GDPR er EUs personvernlovgivning

GDPR for styret

GDPR er en ny personvernlov som trer i kraft 1. juli i år. Her er en enkel innføring i hva regelverket betyr, også for deg som sitter i styre i boligselskap.

Tekst: Bate
Publisert: 27.3.2018

GDPR-reglene styret må vite om

Hvor mange ganger har du gitt bort for eksempel navn og e-postadressen din på nettet? Eller bosted, kjønn og alder? Når du handler på nett, melder deg inn i kundeklubb eller oppretter bruker på nettside eller app.

Det er ikke uvanlig at de som får opplysningene dine bruker dette videre i markedsføring, salg, analyse eller selger det videre til en tredjepart.

Ofte har ikke forbruker kontroll på hvilken informasjon som er lagret, hvem som sitter på opplysningene om deg, hva det brukes til eller mulighet til innsikt eller sletting.


Kontroll på egne personopplysninger

EU vil gi forbrukeren bedre kontroll over egne personopplysninger, derfor kommer GDPR. GDPR stiller krav til de som lagrer eller behandler informasjon om andre, som har betegnelsene behandlingsansvarlig og databehandler.

Styrer i boligselskap er behandlingsansvarlige, og blir derfor berørt av GDPR. Ansvaret skyldes at styrene sitter på personlige opplysninger om beboerne.


Hvilket ansvar har styrene?

Bate har jobbet med GDPR siden i fjor. Vi legger om rutinene våre og de tekniske systemene hos oss. Det er en stor jobb, men Bate er opptatt av å ta personvern på alvor og justerer oss etter regelverket som kommer.

Vi undersøker også hva GDPR betyr for boligselskaper. Foreløpig har vi fått bekreftet at de er å anse som behandlingsansvarlige. Behandlingsansvarlig må signere databehandleravtale med alle parter som har tilgang til boligselskapets personopplysninger, selv om det bare er for en begrenset periode. Hvem har tilgang til for eksempel beboernes navn og adresse? Det kan være leverandører i forbindelse med vedlikehold eller trykking av nøkler.

Bate har også tilgang til boligselskapets opplysninger, derfor må dere ha databehandleravtale med Bate. Vi har laget avtalen for dere, som boligselskapet signerer i Styreportalen.

På generelt grunnlag er en behandlingsansvarlig ansvarlig for dataen, altså personopplysningene, som er lagret. Derfor er det styrets ansvar å ha databehandleravtale der det er nødvendig. Spør forretningsføreren din hvis du er i tvil.

GDPR virker komplisert, men det er ingen grunn til å bli urolig for de nye lovene. Bate skal følge opp hvert enkelt boligselskap som er tilknyttet oss og sørge for at alle krav oppfylles. I tillegg til databehandleravtale har boligselskapene ansvar for å ivareta beboernes personopplysninger. Etter ny lov innebærer det følgende:


Innsyn og formål

Enkeltpersoner har krav på å få innsyn i hva som er lagret om seg selv. Ved forespørsel om innsyn har behandlingsansvarlig frist på seg til å svare.

Det må også være et formål med å lagre hver eneste personopplysning. Eksempel på formål er at det er nødvendig for boligselskapets regnskap.


Rutine for sletting

Når et kundeforhold er slutt, for eksempel dersom noen flytter ut av boligselskapet, må det være god rutine for sletting. Beboer har krav på at opplysninger slettes dersom det ikke er gyldig formål eller at kundeforholdet er slutt.


Samtykke

Hvis behandlingsansvarlig skal bruke personopplysningene til noe annet enn hva som er avklart, må man ha fått samtykke til dette.