Forum för alla i bostadsrätt

Forum för alla i bostadsrätt (http://hotpot.se/php/vb/index.php)
-   Juridik - Stadgar och Lagar - BrL, LEF (http://hotpot.se/php/vb/forumdisplay.php?f=11)
-   -   GDPR i BRF:Er (http://hotpot.se/php/vb/showthread.php?t=28825)

0Xb 2018-02-16 14:33

GDPR i BRF:Er
 
Är det någon som börjat bottna detta? Avgifterna om man gör fel sänker de flesta föreningar för gott..

Som jag tolkar det gäller GDPR även BRF:er små som stora, vilket innebär att medlemsregister som ligger på någon styrelsemedlems dator inte är okej exempelvis. Slutar han eller hon har den föredetta styrelsemedlemmen datan kvar på sin dator.... det är ett lekage.

Vad har ni för tankar? Jag funderar på att skaffa paddor för alla styrelsemedlemmar och det är där informationen får vara.

Husing 2018-03-20 11:12

I min förening är vi lite sena på den här pucken, men kommer att gå igenom det innan det börjar gälla 25 maj.

Jag tänker mig att vi först och främst måste upprätta ett register över var olika personuppgifter förekommer.

Sedan skall vi antingen kunna motivera varför vi har dem, eller ta bort dem. Till sist skall vi skapa rutiner/processer för att uppgifter som inte längre behövs tas bort. Just det här med att ta bort saker och se till att de inte sparas överallt verkar vara det viktigaste att få koll på.

Vi använder ju oss av Dropbox för att spara saker samt har ett gmail-konto för föreningen, men båda dessa leverantörer anses som "säkra" eftersom de följer "Privacy shield". Åtkomsten till Dropbox och styrelsemailen försvinner så snart någon avgår från styrelsen, så där har vi uppfyllt den punkten.

Till slut skall det även bli intressant att se om detta påverkar våra leverantörer på något sätt. Kommer exempelvis överlåtelsehandlingar att postas igen?

Harald 2018-03-20 12:00

Tror inte man skall vara för orolig för denna förändring.

Som jag förstått så behöver företag och organisationer som hanterar personuppgifter kunna motivera sin användning och sin registerhållning.

För en BRF lär detta knappast ifrågasättas.

Känns mer som man är ute efter alla de företag som hanterar och säljer vidare personuppgifter för att sälja på oss privatpersoner allt möjligt mög!

Husing 2018-03-21 15:31

Nej, jag är inte orolig som att vi kommer att bli kontrollerade. Men det är någonting ganska viktigt att hålla koll på för ens egen del också så att man kan motivera varför man gör på ett eller annat sätt. Det är ändå ett lagkrav.

Thomas_A 2018-03-22 07:48

Eftersom jag varit delaktig som remissinstans på i princip varenda utredning i GDPR så skulle jag säg att det inte är så stora skillnader, förutom dokumentation på behandling av personuppgifter. Dock bra att det uppmärksammas att man ska dokumentera mer.

0Xb 2018-04-01 20:16

Citat:

Ursprungligen skrivet av Thomas_A (Inlägg 70328)
Eftersom jag varit delaktig som remissinstans på i princip varenda utredning i GDPR så skulle jag säg att det inte är så stora skillnader, förutom dokumentation på behandling av personuppgifter. Dock bra att det uppmärksammas att man ska dokumentera mer.

Nåja nog är det stor skillnad allt va’? Personuppgifter i mail är inte okej längre. Dessutom rätt kraftiga sanktionsavgifter. Vem som helat kan anmäla. Bara hotet från tidigare medlemar som är missnöjda. Eller de som blivit felbehandlade. 10mkr i böter för mindre förseelser slår rätt hårt..

0Xb 2018-04-01 20:18

Citat:

Ursprungligen skrivet av Thomas_A (Inlägg 70328)
Eftersom jag varit delaktig som remissinstans på i princip varenda utredning i GDPR så skulle jag säg att det inte är så stora skillnader, förutom dokumentation på behandling av personuppgifter. Dock bra att det uppmärksammas att man ska dokumentera mer.

Kontrollerade är minsta problemet som jag ser det som. Missnöjda föredetta boende som gör illviljes anmälan är inte att föringa. Jag tror du underskattar problemet. Och kommunerna gör faktiskt kontroller.

Sofie 2018-04-02 00:15

Om en tidigare styrelse misskött sig och medlemmarna låtit dem slippa undan så finns det anledning till oro. Slapphet kostar.

Det måste finnas en större respekt för personuppgifter och jag tycker det är bra med nya hårdare regler.

