Husbolag | Dataombudsmannens byrå

Behandling av personuppgifter i husbolag förutsätter alltid en laglig behandlingsgrund i enlighet med EU:s allmänna dataskyddsförordning (2016/679) (EUR-Lex). Grunden ska fastställas innan behandlingen inleds, och den kan inte bytas till en annan grund medan behandlingen pågår. Behandlingsgrunden påverkar avsevärt den registrerades rättigheter gentemot den personuppgiftsansvarige. Behandlingen av uppgifterna ska vara lagenlig, skälig och transparent.

Kravet på ändamålsbegränsning betyder att uppgifterna inte utan grund får behandlas för andra ändamål än det som uppgifterna insamlas för.

Kravet på korrekthet betyder att den personuppgiftsansvarige ska säkerställa att uppgifterna är korrekta under hela deras livscykel. Uppgifterna ska uppdateras efter behov. Dessutom får uppgifter samlas endast i den omfattning som de verkligen behövs (uppgiftsminimering).

Dataskyddsförordningen omfattar sex olika grunder, som möjliggör behandling av personuppgifter:

ett samtycke av den registrerade
ett avtal
en rättslig förpliktelse för den personuppgiftsansvarige
skydd av vitala intressen
en uppgift som gäller ett allmänt intresse eller offentlig makt
ett berättigat intresse hos den personuppgiftsansvarige eller en tredje part.

Med husbolag avses i denna anvisning vilket som helst bolag som äger en bostadsbyggnad. Sådana är bostadsaktiebolag, fastighetsaktiebolag, hyreshusandelslag, bostadsrättshus ägda av bostadsrättsföreningar osv. Nedan används begreppet ”husbolag” om dessa. Ett mer exakt uttryck används endast om bolagsformen eller ägaren är av betydelse med tanke på behandlingen av personuppgifter.

Avtal

När en registrerad är part i ett avtal, får hans eller hennes personuppgifter behandlas för att genomföra avtalet. Om den registrerade till exempel har rätt att använda en parkeringsplats som husbolaget äger, kan hans eller hennes uppgifter användas i enlighet med avtalet. Det är viktigt att fastställa avtalets exakta innehåll och grundläggande mål, eftersom dessa omständigheter ligger till grund för bedömningen av huruvida behandlingen är nödvändig. Behandlingen ska avgränsas till nödvändiga personuppgifter.

Rättslig förpliktelse

Personuppgifter får behandlas i husbolaget, när det finns en rättslig förpliktelse för behandlingen. I lagen om bostadsaktiebolag föreskrivs om bolagsordningen och dess innehåll samt aktieboken och vilka uppgifter som aktieboken ska innehålla. Styrelsen ska föra en aktiebok över bolagets aktier. I den ska antecknas samtliga aktier i aktiegrupper och nummerföljd, vilken aktielägenhet varje aktiegrupp medför besittningsrätt till, dagen då ett aktiebrev har utfärdats, aktieägarens identifierings- och adressuppgifter, uppgifter som enligt bestämmelser någon annanstans i lag ska antecknas i aktieboken, och de begränsningar som besittningsrätten till en lägenhet är underkastad enligt någon annan lag, om det särskilt krävs att de antecknas.

Aktieboken ska upprättas utan dröjsmål efter det att bolaget har bildats och den ska föras på ett tillförlitligt sätt. Uppgifter i aktieboken om en tidigare aktieägare ska förvaras på ett tillförlitligt sätt i 10 år från det att den nya ägaren har införts i aktieboken. Efter nämnda tidsfrist får uppgifter om tidigare ägare förvaras, användas eller i övrigt behandlas endast för vetenskaplig forskning, bolagets historik eller statistikföring.

Var och en har rätt att ta del av aktieboken och få kopior av aktieboken eller en del av den. Därutöver har aktieägare, tidigare aktieägare och andra som visar att deras rättigheter kräver det rätt att ta del av uppgifter i aktieboken om tidigare aktieägare och att få kopior av uppgifterna. Fysiska personers adress eller födelsedatum får ges ut endast till aktieägare eller till dem som visar att deras rättigheter kräver det.

Personbeteckning eller något annat överflödigt får inte antecknas i aktieboken.

Mer information om användning av personbeteckning

I en aktiebok som finns till påseende för alla får inte innehålla uppgifter om tidigare aktieägare, trots att dessa uppgifter ska förvaras på ett tillförlitligt sätt i 10 år från det att den nya aktieägaren har införts.

Om magistraten med stöd av 36 § i lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (661/2009) (Edilex) har förordnat en begränsning av utlämnande av uppgifter som gäller en aktieägare och bolaget har underrättats om denna begränsning, får uppgifter om aktieägaren som införts i aktieboken endast lämnas ut till myndigheter samt aktieägare eller andra som visar att deras rättigheter kräver det.

