Hvad er GDPR egentlig, og hvad betyder det for den enkelte andelshaver og bestyrelsesarbejdet? Vi har taget en snak med Anne Kristensen, juridisk chef i ABF om, hvad GDPR betyder i andelsboligsammenhænge.
Den 25. maj 2018 trådte EU’s persondataforordning i kraft. Det betød, at alle virksomheder, offentlige myndigheder og organisationer, der behandler persondata, nu skal opfylde den nye forordning, som går under navnet GDPR – General Data Protection Regulation.
GDPR handler ganske enkelt om beskyttelse af persondata og sikkerhed samt åbenhed i forbindelse med brug af data. Det skal ske gennem organisatoriske, administrative og tekniske tiltag. Det er blandt andet her, Waitly hjælper andelsboliger ved at tilbyde et GDPR sikret system til at håndtere ventelister.
GDPR gælder nemlig også for andelsboligforeninger, derfor har vi taget en snak med Anne Kristensen, juridisk chef i ABF om, hvad GDPR betyder i andelsbolig sammenhænge.
GDPR gælder for den lille forening som for den store internationale virksomhed
Anne Kristensen forklarer, at først og fremmest skal foreningerne være opmærksomme på, at GDPR reglerne også gælder for dem.
“Andelsboligforeninger er jo drevet af privatpersoner, altså helt almindelige mennesker, derfor tænkte mange, da GDPR blev indført tilbage i 2018, at det ikke kunne gælde for andelsboligforeningerne. Men det gør det. Og det er noget, som vi i ABF hjælper foreningerne med”.
Og reglerne er faktisk de samme for foreningerne som for alle andre virksomheder. Nemlig at man skal sørge for kun at have de oplysninger, som man faktisk skal bruge og sørge for at passe godt på dem – det er ligesom essensen i det, forklarer Anne Kristensen.
“Det er de samme regler og principper som gælder for den lille forening som for den kæmpe store internationale virksomhed. Men det er klart at det kan betyde forskellige ting”.
En andelsboligforening vil typisk have dokumenter med personoplysninger i form af:
- Lister over beboere med kontaktoplysninger
- Kontooplysninger
- Overdragelsesaftaler
- Skifteretsattester
- Kopi af andelsbeviser
- Bestyrelsesmødereferater
- Generalforsamlingsreferater
- Ventelister
- Beboersager
- Intern korrespondance i bestyrelsen
- Billeder fra foreningens aktiviteter
- Beboernes fødselsdatoer
Følsomme oplysninger vs. almindelige personoplysninger
Der er forskellige betingelser og procedurer for behandling af personoplysninger alt afhængig af oplysningernes følsomhed. Anne Kristensen fortæller, at i forhold til ventelister, så har foreningerne ikke at gøre med følsomme oplysninger, men kun almindelige personoplysninger.
“Som forening er det vigtigt at tænke over, hvad er det for nogle oplysninger, man skal bruge. Hvis man for eksempel skal vide om folk er over 18 år, så skal man have fødselsdato, men man behøver jo ikke CPR nummeret”.
CPR nummeret kategoriseres nemlig som en fortrolig personoplysning, som man skal passe ekstra godt på. Derfor understreger Anne Kristensen, at man skal tænke sig om, før man beder om et CPR nummer. Og i forbindelse med opskrivning på en venteliste vil det ikke være relevant at oplyse hele CPR nummeret.
Eksempler på almindelige personoplysninger
- Navn
- Telefonnummer
- Adresse
Eksempler på følsomme oplysninger:
- Race og etnisk tilhørsforhold
- Politik overbevisning
- Religiøs overbevisning
- Seksuelle forhold og orientering
Der er ikke de samme begrænsninger til behandlingen af almindelige personoplysninger, som der er ved behandlingen af følsomme personoplysninger.
GDPR er en god ting
I ABF rådgiver og vejleder de også foreninger omkring GDPR. Anne Kristensen forklarer, hvordan særligt ventelister og håndteringen af personoplysninger i den forbindelse er vigtige at have for øje.
“Hvilke oplysninger kan man bede om i forbindelse med opskrivning på en venteliste, og hvem må se disse oplysninger – det er sådan nogle spørgsmål, der kan opstå”.
ABF hjælper foreningerne med at overholde GDPR lovgivningen, og ABF har i den sammenhæng lavet en vejledning og nogle standard dokumenter som privatlivspolitik, fortegnelse og en samtykkeerklæring. Tilbage i 2018 var ABF rundt i landet og undervise foreningerne i GDPR. Da det blev indført var der nemlig en del forvirring og frustration hos mange virksomheder, men Anne Kristensen understreger, at GDPR er en god ting, som er til for at beskytte vores oplysninger.
“GDPR er en god ting. Det er jo for at beskytte dig og mig, sådan at vores oplysninger ikke bare ligger og flyder rundt”.
Anne Kristensen forklarer, at GDPR også indeholder sanktionsmuligheder. Hvis man ikke overholder reglerne, kan man få en bøde. I ABF har de opstillet nogle tommelfingerregler i forbindelse med GDPR. En af dem er, at man skal tænke det ind i sin arbejdsgang. Anne Kristensen opfordrer til, at man tænker sig om og ikke medtager en masse personoplysninger i den proces, man er igang med, hvis man ikke skal bruge dem.
“Tænk det ind i den daglige arbejdsgang. Spørg jer selv om, hvordan I kan minimere antallet af de personoplysninger I sidder med”.
Med det mener Anne Kristensen at man tænker over ikke at behandle personoplysninger, som ikke er strengt nødvendige, for så er der færre oplysninger, der eventuelt senere skal slettes. Derudover er en vigtig del af GDPR lovgivningen også oplysningspligt. Det er vigtigt at fortælle folk, hvad man gør, og hvorfor man gør det, så det er tydeligt, hvorfor man skal udlevere sine oplysninger.
“Kommer der en og gerne vil skrive sig op på en venteliste, så er det foreningens pligt at oplyse hvad der sker med de oplysninger. Hvor længe beholder andelsboligforeningen oplysningerne, hvem kan se dem, og hvad bruger foreningerne dem til i øvrigt. Spørger man eksempelvis om folks fødselsdato, så skal man også kunne forklare, hvad man skal bruge oplysningen til”.
Anne Kristensen understreger dog, at det er helt berettiget, at en forening skal have nogle oplysninger fra folk, når de skriver sig på ventelisten. I mange foreninger skal man for eksempel være over atten. Der findes også senior andelsboliger som A/B Boverian, hvor man skal være over 50 år. Eller foreninger kun for studerende, eksempelvis DTU’s andelskollegium, hvor det er nødvendigt at oplyse, om man er under uddannelse. Man skal altså ikke være bange for at udlevere sine almindelige personoplysninger, når man skriver sig på en venteliste, for så længe GDPR reglerne overholdes bliver der passet godt på dem.
ABF har også indgået et samarbejde med Waitly om medlemsrabat på det digitale ventelistesystem, som netop sikrer overholdelse af GDPR i forbindelse med administrationen af ventelister.