Thomas_A 2018-04-02 11:24

Citat:

Ursprungligen skrivet av 0Xb (Inlägg 70440)
Nåja nog är det stor skillnad allt va’? Personuppgifter i mail är inte okej längre. Dessutom rätt kraftiga sanktionsavgifter. Vem som helat kan anmäla. Bara hotet från tidigare medlemar som är missnöjda. Eller de som blivit felbehandlade. 10mkr i böter för mindre förseelser slår rätt hårt..

Som sagt det nya är en dokumentation av de processer man har för hantera personuppgifter (syfte, lagring, gallring mm), enligt artikel 6.1.

Thomas_A 2018-04-02 11:45

Här såg jag några tips som lagts ut av en advokat:

Upprätta interna policydokument avseende hantering av personuppgifter som innefattar hanteringen av e-post. Se därefter till att utbilda alla och hålla policydokumentet levande så att det följs. Det faktum att e-post kommer att omfattas av GDRP kommer att innebära att vi alla behöver tänker annorlunda när det gäller användningen av personuppgifter när vi skickar, skickar vidare, tar emot, sorterar, lagrar och raderar e-post.

Gå igenom och specificera för vilka ändamål personuppgifter behandlas i e-post i organisationen. Personuppgifter får bara behandlas för specifikt angivna ändamål och dessa ändamål styr sedan hur mycket uppgifter som får behandlas, hur länge och så vidare. I den här genomgången är det relevant att först grovt dela upp ändamålen i sådana som är helt interna och sådana som är relaterade till företagets kunders, sjukhusets patienter, föreningens medlemmar och så vidare. I det GDPR-arbete som alla ändå borde hålla på med vid det här laget måste frågan om ändamålen med all personuppgiftsbehandling ändå ställas och sannolikt kommer man här att kunna återanvända den analysen även för att tydliggöra ändamålen med behandlingen av personuppgifter i e-post.

Analysera vilken laglig grund som finns för behandlingen av personuppgifter i e-post, kopplat till de angivna ändamålen. I externa relationer med kunder och andra behandlas personuppgifter ofta för att kunna fullgöra avtal eller baserat på samtycken som har inhämtats i samband med att avtal ingicks. I interna relationer mellan organisationens anställda handlar det ofta om en så kallad intresseavvägning. Detsamma gäller också marknadsföringsutskick, där man dock bör betänka att huvudregeln enligt marknadsföringslagen är att det krävs samtycke för att rikta marknadsföring genom e-post.

Implementera mekanismer för att uppfylla de registrerades rätt till information om vem som är så kallad personuppgiftsansvarig, varför uppgifterna behandlas, hur länge och så vidare. När det gäller anställda är denna fråga ofta okomplicerad: informationen bör tas med i den integritetspolicy som den anställde ska få del av i samband med att anställningsavtalet ingås. När det gäller relationer med konsumenter eller personer som ingår i myndighetsärenden kan informationen hanteras på liknande sätt, det vill säga i integritetspolicyn avseende dessa. Det blir mer komplicerat med behandling av personuppgifter om personer som man inte har någon avtalsrelation med, till exempel kontaktpersoner hos företagskunder. Ett lämpligt sätt kan vara att lägga in en standardtext i alla e-postmeddelanden, där information ges om att e-post som skickas till företaget eller organisationen kommer att behandlas enligt den integritetspolicy, som man hänvisar till genom en länk. Om man mottar ett e-postmeddelande som man inte har någon anledning att besvara det så har företaget, myndigheten eller organisationen sannolikt inget skäl att spara det inskickade meddelandet och då det bör raderas.

Begränsa användningen personuppgifter i e-post till vad som är nödvändigt för att uppfylla de ändamålen. Detta följer av den så kallade uppgiftsminimeringsprincipen och innebär helt enkelt att vi kommer att behöva tänka på och bli betydligt mer restriktiva när det gäller användning av personuppgifter i e-post.

Tänk på vilka som behöver ta del av e-post som innehåller personuppgifter. Som huvudregel ska bara sådana personer som har behov av tillgång till personuppgifter för att kunna utföra sitt arbete också ha tillgång till dem. Det finns därför anledning att överväga till vilka e-postmeddelanden skickas, inte minst vilka som ska stå som kopiemottagare. Strunta i att skicka information till folk som egentligen inte behöver den. De kommer att tacka dig!

Inför tydliga rutiner för återkommande radering av e-post. Personuppgifter får bara behandlas så länge de behövs för att uppfylla ändamålen med behandlingen. Det blir därför viktigt att ha de olika ändamålen klargjorda för sig och anknyta gallringsrutiner till dessa ändamål. Lagra bara e-post som verkligen behövs för att uppfylla ändamålen och radera resten! Se därefter till att radera sparad e-post när ändamålen är uppfyllda.

