Advokat Marit Figenschau er travelt opptatt med å forberede TOBB til de nye personvernreglene trer i kraft. Her kommer hun med tips og råd til boligselskapene.

 

iTOBB nr 2 • Juni 2018 - Tekst: Anne-Lise Aakervik

I løpet av 2018 får Norge og Europa nye personvernregler. Dette vil gi en mye mer helhetlig behandling av folks personopplysninger.

EUs forordning for personvern, The General Data Protection Regulation (GDPR), blir norsk lov i 2018. Det betyr at vi får nye regler for personvern i Norge. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter.

Dette får konsekvenser for alle som samler inn opplysninger fra folk, enten det er medlemsklubber, kundeklubber eller boligselskap. Vi har derfor laget en oppsummering over hva som er viktig for styrene i denne sammenhengen. Advokat Marit Figenschau i TOBB har hektiske dager før de nye reglene trer i kraft. For det er ikke bare styrene som må vite hvilken informasjon man har om beboere. TOBB jobber også med å sikre at de personopplysningene de sitter med håndteres i tråd med GDPR.

Vi jobber for fullt med å gjennomføre regelverket. Vi vil også samarbeide med styrene slik at de oppfyller kravene som stilles i det nye regelverket.

Hva betyr det for styrets arbeid?
Det er viktig at styrene ikke tar lett på dette. De har et ansvar for å oppfylle regelverket.
– Det mange styrer ikke tenker over er at de sitter med personopplysninger som navn, telefonnummer, epostadresse og mer, som ligger lagret både her og der. Det kan være permer fra tidligere tider, lister med personopplysninger på folk som ikke lenger bor der. De kan ligge på både private og boligselskapets PCer og de kan være delt med folk som ifølge den nye loven ikke skal ha tilgang. Et viktig punkt i den nye loven er at de som bor i boligselskapet skal kunne vite hva styret har av opplysninger om dem. De har krav på innsyn som det heter, og da er det viktig at man vet hvor disse opplysningen ligger, hvem som har adgang til de og hvilke de er.

Ha et formål
I følge den nye loven må man ha et rettslig grunnlag eller et formål med å lagre personopplysninger. Adresser er viktig for å f.eks. sende faktura. Styreprotokoller har også et formål, men gamle beboerlister eller andre typer informasjon om beboere som lagres fordi det er greit å ha, er ikke lov lenger. Man kan gi samtykke om at dine opplysninger lagres selv om det ikke er et klart formål, men ingen har lov til å lagre opplysninger fordi det er enkelt for dem.

– Så her må styrene inn å gjøre en jobb. Det første steget er å kartlegge hva man oppbevarer, deretter vurdere hva som må slettes. Permer som ikke er rørt på mange år må sjekkes og all digital informasjon må gjennomgås og samles i for eksempel styreportalen, sier Marit Figenschau. Et styre må opprette gode sletterutiner for personopplysninger de får tilgang til.

Det er også slik at man ikke kan gi personopplysninger til tredjepart. For eksempel hvis et kraftselskap ber om å få opplysninger om beboerne for å kjøre kampanjer eller lignende, kan ikke styret levere ut dette med mindre man har samtykke.

Felles informasjon
En styreleder kan ikke legge til folk på informasjonsgrupper med full epostadresse uten at vedkommende har gitt samtykke til det. Når det gjelder facebook er det slik at man selv velger om man blir med i gruppen man inviteres til, det er OK. Da gir man samtykke.

Boligselskapene må også inngå en databehandleravtale med TOBB. Det betyr at de gir TOBB tillatelse til å behandle f.eks. personopplysninger i styreportalen. Gjennom TOBB-systemet blir slike opplysninger godt ivaretatt og slettet når de ikke er nødvendige lenger.

– Vi vil gjerne bidra til at styrene klarer denne oppgaven uten alt for mange feilskjær. Informasjon om dette blir lagt ut på tobb.no og i styreportalen etter hvert, avslutter Marit Figenschau.

 

 

fakta

Lovforslaget viderefører hovedprinsippene i den gjeldende personopplysningsloven, men styrker personvernet på viktige punkter:

  • Mer åpenhet rundt innsamling og bruk av personopplysninger. Den som ber om samtykke til å bruke opplysninger skal gi klar og tydelig informasjon om hvordan personopplysningene skal brukes.
  • Bruk av personopplysninger skal begrunnes og begrenses. Det vil ikke være tillatt å samle inn eller lagre personopplysninger man ikke trenger. Opplysninger som det ikke lenger er behov for, skal slettes.
  • Uriktige eller ufullstendige opplysninger skal rettes.
  • Det innføres en rett til å ta med seg personopplysninger fra en virksomhet til en annen.
  • Den enkelte får rett til å protestere mot behandling av sine personopplysninger.
  • Den enkelte kan slippe at det blir truffet viktige avgjørelser om han eller henne basert på en helautomatisert behandling av personopplysninger.
  • Det vil bli adgang til å ilegge et betydelig høyere gebyr ved overtredelse av reglene
  • Virksomhetene får et større ansvar for å ivareta personvernet, og må jobbe systematisk for å sikre at personopplysningene behandles i tråd med regelverket

 Hva bør og kan styret gjøre?

  1.  Styret må skaffe en oversikt over hvilke personopplysninger man har om beboere, tidligere styremedlemmer og andre personer etc. Det er også viktig å vite hvorfor man trenger å lagre opplysningene. Et såkalt rettslig grunnlag for behandlingen.
  2. Sørg for å etterleve kravene i personopplysningsloven som gjelder i Norge i dag. Overgangen til de nye reglene blir lettere om dere har gode rutiner for internkontroll.
  3. Sett dere inn i det nye regelverket. Sjekk tobb.no og datatilsynet.no
  4. Lag rutiner for å følge de nye reglene. Gå gjennom rutinene dere har for behandling av personopplysninger.
  5. Dokumenter de nye rutinene, og legg en plan for nødvendige endringer. Endringer i systemer og rutiner tar tid. Begynn allerede nå!
  6. Husk at enhver beboer (tidligere og nåværende) kan be om å få vite hvilke personopplysninger styret har om dem.

 For mer informasjon gå til datatilsynet.no