Nyt GDPR-univers: En hjælp til andelsboligforeninger
Datatilsynet har lanceret et GDPR-univers, der skal gøre det lettere for bestyrelserne i mindre foreninger at få styr på personoplysninger og GDPR-regler. Via det nye univers kan bestyrelser i andelsboligforeninger få nyttig viden om GDPR-reglerne og samtidig kan de bruge det som en vejledning til at sikre, at de overholder reglerne.
For mange bestyrelser kan GDPR-regler være lidt af en jungle at finde rundt i. Der er en hel del regler om håndteringen af personoplysninger og derfor en del at holde styr på. Og det kan være vanskeligt – især når man som bestyrelsesmedlem sidder og håndterer mange forskellige informationer, herunder om beboerne i foreningen.
Men der er godt nyt til bestyrelsen, der sidder og er usikker på, om den egentlig godt må gemme oplysninger om en tidligere beboer eller lægge en venteliste online til offentligt skue. For Datatilsynet har, i samarbejde med DGI, ABF og Fonden for socialt ansvar, udarbejdet et GDPR-univers for små foreninger, herunder især andelsboligforeninger. Hensigten er, at det skal være lettere for andelsboligforeninger at sætte sig ind i og holde styr på reglerne omkring personoplysningerne.
“Vi har fra ABF’s side været med i udviklingsarbejdet, sammen med Datatilsynet, for at informationerne tager højde for alle dem, der sidder i en andelsboligforening. Vi ved fra den daglige rådgivning netop hvilke ting, som man sidder med i foreningerne og det har vi taget med videre til Datatilsynet, inden siden blev lanceret,” udtaler Anne Kristensen, der er juridisk chef i ABF, på ABF’s hjemmeside.
I det nye GDPR-univers kan bestyrelsen finde svar, råd og eksempler på GDPR-relaterede spørgsmål. Universet indeholder informationer om grundlæggende GDPR-begreber, samt 7 vigtige trin, der bidrager til at bestyrelsen overholder GDPR-reglerne. Universet er opdelt i tre kategorier, således hhv. boligforeninger, frivillige foreninger og NGO’er kan finde oplysninger og eksempler målrettet direkte til dem.
Hvad er GDPR?
GDPR står for “General Data Protection Regulation”, men er på dansk kendt som databeskyttelsesforordningen. GDPR er EU-reglerne for databeskyttelse og gælder bl.a., når foreninger behandler oplysninger om personer. Ordningen har til hensigt at beskytte folk og gøre det lettere for den enkelte at kontrollere egne oplysninger.
Som forening behandler I personoplysninger om folk, når I indsamler, registrerer eller sletter personoplysninger om f.eks. jeres medlemmer, og da skal GDPR-reglerne overholdes.
“Behandling” af personoplysninger gælder bl.a.:
- Indsamling
- Opbevaring
- Tilpasning eller ændring
- Søgning
- Videregivelse
- Sletning
De 7 trin
Det er naturligvis vigtigt, at man som bestyrelse har styr på og overholder GDPR-reglerne. Hvis ikke GDPR-reglerne overholdes, risikerer man en bødestraf. For at bestyrelser let kan overholde reglerne, er der i det digitale univers sammenfattet 7 vigtige pointer i 7 trin. Ved at gå gemmen de 7 trin, kan bestyrelser nemmere overholde GDPR-reglerne.
De 7 trin hedder:
Trin 1: Skab overblik: Find ud af, hvor I har personoplysninger henne og hvem der håndterer dem.
Trin 2: Spørg jer selv “hvorfor?”: Er der en god grund til, at I har de konkrete oplysninger?
Trin 3: Husk at slette: Husk at I skal slette personoplysninger, når foreningen ikke længere har behov for at bevare dem.
Trin 4: Oplys om, at I behandler personoplysninger: I er forpligtet til at oplyse personer, I har oplysninger om, om at I har oplysninger om dem.
Trin 5: Sørg for at have gode procedure: De personer, I har oplysninger om, har en række rettigheder, herunder har de ret til indsigt, ret til berigtigelse og ret til sletning.
Trin 6: Husk sikkerheden: Beskyt jeres oplysninger på en sikker måde.
Trin 7: I er også ansvarlige, når I deler: Jeres forening er ansvarlig for de personoplysninger, I behandler om folk. Det betyder, at det er jeres ansvar at sikre, at personoplysninger om folk behandles på en lovlig måde.
På Datatilsynets hjemmeside kan I læse mere om de 7 emner/trin. Hertil er der under de enkelte emner/trin eksempler på potentielle situationer, man kan stå i som boligforening, herunder andelsboligforening. Bestyrelsen kan derfor med fordel benytte universet ved tvivlsspørgsmål vedrørende GDPR-reglerne.
Typiske sager, hvor andelsboligforeninger behandler personoplysninger:
- Medlemshåndtering f.eks. ved til- og fraflytning
- Beboerliste
- Venteliste
- Referater fra generalforsamling og bestyrelsesmøder
- Klagesager
- Eksklusionssager
- Juridiske dokumenter f.eks. andelsbeviser
- Mødereferater
Kilde: Datatilsynet