Berättigat intresse

Det är tillåtet att behandla personuppgifter i husbolaget då det är nödvändigt för att tillgodose berättigade intressen hos den personuppgiftsansvarige eller en tredje part. Med hjälp av ett så kallat jämviktstest kan det utredas när förmånen kan anses vara berättigad. I jämviktstestet vägs den personuppgiftsansvariges eller en tredje parts intressen mot den registrerades intressen och grundläggande fri- och rättigheter.

Läs mer om jämviktstest

Ett berättigat intresse kan föreligga till då en betydelsefull relation föreligger mellan den registrerade och den personuppgiftsansvarige, till exempel om den registrerade är den personuppgiftsansvariges kund eller underlydande.

Enligt dataskyddsförordningen ska ett skriftligt avtal ingås mellan den personuppgiftsansvarige och en utomstående tjänsteleverantör som behandlar personuppgifter, till exempel en disponent eller servicebolag.

I avtalet ska bland annat bestämmas vilka personuppgifter som behandlas (vilket register, vilka uppgifter behandlas) och längden på behandlingen, behandlingens art och syfte samt den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter. Dessutom ska man i avtalet fastställa saker som gäller till exempel sekretess, datasäkerhet och anlitande av eventuella underleverantörer och vidare utlämnande av uppgifter.

Lagen om bostadsaktiebolag innehåller bestämmelser om förande av aktiebok och register över renoveringar, och följaktligen är de personregister som baserar sig på lagen. Förandet av aktiebok är baserat på husbolagets berättigade intresse att föra bok över de boende för att anordna boendetjänster.

I aktieboken ska inga andra än lagbaserade personuppgifter insamlas, till exempel personbeteckningar, yrken, uppgift om civilstånd e.d.

Behandlingen av personbeteckning är berättigat i alla sådana situationer, där ett företag erbjuder tjänster eller produkter som faktureras senare. Även vederlag, bruksavgifter och hyror är sådana tjänster. Således kan personbeteckningar insamlas för en boendeförteckning (eller disponentföretagets kundregister) för att entydigt identifiera betalarna, dvs. aktieägare eller boende. Dessutom behövs styrelsemedlemmarnas personbeteckningar för anmälan till handelsregistret och eventuell utbetalning av arvoden.

Mer information om personbeteckningar

Upptagningarna innehåller personuppgifter och utgör ett personuppgiftsregister, eftersom en bild på en fysisk person som sparas i övervakningskameran och uppgifter som sparas i elektronisk passerkontroll utgör personuppgifter oavsett hur länge upptagningarna sparas.

Med tanke på lagenligheten är det väsentligt att på förhand noggrant fastställa i vilket syfte kameraövervakningen eller passerkontrollen genomförs. Till exempel i ett offentligt utrymme, som en trappuppgång, är kameraövervakning i syfte att förebygga eller utreda brott typiska godtagbara orsaker. Vid planeringen av övervakningen bör dock begränsningar i annan lagstiftning beaktas. Upptagningarna får till exempel inte kränka någons hemfrid.

Upptagningarna ska behandlas omsorgsfullt och tillräckligt skyddat. De får endast användas för på förhand fastställda ändamål, och upptagningarna får inte förvaras längre än behövligt för att fullgöra upptagningens syfte.

Läs mer om kameraövervakning

Lagen om bostadsaktiebolag fastställer exakt hur länge uppgifterna i aktieboken och registret över renoveringar ska förvaras. I fråga om aktieboken förvaras uppgifter om aktieägare och tidigare ägare i 10 år efter att ägandet upphört. Därefter får uppgifterna förvaras, användas och i övrigt behandlas endast för vetenskaplig forskning, bolagets historik eller statistikföring.

Uppgifterna i registret över renoveringar ska däremot förvaras under hela bolagets existens (berättigat intresse).

När det gäller boendeförteckningen ska husbolaget fastställa förvaringstiderna för uppgifterna. Förvaringstiden för personuppgifter ska vara så kort som möjligt, och inga onödiga uppgifter får förvaras. I regel kan uppgifterna sparas medan boenderelationen pågår, varefter de kan behövas för till exempel fakturering, indrivning eller rättsliga åtgärder.

För officiell skötsel av husbolagets ärenden ska en annan kanal används, och personuppgifter ska aldrig skickas i applikationer eller grupper på sociala medier.

