Hvad skal ejerforeninger overveje i forhold til persondataforordningen

Af advokat Mette Haagensen

Indledning

Den 25. maj 2018 blev persondataloven erstattet af persondataforordningen og den danske databeskyttelseslov med supplerende bestemmelser. Generelt er der ikke mange nye regler, som ikke allerede har været gældende i Danmark siden 2001. Det nye er at det kan koste dyrt i bøder, hvis man ikke overholder databeskyttelsesreglerne, og at virksomhederne skal kunne dokumentere, at de overholder reglerne. Det er derfor nødvendigt at man som forening får styr på sine oplysninger og sine arbejdsgange, og at man sikre sig at medlemmerne får de nødvendige oplysninger om behandling af persondata i foreningens regi.

Dvs. at foreningerne skal sørge for følgende: 

  • Få et overblik over foreningens personoplysninger
  • Gennemgå betingelserne for udbydere af mail-, cloud- og hjemmesideløsninger
  • Fastsæt retningslinjer for hvordan foreningens personoplysninger må behandles i bestyrelsen
  • Fastsæt en procedure i tilfælde af sikkerhedsbrud
  • Lav en fortegnelse over foreningens behandling af personoplysninger
  • Informer foreningens beboere og medlemmer om foreningens behandling af personoplysninger
  • Fastsæt en procedure for, hvordan beboerhenvendelser skal behandles
  • Indhent samtykke, hvis foreningen behandler personoplysninger, der ikke er nødvendige af hensyn til driften
  • Indgå databehandleraftaler med foreningens samarbejdspartnere

Få et overblik over foreningens personoplysninger

Bestyrelsen bør fastlægge, hvilke personoplysninger foreningen har, hvad foreningen bruger oplysningerne til, hvordan oplysningerne behandles, og hvordan oplysningerne beskyttes.

En forening kan fx have dokumenter med personoplysninger i form af:

  • Medlemsliste med kontaktoplysninger, fx navn, adresse, telefon og e-mail
  • Mailliste over foreningens beboere / medlemmer
  • Kontooplysninger
  • Købsaftaler 
  • Skifteretsattester
  • Bestyrelsesmødereferat
  • Generalforsamlingsreferat
  • Byggesager for ejendommen eller de enkelte lejligheder
  • Ventelister
  • Beboersager (fx restancer, klagesager eller eksklusionssager)
  • Intern korrespondance i bestyrelsen

Det er som udgangspunkt almindelige oplysninger, der fremgår af dokumenterne. Hvis der fremgår cpr.nr. af nogle dokumenter, skal man være særlig opmærksom på sikring af denne oplysning. Man skal også være særlig opmærksom, hvis man modtager oplysninger om helbred, misbrug, strafbare forhold eller lignende, fx i forbindelse med klagesager. Bestyrelsen kan også have indhentet kopi af legitimation fra bestyrelsesmedlemmer til brug for legitimering over for Nets, revisor eller bank. Har foreningen ansatte, der aflønnes af foreningen, fx en vicevært, vil foreningen have en række personoplysninger om den ansatte, fx cpr.nr. til brug for indberetning af skat.    

Er du i tvivl om hvad der er almindelige oplysninger eller hvornår man må behandle personoplysninger, så læs vores korte artikel om almindelig viden om persondata.

Eksempler på typiske behandlinger i bestyrelsesarbejdet

For at lette bestyrelsens arbejde med at overholde reglerne om databeskyttelse, bør bestyrelsen altid have dataminimering for øje i sine arbejdsgange.

Medlemslister

Foreningen må gerne have en liste over medlemmerne, som alle medlemmer af foreningen har adgang til, men hvis medlemslisten er til gængelig på en hjemmeside, så skal den være låst, så det kræver login af medlemmerne på hjemmesiden, for at læse medlemslisten. Den må ikke være offentligt tilgængelig.

Købsaftaler

Det er nødvendigt af hensyn til tinglysning af adkomst på en ejerlejlighed, at have cpr.nr. på køber og sælger, hvorfor dette ofte fremgår af købsaftalen. Det er et lovligt formål, men vær opmærksom på, at cpr.nr. skal fjernes, hvis købsaftalen sendes til uvedkommende.