Inför lämpliga informationssäkerhetsåtgärder avseende e-posten. Detta innefattar åtgärder som till exempel att se till att skydda e-posten från obehörig åtkomst från utomstående, att införa tydliga krav på användarnamn och lösenord och så vidare. I det arbete med informationssäkerhet som ändå behövs göras för att uppfyll GDPRs krav måste e-postsystemet helt enkelt ingå.

Thomas_A 2018-04-02 11:47

Tillägg är också de som lägger ut protokoll offentligt måste ha en dokumenterat process för detta, eftersom det ofta innebär offentliggörande av personuppgifter.

0Xb 2018-04-03 01:07

Citat:

Ursprungligen skrivet av Thomas_A (Inlägg 70454)
Tillägg är också de som lägger ut protokoll offentligt måste ha en dokumenterat process för detta, eftersom det ofta innebär offentliggörande av personuppgifter.

Ja hur hanterar man stämmoprotokoll på webben? Hur tänker ni?

Thomas_A 2018-04-03 08:59

Citat:

Ursprungligen skrivet av 0Xb (Inlägg 70470)
Ja hur hanterar man stämmoprotokoll på webben? Hur tänker ni?

Säkrast är en rutin som följer 6.1a. Dvs samtycke. Då gäller att man har en dokumenterad rutin för hur man inhämtar samtycke för denna behandling. Alternativ 6.1f.

Thomas_A 2018-04-03 11:59

När det gäller e-post kan man exempelvis ha i sin dokumentation, men det kan filas på.

1. Föreningen e-post avser att primärt vara en ingång för kontakt mellan medlemmar och styrelse. För frågor som inkommer från medlem till styrelse utgår styrelsen från att medlem har samtyckt att medlems e-postadress kan användas för svar på inkommande fråga (GDPR artikel 6.1a). Styrelsens åtagande gäller e postadressen endast används för svar på inkommande e-post.

2. Föreningens e-post används också för utskick av informationsbrev. För inhämtande av e-post-adresser har medlemmar informerats om denna kommunikationsväg. I och med att medlemmar frivilligt lämnat e-postadresser i syfte att få informationsutskick från styrelsen är detta att betrakta som samtycke (GDPR artikel 6.1a).

3. Styrelsens hantering av e-postadresser sker i ett webbaserat program (xxxx). I samtliga utgående brev från styrelsen finns en förklaring hur epost hanteras och hur man gör för att avregistrera sig i de fall man inte längre vill ha epost eller ha sin epost registrerad. Vid sådan uppmaning från medlem raderas mailadressen omgående från systemet. Styrelsen ser också över raderar också e-postadresser från tidigare medlemmar som är avflyttade från föreningen.

4. Vid sk informationsutskick till flera sker detta genom att e-postadressen till medlemmarna är dold. På så sätt förhindras spridning av personuppgifter i form av e-postadresser.

5. Styrelsen e-post gallras årligen. Dokumentation som är viktig för framtida uppföljning som exempelvis ändringar i lägenheter som medlemmar inkommit med per e-post sparas i pappersformat.

Mastodont 2018-11-20 21:08

Angående GDPR
 
Hur är fallet om en myndighet efterfrågar en personuppgift från en medlem i föreningen?

0Xb 2018-11-30 22:39

Citat:

Ursprungligen skrivet av Thomas_A (Inlägg 70474)
5. Styrelsen e-post gallras årligen. Dokumentation som är viktig för framtida uppföljning som exempelvis ändringar i lägenheter som medlemmar inkommit med per e-post sparas i pappersformat.

Varför pappersformat?

Thomas_A 2018-11-30 22:48

Citat:

Ursprungligen skrivet av 0Xb (Inlägg 73439)
Varför pappersformat?

Varför inte? Men visst spara i ett framtidssäkert format.

0Xb 2018-12-03 00:29

För att du måste gå till stället där pappret är lagrat. Genom att lagra det som pdf inskannat har man tillgång till det.

Du vinner inget skydd på papper, du måste ändå ha det inlåst, och kunna visa vilka som har haft access, och hur det skyddas om det innehåller personuppgifter, i någon form.

Karmenella 2018-12-04 11:16

Missbruksregeln har upphört tillsammans med PUL och nu gäller det för varje styrelse att stå för det som dokumenterats under sin mandatperiod.

Artikel 15
Den registrerades rätt till tillgång

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a) Ändamålen med behandlingen.

b) De kategorier av personuppgifter som behandlingen gäller.

c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

e) Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f) Rätten att inge klagomål till en tillsynsmyndighet.

g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.


Alla tider är GMT +2. Klockan är nu 09:41.

vBuletin® Version 3.6.8 Copyright ©2000 - 2021.
Allt om bostadsrätt - Sveriges största sajt om bostadsrätter - Köpa bostadsrätt privat utan mäklare