GDPR kan lyde som noget, der kun vedrører jurister og store virksomheder; Men reglerne gælder faktisk også for boligforeninger – og det er uanset om I er en andelsboligforening, ejerforening, grundejerforening eller øvrig boligforening.
Som foreningens daglige ledelse er det bestyrelsen, der har ansvaret for, hvordan personoplysninger om beboere, medlemmer og samarbejdspartnere bliver håndteret. Som udgangspunkt er alt, hvad I foretager jer (i foreningens navn) omfattet af databeskyttelsesreglerne, og derfor er I dataansvarlige. Det betyder, at det er jeres ansvar at sikre, at personoplysninger behandles lovligt, forsvarligt og med respekt for privatlivets fred.
Administrator og GDPR: Hvem har ansvaret i en boligforening?
Mange andelsboligforeninger og ejerforeninger har en administrator til at varetage den daglige drift. Selvom administrator hjælper med det praktiske, er det stadig bestyrelsen, der bærer det juridiske ansvar for, at persondata behandles korrekt.
Administrator fungerer som udgangspunkt som databehandler og må kun behandle oplysninger efter jeres instrukser. Derfor skal I:
- Indgå en skriftlig databehandleraftale
- Føre tilsyn med, at administrator overholder GDPR
- Sikre, at databehandlingen sker sikkert og lovligt
Du kan læse mere om, hvordan vi i Qvortrup behandler og arbejder med persondata herunder.
Datatilsynet hjælper bestyrelsen i små foreninger
For at gøre GDPR mere overskueligt har Datatilsynet i juni 2024 lanceret et nyt GDPR-univers for små foreninger. Det er udviklet med netop jer i tankerne.
Her finder I konkrete råd, eksempler og værktøjer, der tager udgangspunkt i hverdagen i en foreningsbestyrelse. Vi har udarbejdet denne artikel med udgangspunkt i tilsynets GDPR-univers, og du kan besøge det her.
Mange bestyrelser oplever GDPR som svært og uoverskueligt. Men der er faktisk god grund til at tage reglerne alvorligt:
- Fejl i håndteringen af personoplysninger kan føre til klager, bøder og tab
- Med de rette rutiner og vejledning bliver GDPR en tryg og håndterbar del af bestyrelsesarbejdet
Datatilsynet: 7 trin til GDPR-compliance i foreningen
1: Skab overblik over personoplysninger
Spørg jer selv:
- Hvor opbevarer vi personoplysninger? (fx mail, OneDrive, papirarkiv)
- Hvem har vi oplysninger om? (beboere, tidligere beboere, ventelister, frivillige)
- Hvilke oplysninger har vi? (navn, mail, CPR, klager, økonomi)
- Hvem har vi delt oplysninger med? (administrator, revisor, advokat)
Datatilsynets anbefaling:
- Lav en liste over alle personoplysninger i foreningen
- Notér, hvor (og hos hvem) de opbevares og hvorfor
Kilde: Datatilsynet – Trin 1
2: Find det lovlige grundlag
Eksempler på lovlige grunde:
- Medlemsadministration
- Klagesager
- Regnskabsbilag
- Billeder fra sommerfest (hvis samtykke)
Datatilsynets anbefaling:
- Vurder og angiv det lovlige grundlag for hver type data
- Slet oplysninger, der ikke har et gyldigt grundlag
Kilde: Datatilsynet – Trin 2
3: Indfør sletteregler og rutiner
Databeskyttelsesreglerne fastsætter ikke konkrete opbevaringsperioder, da det er op til foreningen selv at vurdere, hvor længe oplysningerne er nødvendige.