Styrelsens officiella beslut fattas utanför sociala medier. Den som publicerar information via sociala medier ska vara medveten om att han eller hon vid överlämning av uppgifter i allmänhet också förbinder sig till att överlåta ägarskapet till uppgiften till den som äger den aktuella kanalen på sociala medier. Detta baserar sig på användningsvillkoren för sociala medier.

Vid sändning av personuppgifter ska man alltid vara mycket noggrann. I praktiken ska aktörerna bedöma de risker som ingår i behandlingen, dvs. även att den tekniska tjänst som används garanterar en tillräcklig datasäkerhet. Om okrypterad e-post används för att överföra personuppgifter ska man informera om riskerna med detta på tillbörligt sätt på förhand. Dataombudsmannen rekommenderar att säker e-post alltid används för att överföra personuppgifter.

Servicebolaget kan få information om personen som bor på adressen antingen i husbolagets eller disponentföretagets personregister. I detta fall ska den personuppgiftsansvarige och den som behandlar personuppgiften, dvs. servicebolaget, skriftligen komma överens om att uppgiften behandlas i enlighet med dataskyddsförordningen och de anvisningar som den personuppgiftsansvarige gett. Det är bra om husbolaget kommer överens om rutiner med servicebolaget, där servicebolaget öppnar dörren endast för boende som i boendeförteckningen registrerats som boende och som kan styrka sin identitet med identitetsbevis.

Enligt en etablerad myndighetstolkning utgör namntavlan inte ett eget personregister, och det är motiverat att den finns för att underlätta räddningsverksamhet. I vissa kommuner baserar sig skyldigheten att hålla en namntavla i fastighetens trappuppgång även på föreskrifterna i byggnadsordningen.

Husbolagens ledning måste överväga med vilken noggrannhet anteckningar behöver göras i andra listor. I turlistor ska inga personuppgifter, t.ex. namn, antecknas i onödan.

Det rekommenderas att använda anteckningen ”bokad” eller lägenhetens nummer i en bokningslista för bastu eller en lista över innehavare av parkeringsplatser i allmänna utrymmen på grund av principen för uppgiftsminimering.

Husbolaget ska säkerställa att behandlingen av personuppgifter som det gett (eller överfört) från sitt register sker på det sätt som dataskyddsförordningen kräver. I praktiken avtalar husbolaget med entreprenören om detta med ett skriftligt avtal. Därefter ska entreprenören i egenskap av personuppgiftsbiträde följa denna förpliktelse och andra skriftliga anvisningar som husbolaget fastställt. Om entreprenören lämnar ut uppgifterna till en underentreprenör, är entreprenören i regel fortfarande ansvarig för att personuppgifterna behandlas omsorgsfullt. Ansvaret kan även ligga hos såväl entreprenören som underentreprenören.

Ja. Material i pappersform behandlas på samma sätt som elektroniskt material. Således ska till exempel förvaringstiderna beaktas vid förvaring av materialet. I husbolagets dataskyddsbeskrivning bör anges hur förvaringen av dessa material genomförs tillräckligt omsorgsfullt ur ett dataskyddsperspektiv. Behandlingen av personuppgifter ska även i praktiken följa det som anges i dataskyddsbeskrivningen. Delägarens rätt att få bolagets förvaltningsmaterial eller kopior av det för påseende bestäms i enlighet med lagen om bostadsaktiebolag, oavsett om informationen förvaras i pappersform eller om den sparats på dator.

Personuppgiftsbegreppet är mycket omfattande, eftersom också uppgifter med vilka en fysisk person indirekt kan identifieras som personuppgifter. Med hjälp av boendeförteckningen kan lägenhetens vattenförbrukning allokeras att gälla vissa personer, i lägenheter med en boende direkt mot personen. Detta gäller även uppgifter om renoveringar. Det är säkrare att behandla även dessa uppgifter på det sätt som krävs för personuppgifter.

Att föra personuppgifter i boendeförteckningen baserar sig på husbolagets berättigade intresse. Skötseln av boenderelationen kräver att till exempel den boendes namn och lägenhetsnummer, födelsetid, uppgifter om boendetjänster som den boende använder, som bilplats eller bastutur samt kontaktspråk har införts i boendeförteckningen. Inga onödiga uppgifter får efterfrågas av de boende, dvs. uppgifter som inte är väsentliga med tanke på boenderelationen (t.ex. utbildning, civilstånd eller yrke).

Husbolaget kan få kännedom om känsliga uppgifter, trots att husbolaget inte aktivt samlar in sådana uppgifter. Bolagets ledning kan få kännedom om en särskild (s.k. känslig) uppgift till exempel om en aktieägare eller boende själv berättar om den. Vid behandlingen av en särskild uppgift gäller det att vara medveten om uppgiftens särskilda art: till exempel ska endast de personer som konkret behöver uppgiften för skötseln av husbolagets förvaltning ha åtkomst till uppgifterna. En onödig personuppgift behöver inte tas emot och kan förstöras genast. Även en nödvändig uppgift sparas endast under den tid som den behövs.

