Hvordan passer I ordentligt på jeres medlemmers oplysninger?
Denne guide giver jer overblikket.
Databeskyttelse handler ikke om at drukne i paragraffer. Det handler om at have styr på hvad I har, hvorfor I har det, og hvem der kan se det – så jeres medlemmer trygt kan overlade deres oplysninger til jer. I det øjeblik I har navne, adresser, mailadresser og oplysninger til Opkrævninger på jeres grundejere, er foreningen omfattet af GDPR og databeskyttelsesloven. Herunder tager vi det vigtigste, så I kan komme godt videre.
Denne artikel er en generel orientering – ikke juridisk rådgivning. Datatilsynet har lavet et GDPR-univers målrettet små foreninger, som er værd at kigge i, og er I i tvivl om en konkret situation, kan I søge vejledning hos dem.
Hvorfor har bestyrelsen ansvaret?
Foreningen er dataansvarlig for de oplysninger, I behandler om jeres medlemmer. Det vil sige, at det er jer – og ikke det enkelte medlem – der skal kunne stå på mål for, at data indsamles lovligt, opbevares sikkert og kun bruges til det, foreningen faktisk har brug for.
I praksis betyder det, at I skal kunne svare på tre ting: Hvilke oplysninger har vi? Hvorfor har vi dem? Og hvor længe skal vi gemme dem? Kan I det, er I langt. Det er en god idé at aftale i bestyrelsen, hvem der har GDPR som sit område – ofte den, der står for administrationen – så ansvaret ikke falder mellem to stole. Det behøver ikke være en formel databeskyttelsesrådgiver; de færreste grundejerforeninger er forpligtet til at udpege en DPO.
Indsaml kun det, I har brug for
Start med at kigge på, hvilke oplysninger foreningen egentlig indsamler. Grundejere og ejere kender I typisk fra Ejerfortegnelsen, og til den daglige drift skal I bruge kontaktoplysninger og oplysninger til Opkrævninger. Undgå at samle data ind, som I ikke har et konkret formål med – jo mindre I gemmer, jo mindre skal I passe på. I må heller ikke uden videre bruge en mailadresse, I har fået til Opkrævninger, til noget helt andet.
Hold jer især fra følsomme personoplysninger som helbred, religion eller fagforeningsforhold. Dem har en grundejerforening sjældent lovligt grundlag for at behandle, og de kræver ekstra beskyttelse. Er I i tvivl om, hvad de forskellige begreber dækker, så kig i vores GDPR-ordbog, der forklarer dem i et sprog, man kan forstå.
Sørg for sikker opbevaring
Persondata skal opbevares sikkert – ikke i løse regneark på en privat computer eller i lange e-mailtråde. Det er en af de mest udbredte faldgruber: medlemslisten ligger hos ét bestyrelsesmedlem, oplysninger sendes rundt i mailtråde, og når nogen forlader bestyrelsen, følger data med. Brug i stedet et system med adgangsstyring, så det kun er de personer, der har brug for oplysningerne, der kan se dem – og undgå at sende følsomme oplysninger over usikre kanaler.
Med HOODI ligger medlemsoplysninger, dokumenter og kommunikation samlet ét sted med adgangsstyring, i stedet for spredt ud over private mapper og indbakker. Adgangen følger rollen i foreningen frem for en bestemt mailadresse, og data ligger på danske servere. Det gør både hverdagen lettere og databeskyttelsen mere robust – og det følger foreningen videre, selvom bestyrelsen skiftes ud.
Hav styr på indsigt og sletning
Jeres medlemmer har ret til at få at vide, hvilke oplysninger I har om dem, og hvordan de bruges. De kan også bede om at få rettet forkerte oplysninger eller slettet data, I ikke længere har brug for – medmindre I er lovpligtige til at gemme dem, fx regnskabsbilag efter bogføringsreglerne. Når et medlem flytter, og der ikke er udestående Opkrævninger eller andre grunde til at gemme oplysningerne, skal de ryddes op.
Aftal i bestyrelsen, hvem der håndterer sådan en henvendelse, og hvor hurtigt I svarer. Ligger oplysningerne samlet ét sted, ved I præcis, hvor de er, og kan handle på det med det samme – i stedet for at lede i gamle regneark og mails. Bruger I et it-system, der behandler medlemsdata på foreningens vegne, skal der som udgangspunkt være en databehandleraftale; med HOODI er den på plads, så I ikke selv skal udarbejde den.
Hvad forventer Datatilsynet?
Datatilsynet vejleder om GDPR og databeskyttelsesloven, og kravene skaleres efter, hvor følsomme og omfangsrige oplysninger I behandler. Kort fortalt handler det om de samme ting, vi har været igennem: at I kun behandler data, I reelt har brug for, opbevarer dem sikkert, respekterer medlemmernes rettigheder og kan redegøre for, hvad I har, og hvorfor.
Datatilsynet skal desuden kontaktes, hvis I oplever et brud på persondatasikkerheden – fx hvis medlemsoplysninger ved et uheld kommer i de forkerte hænder. Alvorlige brud skal anmeldes, typisk inden for 72 timer. I kan læse mere direkte hos datatilsynet.dk.
Det korte overblik
- Foreningen – ikke det enkelte medlem – er dataansvarlig for persondata.
- Indsaml kun det, I har et konkret formål med, og undgå følsomme oplysninger.
- Opbevar data i et system med adgangsstyring, ikke i private regneark og e-mails.
- Slet oplysninger, når formålet er opfyldt – på nær det, I er lovpligtige til at gemme.
- Aftal hvem der håndterer indsigt og sletning, før et medlem spørger.
- Ved brud på persondatasikkerheden: kontakt Datatilsynet, typisk inden for 72 timer.
Gælder GDPR overhovedet for en lille grundejerforening?+
Hvem er ansvarlig for persondata i en grundejerforening?+
Hvor længe må vi gemme medlemmers oplysninger?+
Hvad gør vi, hvis et medlem beder om indsigt?+
Hvad skal vi gøre ved et databrud?+
Databeskyttelse behøver ikke fylde i bestyrelsesarbejdet. Med lidt struktur – klare formål, sikker opbevaring og en aftale om, hvem der håndterer henvendelser – har I styr på det og kan bruge energien på det, der egentlig betyder noget: jeres fællesskab.