Datatilsynets anbefaling:
- Lav en slettepolitik med udgangspunkt i foreningens behov
- Ryd op mindst én gang om året
Kilde: Datatilsynet – Trin 3
4: Oplys beboere og medlemmer om jeres databehandling
Alle har ret til at vide:
- Hvilke oplysninger I behandler
- Hvor længe I opbevarer dem
- Hvem I deler dem med
- Hvordan man bruger sine rettigheder
Datatilsynets anbefaling:
- Lav en privatlivspolitik og del den ved indmeldelse eller på hjemmesiden
Kilde: Datatilsynet – Trin 4
5: Hav styr på rettigheder
Beboere og medlemmer har ret til:
- Indsigt i egne oplysninger
- At få dem rettet eller slettet
- Svar inden 30 dage
Datatilsynets anbefaling:
- Udpeg en kontaktperson i bestyrelsen
- Lav en tjekliste til behandling af henvendelser
Kilde: Datatilsynet – Trin 5
6: Beskyt oplysningerne teknisk og organisatorisk
Gode råd til små foreninger:
- Brug adgangskoder og to-faktor-login
- Undgå at gemme følsomme oplysninger i Dropbox eller privat mail
- Slet data ved udskiftning af computer
- Lås mapper både fysisk og digitalt
Datatilsynets anbefaling:
- Lav en liste over jeres sikkerhedstiltag
- Gennemgå jeres systemer mindst én gang om året
Kilde: Datatilsynet – Trin 6
7: Indgå databehandleraftaler med administrator og øvrige samarbejdspartnere
Hvis I deler oplysninger med:
- Administrator
- IT-leverandører (Outlook/Anden mail-udbyder, Dropbox mv.)
- Advokat
…så skal I:
- Indgå en skriftlig databehandleraftale
- Føre tilsyn med, at databehandleren overholder GDPR
Kilde: Datatilsynet – Trin 7
5 eksempler på typiske GDPR-situationer i boligforeninger
- Referater med følsomme oplysninger (fx sygdom, sociale forhold eller klagesager) må ikke deles med beboerne eller offentliggøres.
- Ventelister, beboerlister og restancelister må ikke deles uden forudgående samtykke fra de registrerede.
- Følsomme personoplysninger (fx helbredsoplysninger, CPR-numre og oplysninger om børn) må aldrig offentliggøres – hverken på hjemmeside, i nyhedsbreve eller på opslagstavler.
- E-mails til flere beboere skal sendes med BCC-feltet (blind copy), så modtagernes adresser ikke bliver synlige for hinanden.
- Fotos fra sociale arrangementer må kun bruges, hvis der er givet samtykke, eller hvis der foreligger en klar, legitim interesse.
Vores advokat anbefaler disse gemme-regler
Når I som bestyrelse opbevarer og behandler personoplysninger, skal det ske med omtanke og i overensstemmelse med databeskyttelsesreglerne. GDPR fastsætter ikke præcise slettefrister, men vores advokat, Jens Anker Hansen, anbefaler følgende praksis:
E-mails
Oplysninger om fraflyttere
Regnskaber og bilag
Arbejdsdokumenter og interne noter
Opbevaring og adgang
Derfor kan I trygt samarbejde med os som administrator
Som administrator behandler vi i Qvortrup personoplysninger på vegne af foreningen, og vi er derfor databehandler. Denne rolle tager vi både seriøst og alvorligt, og derfor har vi etableret en række faste procedurer, der sikrer, at alle oplysninger håndteres sikkert, lovligt og med respekt for GDPR:
- Vi indgår databehandleraftaler i alle vores kundeforhold, så roller og ansvar er klart defineret – og så I som dataansvarlige kan dokumentere, at I fører tilsyn.
- Vi arbejder ud fra en gennemarbejdet persondatapolitik, som vores medarbejdere følger i det daglige arbejde med jeres data.
- Vi stiller en sikker digital platform til rådighed til alle vores kunder, hvor dokumenter og oplysninger behandles og opbevares korrekt med adgang via login.
- Vi anvender specialudviklede systemer til ejendomsadministration, hvor både funktionalitet og databeskyttelse er tænkt ind fra start.
Vi har en klar ambition om at være en betroet samarbejdspartner, der kender både lovgivningen og hverdagen i boligforeninger. Derfor er det vigtigt for os, at vi behandler jeres data med ansvarlighed og respekt.
Bestyrelsens 3 GDPR-opgaver lige nu
- Brug Datatilsynets GDPR-univers aktivt
- Lav politikker for registrering, sletning og indsigt
- Hold jer opdateret om området som dataansvarlig
Når I overholder GDPR, beskytter I ikke kun jeres medlemmer; I styrker også tilliden i foreningen og undgår unødige klager eller sanktioner.
Datatilsynet har udviklet materialet i samarbejde med ABF, så det tager udgangspunkt i jeres virkelighed. God GDPR-lyst!
