Når ga du sist bort opplysninger om deg selv på nett?
Det å handle online eller å opprette en bruker på en nettside er blitt så hverdags at vi nærmest ikke tenker over det lenger. De færreste av oss har kontroll på hvilken informasjon som er lagret, hvem som sitter på opplysningene, hva de brukes til, eller om de blir solgt videre til en tredjepart.
GDPR enkelt forklart
I 2018 trådte EUs nye personopplysningslov, GDPR, i kraft. Formålet med loven er å gi enkeltpersoner bedre mulighet til å kontrollere opplysninger registrert om dem selv.
I korte trekk går GDPR ut på følgende:
1. Skal du samle inn personopplysninger, så skal du ha en hensikt med det.
2. Skal du samle inn personopplysninger, så må du få samtykke til å gjøre det.
3. De som leverer fra seg personopplysninger, skal ha tilgang til den informasjonen – og skal kunne kreve at opplysningene slettes.
Dessuten skal du innhente minst mulig informasjon.
Hva innebærer dette for deg som sitter i styret i et borettslag?
Styrets ansvar
Styret i borettslaget samler inn og behandler personopplysninger om beboerne, for å oppfylle en rettslig forpliktelse (borettslagsloven og eierseksjonsloven), samt for å ivareta borettslagets interesse av forsvarlig drift av borettslaget. Følgelig blir styret berørt av GDPR.
Vi ser nærmere på hvilket ansvar styret har.
Databehandleravtale
De som lagrer eller behandler informasjon om andre, har betegnelsene behandlingsansvarlig og databehandler. Styret er å anse som behandlingsansvarlig. En behandlingsansvarlig har ansvar for personopplysningene som er lagret. Derfor er det styrets ansvar å signere databehandleravtale med alle parter som har tilgang til borettslagets personopplysninger, selv om det bare er for en begrenset periode.
For eksempel kan leverandører ha tilgang til beboernes navn og adresse i forbindelse med vedlikehold eller trykking av nøkler.
Borettslaget har videre ansvar for å ivareta beboernes personopplysninger. Etter de nye personvernreglene innebærer det følgende:
Innsyn og formål
Beboere har krav på å få innsyn i hvilke personopplysninger som lagres om hver enkelt av dem. Når de ber om innsyn, har styret – som behandlingsansvarlig – frist på seg til å svare.
Det må også være et lovlig formål med hver eneste personopplysning som dere lagrer. For eksempel at det er nødvendig for regnskapet i borettslaget.
Les også: Dette er de vanligste risikofaktorene i borettslag
Rutiner for sletting
En viktig del av personvernforordningen er «retten til å bli glemt». Dersom det ikke lenger er nødvendig å beholde opplysningene om beboer, fordi formålet med opplysningene er oppnådd, må det være gode rutiner for sletting.
Dette vil si at dersom en beboer flytter ut av borettslaget, har vedkommende krav på at opplysningene om ham eller henne slettes.
Samtykke
Utover databehandleravtalen (se ovenfor) må styret, altså behandlingsansvarlig, sørge for å ha samtykke fra beboer for å samle og bruke personopplysninger. Hvis styret skal bruke personopplysningene til noe annet enn det som er avklart, må dere ha fått samtykke til dette.
Tilgang til og sikring av opplysningene
Styret skal sørge for forsvarlig oppbevaring av personopplysninger, slik at ikke uvedkommende har tilgang til dem. PC, mobiltelefon og andre plattformer hvor det lagres informasjon.
All korrespondanse, avtaler og andre dokumenter skal arkiveres forsvarlig.
Mer informasjon om GDPR og personvern finner du på www.datatilsynet.no.
Dersom dere som borettslag kan vise at dere tar personvern på alvor og har gode rutiner for behandling av personopplysninger, bygger det tillit opp mot både beboere og samarbeidspartnere.
