Tour - Vores Forening

GDPR i foreningen: Sådan overholder I reglerne

I mange ejer- og andelsboligforeninger sker det, at man overser GDPR-reglerne. Det skal være slut nu.

Kasper Frandsen
10/11/2022
Guides

I mange ejerforeninger og andelsboligforeninger sker det, at man overser GDPR-reglerne, når det gælder medlemslister, kontingentopkrævning og dokumenthåndtering. Det er faktisk nemt at lade være.

I løbet af 2018 kom der ensartede regler for databeskyttelse i hele EU kaldet ’GDPR-reglerne’. Reglerne gælder alle, der opsamler og behandler data - både virksomheder og foreninger. Den er ikke vejledende, men lige så gældende som skattelovgivningen eller fartgrænserne.

Desværre har mange ikke styr på, hvad kravene er eller, hvordan arbejdsgangene skal være, for at loven overholdes - det er synd, for det er faktisk ikke så kompliceret som man ellers skulle tro.

Alle ejerforeninger og grundejerforeninger må gerne indsamle og gemme data om deres medlemmer i form af f.eks. en medlemsliste eller medlemssystem. Det vil sige, information om navn, telefonnummer og f.eks. e-mailadresser, sådan at bestyrelsen kan komme i kontakt med sine medlemmer, opkræve kontingent. Det er dog sådan, at de data skal slettes hvis medlemmet melder sig ud.

I en ejerforenings bestyrelse og i administrationen af en ejer- eller andelsboligforening helt generelt gælder der to tommelfingerregler:

  1. Man skal kun indsamle den absolut nødvendige information. Hvis man er i tvivl så lad være med at indsamle data
  2. Man skal have en god grund til at gemme og bruge data.  Man skal ikke blot gemme data fordi "man kan få brug for det senere". Kun hvis det er helt nødvendigt, for at foreningen kan fungere, kan gamle persondata gemmes.

Før i tiden var det rart at have så meget data som overhovedet muligt på sine medlemmer. Det kunne være navn, adresse, telefonnummer, e-mail og måske endda bankkonto og registreringsnummer og i nogle tilfælde CPR-numre. Det føltes måske praktisk, og det er rart at være på den sikre side.

I dag er det helt sikkert, at hvis du vil være på sikre side, så lad være med at indsamle mere data end det, der skal bruges. Databeskyttelsen er til for at passe på personer, og derfor gælder reglerne især for data, der handler om mennesker. Den slags data er personfølsomme oplysninger og kan f.eks. være navne og adresser. Med den slags informationer kan man finde frem til hinanden. Populært sagt er data personfølsomt, så snart det kan være med til, at andre folk kan finde frem til eller identificere dig blandt andre.

Hvad er data og 'persondata'?

Data er et stykke information. Persondata er alle de oplysninger, der kan føres tilbage til en person f.eks. et navn, et telefonnummer, et billede eller en adresse. Man skelner ikke mellem typen af data, men ser på, hvor nemt det er identificere en person ud fra ét eller flere ’stykker’ af data. Et telefonnummer er et stykke privat data. Men hvis det står sammen med et navn og en adresse, er det personfølsomt: Desto mere data, desto mere viden. Foreningen har et ansvar for at sikre medlemmerne og de frivilliges privatliv ved at beskytte deres data.

Har min ejerforening overhovedet persondata, og betyder GDPR noget for min ejerforening?

Med 100% sandsynlighed er svaret 'ja'. I en ejerforening er det nemlig helt normalt, at man har data på personer i foreningen eller i hvert fald, at man har kopier af dokumenter, hvor persondata findes. Det kunne være, men er ikke begrænset til:

  • Mødereferater, hvor der står navne og måske adresser på deltagere eller fraværende
  • Medlemsliste over ejerforeningens medlemmer eller beboere. Den indeholder nemlig typisk navn, adresse, telefonnummer og e-mail
  • Kontooplysninger måske til udbetaling af udlæg eller opkrævning af medlemskab
  • Købsaftaler eller lignende dokumenter fra ejendomsmæglere

Persondata kan også gemme sig i dokumenter og filer - uanset om det er regneark, word eller powerpoint. Det kan f.eks. være i forbindelse med en generalforsamling, hvor indkaldelser, referat og forslag kan indeholde navne eller kontaktinformationer. Personoplysninger gemmer sig ofte også i de sager, som bestyrelsen arbejder med. Det kan være beboersager eller klager. Mere komplekse opgaver som byggesager eller vedligeholdelsesplaner for specifikke områder, parceller eller lejligheder kan også indeholde personoplysninger. Hvis man har et fælleslokale eller forsamlingshus eller måske en venteliste til interesserede købere, kan der også være tale om data, som man skal være opmærksom på.

