GDPR kan vem som helst begära att få ta del av om hur ett företag eller organisation har hanterat deras personuppgifter, och i vilka sammanhang de har kommit på tal. Något som även gäller för samfällighetsföreningar. Men det finns en viktig detalj här, menar Ivana, och förklarar att det handlar om hur den enskildes personuppgifter behandlas. Övrig information behöver inte lämnas ut.

– Det är ett vanligt missförstånd att man tror att man ha rätt till samtliga uppgifter i ett dokument där ens personuppgifter förekommer, men så är det inte. En medlem har till exempel rätt att veta att deras personuppgifter förekommer i ett styrelseprotokoll, men inte mer än så. 

I praktiken betyder det att styrelsen måste lämna ut information om att de har förekommit i protokollet – men inte varför eller vad som diskuterats. 

– Ett annat bra exempel är att någon som varit på en arbetsintervju hos ett företag men inte fått jobbet, begär ut all information för att läsa om varför den inte fick jobbet. Men så funkar det inte, utan företaget behöver i vissa fall bara lämna ut att individens uppgifter förekommer i ett visst dokument. Inte mer än så. 

Om en medlem begär att få ta del av sina uppgifter har föreningen 30 dagar på sig att plocka fram allt. Information som varför föreningen behandlar individens uppgifter, hur uppgifterna hanteras, hur länge de kommer att sparas och vem eller vilka uppgifterna har delats med.

– Det är därför det är så viktigt att ha en registerförteckning där all information den registrerade har rätt att få ta del av framgår. För om en registrerad medlem begär tillgång till eller information om hur dennes personuppgifter behandlas, ska man kunna plocka fram det relativt snabbt och enkelt, säger Ivana. 

Hårdare regler kring känsliga personuppgifter

Utöver vanligare personuppgifter behöver man se upp med de av känsligare karaktär. Det kan exempelvis handla om en medlems psykiska tillstånd, uppgifter som avslöjar ras eller etniskt ursprung eller politiska åsikter. Men det kan också vara mer vanligt förekommande saker som sjukfrånvaro, graviditet eller läkarbesök. 

– Ibland så finns det skäl till att man behöver uppgifterna ändå, till exempel om en medlem i styrelsen sjukanmäler sig inför ett viktigt styrelsemöte. Men saknar man rättslig grund för uppgiften så ska man radera uppgiften direkt. 

GDPR gäller vid all behandling av personuppgifter, såväl fysiskt som digitalt. Ett mejl som innehåller uppgifter styrelsen inte får hantera, exempelvis om det saknas rättslig grund, ska alltså inte behandlas, och med fördel raderas direkt. Även brev eller andra fysiska dokument som inte längre är relevanta ska raderas direkt. 

– Man ska också identifiera och dokumentera de uppgifter som faktiskt ska och kan hanteras av styrelsen, och varför de finns. Då får man en bra överblick, och det ger styrelsen möjlighet att säkerställa att man inte behandlar uppgifter som man inte får eller behöver, säger Ivana.

Molnlagring och säkerhet

Molnlagring är ett populärt alternativ när det kommer till digital lagring av föreningens material. Det finns många leverantörer som erbjuder det. Ivana berättar att om verksamheten överväger att börja använda en molntjänst så är det viktigt att man tar reda på i vilket land behandling av uppgifterna sker. Detta eftersom det är en utmaning att hitta molntjänster som uppfyller kraven i GDPR bl.a. eftersom användare ofta har begränsade möjligheter att påverka säkerheten.  

– Man ansvarar själv för att se till att skyddet är tillräckligt. Vi har inte uttalat oss specifikt om vilka tjänster som är okej eller inte, man får läsa på lite och göra en egen avvägning. Se över att man verkligen har kontroll över de uppgifter föreningen lagrar. 

Ännu ett steg för att säkra medlemmarnas personuppgifter är att utse någon ansvarig, antingen styrelsen eller en person i föreningen som är ansvarig för personuppgiftsfrågor. Man bör också se över behörigheter, alltså vilka som har tillgång till vilka uppgifter. En vanlig fråga är om valberedningen ska få tillgång till medlemsförteckningar eller liknande. 

– Man ska begränsa behörigheten så mycket som krävs för att säkerställa onödig exponering av personuppgifterna. Anser styrelsen att det finns skäl för att valberedningen behöver ta del av uppgifterna och att det finns ett ändamål med delningen så är det okej. Men går det att lösa på något annat sätt, så är det att föredra. 

Men styrelser behöver inte oroa sig över några ekonomiska konsekvenser om olyckan är framme. Det är ovanligt att smärre överträdelser resulterar i sanktionsavgifter , menar Ivana. 

– Det vanligaste, när det kommer till mindre överträdelser, är en reprimand som är en slags tillrättavisning. När det kommer till enskilda klagomål från privatpersoner som invänder om behandlingen av dennes personuppgifter, kan det i vissa fall resultera i att vi ålägger föreningen att radera dessa uppgifter.