bestyrelseshjælpdigitaldigital andelsboligforeningGDPRPersondataprivatlivspolitikslettefrist

Persondata og GDPR: Dét skal bestyrelsen vide

Bestyrelsen har ansvaret for, at foreningen overholder GDPR. Og det er bare med at holde tungen lige i munden. Der stilles nemlig skarpe krav til behandling af personoplysninger, slettefrister og meget andet. Men bare rolig – vi har allieret os med en ekspert på området.

Hvad er persondata og GDPR?

Databeskyttelsesforordningen er udformet af EU og trådte i kraft i maj 2018. Den stiller en række krav til, hvordan personoplysninger behandles. Med behandles menes enhver form for aktivitet med personlige oplysninger, såsom indsamling, registrering, systematisering og opbevaring.

Persondata er alt, hvad nogen er i stand til at henføre til en person, og det gælder alt fra personlige overbevisninger til faktiske oplysninger som kontaktoplysninger og navn. GDPR er forkortelsen for databeskyttelsesforordningen, og står for General Data Protection Regulation.

Andelsboligforeningen kan ikke sige sig fri fra databeskyttelsesforordningen – GDPR. Som udgangspunkt skal bestyrelsen stort set opfylde de samme krav til behandling af persondata, som en større virksomhed skal det. Og misholder bestyrelsen reglerne, kan foreningen blive pålagt en bøde.

 

„Det er her, at nogle bestyrelser kan mene, at GDPR har skudt over mål, men virkeligheden er, at bestyrelsen har ansvar for at beskytte de registrerede, altså andelshavernes, persondata,“ siger Karina Lind Bertelsen, der er advokat i Advodan og specialist i GDPR.

Gælder GDPR-reglerne kun online data?

Svaret er nej. Faktisk er det en udpræget misforståelse, at GDPR kun gælder, når oplysninger kommer online. Persondatareglerne gælder både den digitale behandling af data, men også den manuelle, fysiske behandling af oplysninger, der er systematiseret. GDPR skelner nemlig mellem, om der sker en systematiseret eller usystematiseret behandling af data, når det gælder fysiske dokumenter med personoplysninger.

 

Mød en andelsboligforening, hvor hjemmesiden er deres samlingspunkt her.

Glem ikke privatlivspolitikken

Dykker vi ned i GDPR-reglerne, så er en typisk forglemmelse privatlivspolitikken.

„Først og fremmest skal bestyrelsen opfylde sin oplysningspligt, hvilket kan ske ved at udarbejde en privatlivspolitik. Altså information til andelshaverne om, hvad foreningen bruger deres oplysninger til, om oplysningerne deles med andre parter, hvor længe de gemmes med mere. Her stilles en række krav til udformningen, som bestyrelsen skal overholde. Datatilsynet har en god skabelon til dette,“ siger Karina Lind Bertelsen.

Der findes flere fejlagtige skabeloner til privatpolitikken, men Datatilsynet har en god skabelon til, hvordan man som dataansvarlig forening kan opfylde oplysningspligten.

Find den på www.datatilsynet.dk.

„Foreningen skal både opfylde oplysningspligten overfor nuværende andelshavere, og eksterne der står på en venteliste. Det kan derfor give mening at have to forskellige privatlivspolitikker, hvor den interne kan fremgå på et intranet og den eksterne på hjemmesiden, hvor man skriver sig op til ventelisten. Foreningen kan godt nøjes med én politik, hvis den indeholder information målrettet de forskellige kategorier,“ siger Karina Lind Bertelsen.

Slettefrister for persondata

Når det kommer til persondata er grundreglen, at man ikke må gemme oplysninger længere end de er relevante. Hvornår er det så? Det skal bestyrelsen vurdere ud fra, hvilken type oplysning det er.

„Er det en klagesag, kan det være relevant at gemme den i en længere periode for at føre historik. Er sagen løst, er situationen en anden. Det samme kan gælde information om tidligere beboere, som heller ikke bør gemmes tidsubegrænset,“ siger Karina Lind Bertelsen.

Rådet er derfor klart: Tænk alle de forskellige oplysninger igennem og fastsæt nogle konkrete slettefrister ud fra dem.

„Vurderingen kan være svær. Jeg anbefaler derfor, at tage en ekspert med på råd. Samtidig bør bestyrelsen én gang om året gå alle informationer igennem og slette oplysninger, der ikke længere er relevante. Det er dog også vigtigt, at man ikke sletter ukritisk, men følger de sletteregler, der er vedtaget,“ råder hun.

Når andelsboligforeningen bliver digital

De fleste bestyrelser benytter i dag et eller flere digitale medier, et online system til referater eller et mailprogram. Her er GDPR også vigtig.

„Har andelsboligforeningen oplysninger online vil man kræve, at man har en god sikkerhed omkring systemet, som krav om passwords og grundlæggende IT-sikkerhed, som virusbeskyttelse,“ forklarer Karina Lind Bertelsen, der også påpeger, at det er vigtigt, at bestyrelsen har kontrol over mailkorrespondancerne:

„Det er en god idé at oprette foreningsmails til alle bestyrelsesmedlemmer. Så sikrer foreningen, at relevant historik bliver tilgængelig for nye medlemmer – og samtidig, at de gamle ikke er i besiddelse af nogle personoplysninger, de ikke skal have adgang til, når de er trådt ud af bestyrelsen.“

Vær ekstra varsom med CPR-numre og følsomme oplysninger, som handicap og straffeattester. Det er information, der skal håndteres med særlig omhu. Bestyrelsen må ikke blot bruge et fællesdrev som Dropbox til at opbevare disse.

Billeder og login-oplysninger

Har foreningen en hjemmeside med billeder af bestyrelsen er det vigtigt med en samtykkeerklæring. Det gælder generelt, at man skal være varsom med billeder. Bestyrelsen kan ikke bare smide billeder på hjemmesiden eller Facebook fra arbejdsdagen eller julefrokosten uden tilladelse fra de fotograferede.

Der er også krav til intranettet. Her skal foreningen sikre, at beboere der fraflytter får lukket deres login, så ingen tidligere beboere kan tilgå den interne information.

Lav en databehandleraftale

Mange foreninger bruger det, man kalder ‘databehandlere’. Det kan være en administrator, et elektronisk opkrævningssystem, hjemmesideudbydere eller et lønsystem til at betale viceværten. Ifølge GDPR skal der laves en databehandleraftale med alle disse leverandører.

„På Datatilsynets hjemmeside findes også en skabelon til databehandleraftalen. Man forventer lidt, at leverandøren har styr på det, men det er ikke nødvendigvis tilfældet,“ siger Karina Lind Bertelsen.

GDPR skal skabe tryghed

Der er nok nogle, der synes, at GDPR er noget, fanden har skabt. Men prøv at tænke på dine egne data og alle de steder, du har boet i dit liv. Dem skal databeskyttelsesforordningen være med til at beskytte, og det er særligt vigtigt efter, at alt er blevet digitalt. GDPR er derfor sat i verden for at beskytte dig og mig – online og offline.

 

LÆS OGSÅ: Persondata og andelsboligforeningen

Nynne PG
Om forfatteren: Nynne Pihl Groth arbejder som presse- og kommunikationsmedarbejder hos Andelsportal.dk, hvor hun bidrager til formidlingen af nyheder og guides om andelsboligmarkedet. Nynne har en kandidat i kommunikation fra Copenhagen Business School, og brænder for det journalistiske arbejde. I øvrigt har hun andelstanken på tæt hånd, da hun selv er andelshaver.
Skriv en kommentar