Hvis bestyrelsen i forbindelse med en orientering om ny ejerlejlighedsejer modtager oplysninger, som ikke er relevante, når personen er flyttet ind i boligen, bør bestyrelsen slette oplysningerne.

Bestyrelsesmødereferater

Referenten bør være opmærksom på, at bestyrelsen ikke må videregive personoplysninger i forbindelse med behandling af personsager, fx restancesager eller klagesager. Hvis referatet skal udleveres til eller offentliggøres for medlemmerne i foreningen, skal man være påpasselig med kun at skrive det nødvendige i referatet.

Generalforsamlingsreferater

Referenten bør være opmærksom på, hvilke personoplysninger, der er nødvendige at medtage i et generalforsamlingsreferat, da referatet skal udleveres til ejendomsmæglere, banker og interesserede købere. Det anbefales, at generalforsamlingsreferater laves som beslutningsreferater, hvor kun det nødvendige medtages.

Det er nødvendigt at anføre navne på de der er valgt til bestyrelsen, samt andre poster så som revisor, administrator m.v.

Øvrige nødvendige henvisninger til medlemmer kan evt. anføres ved angivelse af medlemsnummer i stedet for navn, dvs. at man pseudonymiserer personoplysningerne. Dette kan fx bruges ved oplysning om forslagsstiller, fuldmagtsgivere eller ved notering af medlemmer der er til stede, har stemt imod forslag eller lignende, når det kan være relevant at dokumentere dette (og det derfor ikke kan udelades).

Klagesager

Hvis bestyrelsen modtager en klage fra en beboer over en anden beboer, skal der ske partshøring af klagen. Her bør bestyrelsen anonymisere klagen før den sendes i høring.  

Eksklusionssager

Hvis en sag udvikler sig til en eksklusionssag, kan det blive nødvendigt at involvere generalforsamlingen, fx hvis det fremgår af vedtægterne, at det er generalforsamlingen, der skal træffe beslutning om eksklusion, eller hvis foreningen skal betale for at få sagen anlagt for retten og ført af en advokat.

Bestyrelsen bør pseudonymisere personoplysninger, og være særligt opmærksom på, om der behandles følsomme oplysninger, der kræver særlig beskyttelse. Overvej om det er nødvendigt at disse oplysninger fremgår.

Hvis det er det ekskluderede medlem, der selv anmoder om at få sagen behandlet af generalforsamlingen, bør bestyrelsen få medlemmets samtykke til behandling af personoplysninger, der har relevans for sagen.

Sygdom

Hvis der i foreningen er en beboer, der ikke kan tage vare på sig selv og/eller boligen på grund af psykisk eller fysisk sygdom, kan bestyrelsen behandle disse oplysninger, hvis det er nødvendigt for at beskytte beboeren, andre beboere i foreningen og/eller boligen. Dette kan fx indebære kontakt til offentlige myndigheder med henblik på at skaffe hjælp til den pågældende. I behandlingen af sådanne sager bør bestyrelsen være opmærksom på, at helbredsoplysninger er følsomme oplysninger, der derfor kun skal registreres, hvis det er nødvendigt, og hvor behandlingen kræver særlig påpasselighed. Hvis man kan nøjes med at notere at vedkommende er syg, men ikke hvilken sygdom, så er der ikke tale om en følsom oplysning, hvorfor dette kan være at foretrække i de tilfælde, hvor det ikke er nødvendigt at kende sygdommen.

Sikkerhed

Som et grundelement i arbejdet med beskyttelsen af personlige personoplysninger, er det nødvendigt med fokus på behandlingssikkerhed, dvs. at der bliver passet på de personlige oplysninger, som man behandler eller ”låner” fra lejere og ejerlejlighedsejerne.

I lyset af den digitale udvikling har informationssikkerhed fået en nøglerolle. Men det er værd at huske på, at behandlingssikkerhed ikke kun handler om hackere, cyberangreb og lignende digitalt baserede udfordringer for sikkerhed om persondata.

