Slopa titlarna på dina grannar och se upp med bilderna från gårdsfesterna. Nu påverkas även bostadsrättsföreningarna av EU:s krav på högre integritetsskydd. – Det måste finnas laglig grund när persondata samlas in, säger Hans Kärnlöf, jurist vid Datainspektionen.
Om en månad kommer de tuffare reglerna om vilken datainformation som företag och andra aktörer får samla in om oss alla. Till och med bostadsrättsföreningar kan påverkas, i synnerhet om styrelser eller förvaltare samlar in sådan information som inte krävs enligt svensk lag.
– Om föreningen till exempel har en sajt där man lägger ut bilder efter gårdsfesten, är det något extra. Det kan kräva samtycke från de berörda medlemmarna. Föreningar får också tänka på att yrkestitlar i registren knappast har lagstöd utan samtycke, säger Hans Kärnlöf, jurist vid Datainspektionen.
"Skamregister" är ett annat exempel – alltså sparade listor om vilka som deltar och inte deltar i städdagarna. Om sådant ligger på dator, kan det bli känsligt med EU:s nya datalag, GDPR.
– Anmälan till vårstädningen kan man ha på papperslistor, så slipper man databehandling och risken för framtida rättsfall, resonerar Hans Kärnlöf.
Den nya lagen om personuppgifter på data träder i kraft i Sverige den 25 maj. Principen är att det ska finnas laga grund för insamling av personuppgifter, annars måste den som samlar in uppgifterna be om ett tydligt samtycke från dem som man samlar in uppgifter om – och dessutom vara betydligt mer transparent än innan.
I en bostadsrättsförening är det förstås fortfarande tillåtet att upprätta dataregister med sådant som namn, adresser, betalningshistorik etcetera. Det finns enligt Hans Kärnlöf också lagstöd för viss känslig datainsamling om sådant som störningar eller ohyra i lägenheter.
– Man får ju inte dra in ohyra eller driva en bordell, säger Hans Kärnlöf som konstaterar att datainsamling motiveras av vad som är ett "berättigat intresse" utifrån befintliga lagar om föreningsverksamheten.
– Men om en förening får för sig att registrera till exempel vilka medlemmar som har ett visst intresse, låt säga fågelskådning, så kräver det samtycke. Det går utöver avtalet om bostad att registrera grannarnas intressen. För det krävs ett samtycke, annars saknas rättslig grund.
Det är den gamla Personuppgiftslagen, PUL, som nu ersätts av en lag som gäller lika i hela EU, något som påverkar snart sagt alla företag.
Vid Sveriges Bostadsrättscentrum, SBC, konstaterar chefsjuristen Monica Jukic att styrelser i bostadsrättsföreningar generellt är varsamma med personuppgifter. Namn och lägenhetsnummer är självklart i ett föreningsregister, men det kan finns en gråzon om e-post och telefonnummer eftersom det inte nämns explicit i bostadsrättslagen. Det kan vara läge för styrelsen att mejla ut till medlemmarna om att godkänna uppgifterna om e-post och telenummer.
Till det nya hör att företag – och föreningar – som samlar in persondata ska ha en "personuppgiftsansvarig" som ser till att persondata inte sprids till obehöriga. Om det ändå sker, finns ett ansvar att slå larm till myndigheterna.
Lämnar man uppgifterna vidare till en förvaltare, ska även förvaltaren ta motsvarande ansvar – ett avtal om det måste upprättas mellan föreningen och förvaltaren.
Den nya lagen ger möjligheter att ganska kraftigt bötfälla aktörer som inte hanterar persondata rätt. Just för bostadsrättsföreningar menar Hans Kärnlöf att risken inte ska överdrivas. Den nya datalagens tolkning kommer att göras successivt efter domar i olika EU-länder, och detta kommer att ta tid. Praxis om tillämpningen av GDPR ska alltså utvecklas, med målet att svenskar ska göra likadant som till exempel fransmän och italienare.
Kommersiella aktörer som Fastighetsägarna och Sabo, som är allmännyttans samarbetsorganisation, håller just nu på att ta fram en branschgemensam uppförandekod som Datainspektionen ska titta på. Hyresvärdarnas kommande uppförandekod kan troligen ge bostadsrättsföreningar ytterligare vägledning.