Vores Forening er med til at sikre, at I overholder GDPR-reglerne

Foreninger der benytter medlemssystemet Vores Forening er allerede et skidt foran. Vores Forening er netop bygget specifik til at håndtere de GDPR-udfordringer som frivillige i landets grundejerforeninger, ejerforeninger og andelsboligforeninger møder.

Medlemslisten findes online i et sikkert miljø på en europæisk server.

Det betyder, at I ikke behøver at have fysiske kopier af medlemslisterne liggende, og at der heller ikke er brug for, at der findes en 3-4 forskellige versioner på bestyrelsens private computere.

Det holdermedlemmernes data sikre og minimerer risikoen for, at uvedkommende får fat idem.

Læs mere om medlemssystemet

I har alle jeres dokumenter i et fælles arkiv.

Alle jeres dokumenter - referater, vedtægter, byggesager eller forsikringspapirer - kan I gemme i jeres eget dokumentarkiv. Filerne ligger i skyen under samme sikkerhed som jeres medlemsliste.

Det betyder, at I slipper for at have kopier liggende hjemme og for at skulle huske, hvem der nu har forsikringspolicen hjemme i skabet eller på pc’en. Og hvis I allerede har en fildelingstjeneste, kan I spare de 900 kr. sådan, som en løsning ellers koster.

Læs mere om dokument-arkivet.

Med Vores Forening har I et godt fundament for at overholde datareglerne. Vi vil gerne gøre det så nemt at være regelret som overhovedet muligt. Derfor vil vi runde af med en opfordring til at tage opvasken og tre konkrete råd.

Tag den digitale opvask: Husk at slette

Det er helt normalt at have standard-oplysninger i den slags dokumenter, som vi nævner ovenfor. I nogle tilfælde vil foreningen også have brug for at indsamle særligt følsomme oplysninger. Det gælder f.eks. CPR-numre, information om sundhed, straffeattester eller lignende - eksempelvis misbrug, strafbare forhold elleranden viden, der kan dukke op i f.eks. klagesager.

Her skal man tage sig i agt som forening: Hvis sagen er sluttet, så sørg for at få slettet dataene.

Det er som at tage ’den digitale opvask’ efter generalforsamlingen. På samme måde kan det ofte være nødvendigt at indhente persondata som CPR-numre, i forbindelse med at man skifter kasserer eller formand. Ofte forlanger banker eller revisorer det som standard, i forbindelse med skift af roller.

Her er det igen tommelfinger-reglerne der skal i brug: Lad være med at gemme dataene, når den er brugt. Der er ingen grund til at formandens (m/k) cpr-nummer ligger på et fællesdrev et sted.

Tre råd om GDPR i din ejerforening

  1. Nøjes med at skrive navn og efternavn i referaterne på møder. Folk behøver ikke vide, hvor mødedeltagerne bor
  2. Undlad at have medlemslisten og kontaktinformationer frit fremme på internettet. Lad være med at have folks privatkontakter på hjemmesiden eller i opslag på sociale medier
  3. Lav en anonym 'Bestyrelsen@gmail.com'-e-mail adresse (det er gratis), så bestyrelsesmedlemmerne og andre frivilliges private kontaktoplysninger ikke behøver at ligger frit fremme. Læs hvordan I opretter sådan en mail her.

GDPR betyder noget for din ejerforening. Du kan finde flere gode råd rundt om på internettet. Center for Frivilligt Socialt Arbejde har samlet en række fine råd, som du kan finde lige her.

Hvorfor hedder det ”GDPR”?

Loven eller forordningen som det hedder, når EU regler implementeres direkte i landene, er gældende i hele EU. Den hedder på engelsk ”General Data Protection Regulation” og forkortes derfor til GDPR.

Formålet medloven er at give alle EU borgere en beskyttelse imod opsamling og misbrug af deres data. En del af arbejdet har medført, at man har etableret datarettigheder, f.eks. er 'rettigheden til at blive glemt' blevet etableret. Det er altså blevet muligt at blive slettet fra søgemaskiner og databaser igen.

På dansk hedder den 'databeskyttelsesforordningen' eller lidt mindre mundret: 'Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF'. Ja, man bliver forpustet, så vi holder os bare til 'GDPR'.