Behandlingssikkerhed handler også om organisering af arbejdet med personlige oplysninger, herunder hvem der har adgang til dem. Det handler derfor også om den fysiske sikkerhed, herunder aflåsning af arkivskabe, det handler om clean-desk-policies, så personlige oplysninger ikke ligger fremme og kan blive læst af uvedkommende husstandsmedlemmer, andre beboere, rengøring eller håndværkere m.v.

Med andre ord handler behandlingssikkerhed ikke kun om teknologi og informationsteknologi, men i særdeleshed også om fysiske og systemiske tiltag.

Lykkes det ikke at passe på de personlige oplysninger, udsættes beboeren (lejer eller ejerlejlighedsejer) for en risiko, nemlig at de personlige oplysninger bliver brugt på en måde, som beboeren ikke vil acceptere, til ulovlige formål eller bliver brugt imod beboeren.

Derfor skal man som forening fastsætte det sikkerhedsniveau, som er passende i forhold til individet (beboeren). Erfaringen viser, at det er netop dette sidste element, der volder vanskeligheder for private virksomheder og foreninger.

Gennemgå betingelserne for udbydere af mail-, cloud-, og hjemmesideløsninger

Persondataforordningen indeholder en række særlige regler for overførsel af personoplysninger til tredjelande, dvs. lande uden for EU’s grænser. Disse særlige regler er forårsaget af, at kravene til IT-sikkerhed er lavere, når man kommer uden for EU, og dermed er der en større risiko for, at der er uvedkommende, der læser med, når der sendes mails ud af EU.

Hvorfor er det relevant for dig?

Nogle udbydere af mail-, cloud- og hjemmesideløsninger har deres servere stående i lande uden for EU. Dvs. at du sender data ud af EU, hver gang du benytter dig af disse servere. Derfor er man som forening nødt til at undersøge, hvor foreningens servere står, så man kan sikre sig, at man ikke sender data ud af EU. Dette gælder også for hvert enkelt bestyrelsesmedlem, hvis man sender bestyrelsesmails til private mailadresser.

Når man skal vurdere, hvorvidt en mail er sikker at benytte eller ej, skal man undersøge, hvor i verden mailserveren er beliggende. Dette kan man se i vilkårene for brug af mailprogrammet eller den brugsaftale man har med sin mail-udbyder.

Som eksempel kan nævnes, at microsoft skriver i deres vilkår, at de opfylder EU’s persondataforordning, hvilket vil sige, at hvis man har registreret en mailadresse, som hjemmehørende i Danmark. Dvs. at hvis man  benytter microsoft som mailudbyder (og har oprettet kontoen som hjemmehørende i Danmark), så lagres data på en mailserver, der står i EU.

Pr. 25. maj 2018 havde Google ikke skrevet i deres privatlivsvilkår, at de overholder EU's persondataforordning. Google skriver kun at de benytter sig af deres Privacy Shield-certificering til at overføre data til USA. Der er således stor sandsynlighed for, at google benytter servere uden for EU til at opbevare data. Gmail er udbudt af google, så benytter man sig af disse, skal man sikre sig at data er lagret inden for EU.  

Google har fire data centre i EU, så det er muligt for Google at opbevare data inden for EU, men det gælder formodentlig kun for ydelser, der betales for. Man kan således ikke bruge googles produkter uden at sikre sig, at data opbevares inden for EU, hvilket formodentlig ikke er Googles standard. 

Fastsæt retningslinjer for, hvordan foreningens personoplysninger må behandles i bestyrelsen

Ved håndtering af personoplysninger skal foreningen være opmærksom på, at det skal foregå med et passende niveau af sikkerhed og privatlivsbeskyttelse.

Foreningens oplysninger opbevares typisk elektronisk på bestyrelsesmedlemmers egne computere, på en fælles bestyrelsescomputer, i mailbokse, i cloudløsninger, på hjemmesider, eller fysisk i ringbind og arkivskabe i et bestyrelseslokale eller hjemme hos et eller flere bestyrelsesmedlemmer.

