X

Styrelsens digitala kommunikation och dokumentation utifrån GDPR

24 augusti 2021 Styrelsearbetet blir alltmer digitaliserat och styrelsens kommunikation/arbete sker i huvudsak per e-post eller andra digitala plattformar. Mot den bakgrunden kan det vara bra att ha vissa saker i åtanke. Vid behandling av personuppgifter måste personuppgiftsansvarig, i detta fall föreningen, se till att hanteringen sker i enlighet med Dataskyddsförordningen (GDPR).

Det innebär bland annat att hanteringen av personuppgifter måste ske skyddat, samt att föreningen vidtagit tekniska och organisatoriska åtgärder för att säkerställa skydd från otillåten eller obehörig behandling, mot förlust, förstöring eller skada. All digitaliserad behandling (kommunikation/lagring) ska vara skyddad med lösenord vilket vanligtvis är tillräckligt.

Inför ett styrelsemöte förses övriga styrelsen med underlag vanligtvis per e-post samt att det även kan vara så att diskussion kring ett visst ärende inleds. I underlaget inför mötet och i protokollet som upprättas kan personuppgifter förekomma. Det kan även givetvis förekomma att beslut behöver tas mellan ordinarie möten, exempelvis per e-post, (s k per capsulam) och då kan en viss fråga diskuteras och beslutas i en e-postkommunikation.

Nyttjande av personligt e-postkonto vid utförande av styrelsearbetet?

Det är inte ovanligt att ledamöter nyttjar sina personliga e-postadresser i kommunikation med övriga styrelsen, förvaltare eller medlemmar. Detta är möjligt men förutsätter givetvis att GDPR följs. Personliga e-postkonton försvårar uppföljning av föreningen, både behandling och lagring av personuppgifter kommer att ske i e-postkontot och det kan vara svårt att säkerställa att radering skett när personuppgifterna inte längre behövs. Någon egentlig lagring ska inte heller ske i e-postkontot och innehållet i e-postmeddelandet bestämmer hur länge det kan sparas.

Det är viktigt att man är sparsam med den personuppgiftshantering som sker, bara behandla det som behövs (uppgiftsminimering) och för det aktuella ändamålet inom ramen för styrelsens löpande förvaltningsarbete. Det kan vara så att det förekommer personuppgifter som är, eller kan anses, som känsliga (uppgifter om hälsa eller ekonomisk situation) eller särskilt skyddsvärda. Eventuellt kan sådana förekomma i ett störningsärende som styrelsen hanterar. Det är då viktigt att sådana uppgifter inte sparas i någon e-post utan att uppgiften istället sparas i en skyddad digital miljö om det är så att s k rättslig grund finns för att göra så. Det kan vara så att föreningen förbereder en rättslig åtgärd och att uppgifterna är, eller kan vara, en del av bevisningen.

Det är viktigt att styrelsen skyddar e-postmeddelanden, såväl inom som utom styrelsen, som kan innehålla personuppgifter eller andra information som kan anses känsliga och/eller extra skyddsvärda. Det sker genom att all e-post som innehåller sådana uppgifter krypteras, vilket sker genom nyttjandet av den funktionen i e-posttjänsten.

Vad gäller då styrelsens generella information till medlemmarna?

Såsom framförts ovan ska styrelsen överlag vara återhållsam med hanteringen av personuppgifter och inte, vid information om vissa beslut som har koppling till en eller flera medlemmar, informera på ett sätt där den kan härledas till viss medlem.

Vi rekommenderar därmed

  • Om möjligt, försök skapa e-postkonton som är föreningens så att föreningen har bättre översyn kring behandlingen av personuppgifter och att detta minimeras och att radering sker löpande.
  • Försök att ha som vana att uppmana övriga i styrelsen att se till så att radering sker och att uppgifter inte befinner sig på mejlkonton längre än vad som är lämpligt och att lagring istället sker i separat och säker lagringsmiljö.
  • Kryptera all e-post inom styrelsen men även i kommunikation med enskilda medlemmar och även med ex. förvaltare eller annan som kan komma att ta del av uppgiften, om den innehåller känsliga eller skyddsvärda personuppgifter.
  • Utse en styrelsemedlem som ansvarig över ett ärende som innehåller känsliga uppgifter för att på detta sätt undvika att samtliga ledamöter tar emot och lagrar samtlig information kring ärendet.
  • En ansvarig ledamot granskar e-postkonton som tillhört styrelsemedlemmar vars uppdrag har upphört för att säkerställa att samtliga mejl är raderade och att kontot raderas.

Det primära syftet med GDPR är att skydda individens personliga integritet. Medlemmarna ska vara trygga med att deras personuppgifter hanteras på ett säkert sätt och endast när en grund för det finns. Att säkra kommunikation där personuppgifter behandlas är en del föreningens arbete att följa GDPR. 

 

Behöver ni juridisk rådgivning?

Våra föreningsjurister har en unik erfarenhet inom bostadsrättsjuridik, hyresjuridik och föreningsrättsliga frågor och är ett bra stöd om en besvärlig situation skulle uppstå.


Stäng artikel