Varje bostadsrättsförening är en personuppgiftsansvarig enligt GDPR. Det är lätt att glömma eftersom föreningen inte är ett kommersiellt företag — men i lagens ögon är det ingen skillnad. Styrelsen har ett ansvar, och det går inte att delegera bort genom att anlita en ekonomisk förvaltare. Den här checklistan sammanfattar vad en BRF praktiskt behöver göra.
1. Kartlägg vilka personuppgifter ni hanterar
Börja med att lista alla platser där boendes uppgifter finns. Typiska exempel för en BRF:
Boendelista med namn, lägenhetsnummer, personnummer och kontaktuppgifter. Protokoll från stämmor och styrelsemöten. Felanmälningar (ofta med namn, telefon, beskrivning). Nyckelhantering. Kamerabevakningsmaterial om sådan finns. Parkeringslistor. Väntelistor till garage, förråd eller hobbylokal. E-postkorrespondens mellan styrelse och boende.
2. Upprätta en registerförteckning
GDPR kräver att personuppgiftsansvariga för register över sin behandling. För en BRF räcker ett enkelt dokument som beskriver: vilka kategorier av uppgifter ni har, vilken rättslig grund ni stödjer er på, vem som är mottagare, och hur länge uppgifterna sparas.
3. Tydliggör rättslig grund
För en BRF är de vanligaste grunderna:
Avtal/medlemskap — för grundläggande medlemsadministration (namn, lägenhet, avier).
Rättslig förpliktelse — för bokföring och skatt.
Berättigat intresse — för felanmälningar, gemensam kommunikation och säkerhetsfrågor.
Samtycke — för t.ex. fotopublicering på hemsidan, grannlistor där telefonnummer syns, och andra frivilliga uppgifter.
4. Informera boende
Alla boende har rätt att veta vilka uppgifter ni behandlar och varför. Det löses enklast med en integritetspolicy som delas ut vid inflyttning och finns tillgänglig i föreningens digitala portal. Den ska innehålla kontaktuppgifter till den ansvariga (oftast styrelseordföranden) och en länk eller mejladress för att utöva rättigheter enligt GDPR.
5. Säkra IT-systemen
Personuppgifter ska skyddas genom tekniska och organisatoriska åtgärder. I praktiken:
Dela aldrig en gemensam inlogg till föreningens mejl, bokföring eller portal. Varje styrelsemedlem ska ha en egen. Kryptera all trafik (HTTPS). Ta backuper. Begränsa åtkomst — en tidigare styrelsemedlem som inte längre har roll ska inte heller ha inlogg. Lagra personuppgifter i system som lagrar data inom EU/EES.
6. Hantera personuppgiftsincidenter
Om ett säkerhetsproblem uppstår — någon kommer åt boendelistan, ett mejl skickas till fel mottagare med personuppgifter, eller en laptop med filer tappas bort — måste föreningen anmäla det till Integritetsskyddsmyndigheten (IMY) inom 72 timmar. Ha en tydlig rutin så styrelsen vet vem som gör vad när det händer.
7. Tänk på kamerabevakning och passagesystem
Kameror i trapphus, entréer eller garage kräver en intresseavvägning och ska tydligt skyltas. Passagesystem som loggar vem som går in i tvättstugan vid vilken tid är också personuppgiftsbehandling. Gör en konsekvensbedömning innan ni installerar sådana system — särskilt om loggarna sparas länge.
8. Dataminimering
Spara inte uppgifter längre än ni behöver. När en medlem flyttar ut ska deras personuppgifter raderas eller anonymiseras, utom det som krävs för bokföring (7 år enligt bokföringslagen).
9. Välj rätt leverantörer
När ni anlitar en ekonomisk förvaltare, ett städbolag eller en digital portal — de blir personuppgiftsbiträden och ni behöver ett skriftligt biträdesavtal (DPA). Kontrollera att data lagras inom EU/EES och att leverantören kan redovisa sina säkerhetsrutiner.
10. Utbilda styrelsen
Det här är inte ett engångsjobb. Nya styrelsemedlemmar ska introduceras till föreningens rutiner. En årlig kort genomgång på styrelsemöte räcker för att hålla det levande.
Vanliga misstag
Att publicera hela boendelistan på en öppen hemsida. Att skicka listor med alla boendes kontaktuppgifter i klartext i mejl. Att ha en delad Gmail-inlogg för styrelsen. Att inte ha någon integritetspolicy alls.
VidaBo är byggt med GDPR som utgångspunkt. Varje förening har en helt avskild datamiljö, all trafik är krypterad, och boende bestämmer själva vilka uppgifter som syns för grannar. Läs mer om vår integritetspolicy eller se hur grannlistan kan göras GDPR-vänlig.