Foreningen bør fastsætte retningslinjer for sikkerhedsforanstaltninger for at beskytte mod hackere, for at sikre overlevering og evt. sletning af oplysninger, når et bestyrelsesmedlem ophører med at være bestyrelsesmedlem, samt for at hindre at husstandsmedlemmer eller besøgende hos et bestyrelsesmedlem får adgang til bestyrelsens dokumenter.

Fysiske dokumenter bør opbevares aflåst. Elektronisk opbevaring af persondata bør sikres med firewalls, antivirus og sikre adgangskoder. Hvis foreningen har en hjemmeside eller et fælles forum på et socialt medie, bør disse sikres med password, så det kun er medlemmer, der har adgang.  

Fastsæt en procedure i tilfælde af sikkerhedsbrud

Hvis et medlem af bestyrelsen konstaterer, at der er sket et brud på datasikkerheden, har foreningen pligt til uden unødig forsinkelse og om muligt inden 72 timer fra konstatering af bruddet, foretage en anmeldelse til Datatilsynet, med mindre det er usandsynligt, at sikkerhedsbruddet kan være årsag til misbrug af oplysningerne.

Hvis der er risiko for misbrug af personoplysningerne, skal foreningen underrette den eller de berørte personer uden unødig forsinkelse, så de kan træffe deres forholdsregler.

Alle brud på datasikkerheden skal dokumenteres af foreningen, herunder en beskrivelse af de faktiske omstændigheder, konsekvenser og tiltag, foreningen har foretaget for at afhjælpe situationen.

Da foreningen som udgangspunkt skal reagere inden for 72 timer, så bør foreningen fastsætte en procedure i tilfælde af sikkerhedsbrud, så foreningen handler hurtigst muligt.

Sikkerhedsbrud, der skal anmeldes til Datatilsynet, kan anmeldes direkte på Datatilsynets hjemmeside.  

Lav en fortegnelse over foreningens behandling af personoplysninger

Det er et krav i databeskyttelsesreglerne, at foreningen fører en fortegnelse over foreningens behandling af personoplysninger. Der er ikke specifikke formkrav til fortegnelsen, men den skal foreligge skriftligt og elektronisk.

Fortegnelsen er bestyrelsens dokumentation for, at foreningen har det fornødne overblik over deres behandlinger af personoplysninger.

Se et eksempel på en fortegnelse her

Informer beboerne om foreningens behandling af personoplysninger

Den enkelte beboer har en række rettigheder i forhold til foreningens behandling af personoplysninger. Beboeren har fx ret til af få oplyst hvilke oplysninger, foreningen behandler om vedkommende, hvor oplysningerne stammer fra, hvad de bruges til og hvor længe foreningen opbevarer oplysningerne, samt hvem de videregives til.

Derudover er der pligt til at informere beboerne, når man modtager oplysninger fra andre om vedkommende.

For at undgå at man skal orientere beboerne, hver gang man modtager en oplysning, som er helt sædvanlig i forhold til drift af foreningen, så anbefales det, at foreningen udfærdiger en privatlivspolitik, hvor foreningen oplyser om alle de almindeligt forekommende oplysninger, som behandles – både fra beboerne og fra tredjepart – således at beboerne en gang for alle oplyses om, hvordan og hvorfor persondata behandles i foreningen. Herefter vil det kun være i de særlige situationer, der ikke fremgår af privatlivspolitikken, at foreningen skal sørge for orientering af beboeren, når der modtages og behandles oplysninger om vedkommende.

DEAS har lavet en skabelon til en privatlivspolitik, der kan downloades gratis på deres hjemmeside

Derudover kan skabelon til en privatlivspolitik for en ejerforening købes i Ejendomsforeningen Danmarks shop under persondata.

Det er også muligt at finde en skabelon til iagttagelse af oplysningspligten og indsigtsretten på Datatilsynets hjemmeside.

Vær opmærksom på at det ikke er tilladt at orientere en beboer om persondata, der vedrører en anden beboer. Hvis det bliver nødvendigt at foretage ekstra orientering til en beboer om modtagelse af persondata, så skal der differentieres i oplysningerne, hvis oplysningerne vedrører flere beboere på en gang.

