Beslutad av styrelsen i Brf Moroten 1–3 2021-12-06
1. Inledning och syfte
Denna policy anger de grundläggande principer hur Brf Moroten 1–3 (Brf Moroten) hanterar personuppgifter i enlighet med EU:s dataskyddsförordning GDPR (General Data Protection Regulation). Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data.
Syftet med dessa regler är att säkerställa att Brf Moroten har ett lämpligt säkerhetsskydd för de personuppgifter som hanteras samt att den personliga integriteten beaktas.
2. Definitioner
Samtliga definitioner nedan ska ha den betydelse som följer av Europaparlamentets och rådets förordning (EU) 2016/679 och skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsförordningen).
Personuppgifter: All slags information som antingen direkt eller indirekt (det vill säga via annan information) kan kopplas till en fysisk person, exempelvis namn, personnummer, e-postadress, lägenhetsnummer, fotografier eller film- och ljudfiler. De fysiska personerna kan vara bostadsrättshavare, hyresgäster som är fysiska personer, kontaktpersoner hos lokalhyresgäster, anställda hos förvaltare, byggbolag, leverantörer och samarbetspartners, och andra.
Särskilda personuppgifter: Varje upplysning som avser information om medlemskap i en fackförening, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.
Personuppgiftsansvarig: Den part som bestämmer ändamålen och medlen för behandlingen av personuppgifter, i detta fall Brf Moroten.
Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Registrerad: En registrerad är den fysiska person vars personuppgifter behandlas av Brf Moroten.
Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
3. Principer för behandling av personuppgifter
All behandling av personuppgifter måste uppfylla de grundläggande principerna som anges nedan.
3.1 Laglighet, korrekthet och öppenhet
Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Det ska finnas en rättslig grund för behandling. Den rättsliga grunden kan variera beroende på vilket ändamål behandlingen utförs på.
3.2 Ändamålsbegränsning
Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen ska klargöras innan insamlingen av personuppgifter påbörjas. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål.
3.3 Uppgiftsminimering
Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Brf Moroten ska inte samla in personuppgifter för obestämda framtida behov, oavsett om sådan lagring kan vara till annan nytta för föreningen.
3.4 Korrekthet
Personuppgifterna ska vara korrekta och uppdaterade. Brf Moroten ska vidta åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan onödigt dröjsmål.
3.5 Lagringsminimering
Personuppgifterna får inte sparas i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål som personuppgifterna behandlas. När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras.
3.6 Integritet och konfidentialitet
Personuppgifterna ska skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom misstag.
3.7 Ansvarsskyldighet
Brf Moroten ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt principerna efterlevs.
4. Allmänt om behandling av personuppgifter
4.1 Avtal och rättslig förpliktelse
De personuppgifter som en medlem lämnat i samband med tecknandet av upplåtelseavtalet eller överlåtelseavtal och de utgifter som lämnats i samband med beviljat medlemskap i Brf Moroten kommer att behandlas i den utsträckning som behövs för att Brf Moroten ska kunna fullgöra sina förpliktelser enligt Bostadsrättslagen (1991:614). Det kan gälla avisering av årsavgiften, att föra medlemsförteckning och lägenhetsförteckning och annat som hör till den löpande förvaltningen.
Även personuppgifter som inhämtas under tiden bostadsrättsinnehavaren bor i föreningen kan komma att behandlas, såsom exempelvis uppgifter om betalningsförsummelser och underlag för ombyggnation av bostadsrätten. Dessa sparas under den tid som är nödvändig för eventuella rättsliga anspråk, som längst tio (10) år. Dessa personuppgifter kan också komma att lämnas ut till förening som Brf Moroten är medlem i och företag som Brf Moroten samarbetar med i sin fastighetsförvaltning.
4.2 Uppgifter BRF Moroten behandlar
Bostadsrättsföreningen behandlar endast personuppgifter när det finns en laglig grund, dvs. när föreningen behöver personuppgiften för att fullgöra förpliktelser i lag eller avtal, eller om det finns ett uttryckligt samtycke från föreningens medlemmar.
Här följer exempel på personuppgifter föreningen behandlar:
- Namn
- Personnummer
- Lägenhetsnummer
- Överlåtelseavtal
- Uppgifter om ev. andrahandsuthyrningar
- Pantförskrivningar
- E-postadress
- Telefonnummer
- Uppgifter som medlemmar själv registrerar och frivilligt uppger
4.3 Rätt att begära ut uppgifter
Medlemmar i Brf Moroten har rätt att få information om vilka personuppgifter som behandlas och hur de behandlas. Detta lämnas utan kostnad om begäran sker i rimlig omfattning. Vid upprepade förfrågningar kan dock en avgift komma att tas ut.
4.4 Rättelse
En medlem som vill begära rättelse av de personuppgifter som behandlas kan kontakta styrelsen, styrelse@brfmoroten.se
4.5 Ändring av personuppgift
Personuppgifterna kommer i möjligaste mån att uppdateras och kompletteras över tid för att vara korrekta. För de fall uppgifterna ändras uppmanas medlemmen ta kontakt med styrelsen i föreningen.
4.6 Återkallelse av samtycke
En medlem har rätt att skriftligen återkalla ett samtycke till behandling av personuppgifter, vilket innebär att föreningen då måste radera personuppgifterna eller inhämta ett nytt samtycke från medlemmen. Radering av personuppgifter förutsätter dock att föreningen inte behöver behandla uppgifterna för att fullgöra förpliktelse enligt lag eller avtal. Kontakta styrelse@brfmoroten.se för mer information om återkallelse av samtycke ska ske.
5. Roller och ansvar
5.1 Personuppgiftsansvarig och Personuppgiftsbiträde
Brf Moroten är personuppgiftsansvarig för föreningens lägenhets- och medlemsförteckning. Föreningen har anlitat en extern förvaltare, Sveriges BostadsrättsCentrum (SBC), för behandling av personuppgifterna och ett särskilt biträdesavtal har ingåtts mellan parterna. SBC har också tagit fram en särskild integritetspolicy där det framgår hur SBC hanterar personuppgifter.
6. Ändringar
Policyn ska behandlas och fastställas av styrelsen minst en gång per år och uppdateras vid behov.