Forhold jer til, hvordan beboerhenvendelser skal behandles

Beboerne har efter anmodning ret til indsigt i hvilke oplysninger foreningen behandles om vedkommende. Retten kan dog begrænses af hensyn til beskyttelsen af andre personers privatliv. De oplysninger foreningen har registreret skal være korrekte, og beboeren har derfor ret til at få berigtiget forkerte oplysninger. Ligesom beboeren har ret til at supplere med yderligere oplysninger, hvis det vil gøre oplysningerne mere fuldstændige. Beboeren har også ret til at få slettet oplysninger, hvis oplysningerne ikke er nødvendige for driften af foreningen, opfyldelse af lovkrav (fx bogføringsloven eller hvidvaskloven) eller imødegåelse af retskrav, hvis der er en tvist med vedkommende eller en potentiel tvist.

Henvendelser om indsigt, berigtigelse, sletning eller lignende skal besvares uden unødig forsinkelse og senest 1 måned efter modtagelse af henvendelsen.  

Da beboeren har ret til indsigt m.v. er det en god ide, at bestyrelsen forholder sig til, hvem der skal gøre hvad, når foreningen mødes med at krav om indsigt, berigtigelse, sletning eller lignende.

Indhent samtykke, hvis foreningen behandler personoplysninger, der ikke er nødvendige

Hvis foreningen gerne vil behandle oplysninger, som ikke er nødvendige for at varetage driften af foreningen, men som alligevel er i foreningens interesse, skal der indhentes samtykke fra de berørte for at det er tilladt. Det er fx tilfældet, hvis man ønsker at publicere billeder på hjemmesiden fra sociale arrangementer i foreningen, eller hvis man ønsker at notere medlemmernes fødselsdato til brug for en fødselsdagsliste i foreningen.  

Indgå databehandleraftaler med foreningens samarbejdspartnere

Foreninger er dataansvarlige for behandling af persondata, der sker af hensyn til drift af foreningen. Dette er uanset om foreningen selv varetager behandlingen af persondata, eller om man får hjælp til behandlingen fra en anden.

De samarbejdspartnere, der behandler persondata på vegne af foreningen, skal foreningen sørge for at indgå en databehandleraftale med. Det vil typisk være:

  • Målerselskaber, der udarbejder forbrugsregnskab for foreningen, fx Ista, Clorius, Brunata, Techem m.v. 
  • Hjemmesideudbydere, fx prosedo
  • Ekstern bogholder
  • Lønsystemer, der benyttes af foreningen
  • Foreningens IT-leverandører (mailprogrammer, cloudløsninger og hjemmesideudbydere)
  • Administrator

De fleste databehandlere vil selv kontakte jer med et forslag til en databehandleraftale, da databehandlerne foretrækker at have den samme aftale med alle sine kunder. Samtidig er databehandleren nærmest til at skrive, hvilke data de behandler og til hvilke formål, og derfor giver det god mening, at databehandleren kommer med et oplæg til en databehandleraftale. 

Hvis foreningen selv vil udarbejde en databehandleraftale, så kan paradigma til databehandleraftale for en ejerforening købes i Ejendomsforeningen Danmarks shop under persondata.

Yderligere information

Vil du vide mere, så kan du læse Datatilsynets udtalelser, vejledninger og afgørelser på Datatilsynets hjemmeside

Juridisk Rådgivning

Tlf. 33 12 25 34

Kl. 9.00 - 15.30
Der er tale om telefonisk
rådgivning. Juristerne
besvarer således hverken
på mail eller brev.

Husk at oplyse 

medlemsnummer 

og telefonnummer.

Firmaguide

Juridisk vejledning

Firmaguiden er din indgang

til en liste af firmaer,

der har målrettet deres

ydelser til ejerforeninger

Søg i firmaguiden her

Kurser

Juridisk vejledning

EJL udbyder kurser i jura, drift og

administration omkring ejerforeninger

og emner der kan medvirke til

værdiforøgelse af foreningens ejendom,

såvel som den enkelte lejlighed.

Læs mere her

Juridisk Hotline

Den juridiske rådgivning

hjælper telefonisk vores

medlemmer med at afklare

små og store spørgsmål

Kontakt os