Som en följd av försummelse av dataskyddsförordningen kan husbolaget i värsta fall bli tvunget att betala betydande administrativa sanktioner samt skadestånd. Den personuppgiftsansvarige och personuppgiftsbiträdet ska kunna bevisa att de följer dataskyddsförordningen.

Läs mer om ansvarsskyldighet

Om en personuppgiftsincident dock inträffar, ska den anmälas till tillsynsmyndigheten inom 72 timmar från det att incidenten upptäcktes samt till de personer mot vars uppgifter incidenten riktades.

Till anmälningsblanketten för personuppgiftsincidenter

Man får inte kräva detta av en boende. När elektroniska flyttanmälningsblanketter används ska den personuppgiftsansvarige se till att det i de obligatoriska fälten i blanketten inte krävs att personuppgifterna överlåts vidare i marknadsföringssyfte till exempel till aktörer som är intresserade av att hyra bostaden eller andra utomstående. Innan elektroniska flyttanmälningsblanketter tas i bruk gäller det att försäkra sig om datasäkerheten i blanketten.

Detta får inte krävas, utan den personuppgiftsansvarige bör även gå med på en specificerad begäran om insyn som framförs skriftligen eller på något annat sätt. Den personuppgiftsansvarige har dock rättighet och skyldighet att försäkra sig om identiteten hos den som begär uppgifterna genom att kontakta den boende med hjälp av kontaktuppgifter som den personuppgiftsansvarige innehar och som har lämnats tidigare (till exempel genom att ringa det telefonnummer som den registrerade uppgett i flyttanmälan).

Detta beror framför allt på hurdana grunder för kontroll av de boendes rörelser det finns i varje enskilt fall. I uppgiftshanteringen ska man alltid beakta dataskyddsprinciperna, alltså lagenlighet, rimlighet, bundenhet till användningsändamålet, skyldigheten att minimera uppgifterna, korrekthet, integritet, konfidentialitet och begränsning av lagringstiden för uppgifterna. I praktiken ska husbolaget bedöma till exempel om grunderna för passerkontrollen är mer vägande än den registrerades integritetsskydd.

Om det finns grunder för passerkontrollen ska de registrerade informeras på det sätt som lagen förutsätter om hanteringen av personuppgifter i samband med passerkontrollen och om de registrerades rättigheter. Som i all hantering av personuppgifter ska man vid övervägande av användningen av elektroniska lås bedöma om man kan uppnå det mål som eftersträvas utan hantering av personuppgifter. Således är det skäl för ett husbolag som överväger att börja använda ett elektroniskt låssystem med passerkontroll att granska som alternativ sådana elektroniska system som inte samlar in personuppgifter.

Grunden för vidare överlåtelse av uppgifter ska i dylika situationer vara den boendes samtycke. För att samtycket ska vara giltigt ska det vara frivilligt. Således ska samtycket till överlåtelse av uppgifter inte inkluderas till exempel som en del av hyresavtalsvillkoren, utan den registrerade ska kunna antingen ge eller inte ge sitt separata samtycke till överlåtelse av uppgifter.

I regel är det avgiftsfritt att granska uppgifter om sig själv. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga (till exempel upprepade begäranden) får man ta ut en rimlig avgift som motsvarar administrativa kostnader för granskningen.

Med stöd av lagen om bostadsaktiebolag kan en skälig ersättning dock tas ut för ett disponentintyg, och de alla uppgifter som ingår i ett disponentintyg är inte personuppgifter som omfattas av rätten till insyn.

Vanliga frågor om behandling av personuppgifter i husbolag

Avtal

Rättslig förpliktelse

Berättigat intresse

Genvägar

Vanliga frågor om behandling av personuppgifter i husbolag

När får husbolaget behandla personuppgifter?

Måste husbolaget och disponentföretaget enligt dataskyddsförordningen avtala om behandlingen av personuppgifter? Eller husbolaget och servicebolaget?

Vad bör beaktas om en inspelande övervakningskamera har installerats i husbolaget?

Hur länge får personuppgifterna i aktieboken, registret över renoveringar eller boendeförteckningen förvaras?

Hur ska aktieöverföringar under räkenskapsperioden och eventuella obetalda vederlag registreras i verksamhetsberättelsen?

Kan aktieägarna i inbördes kommunikation använda både e-post och sociala medier, som Facebook eller styrelsens WhatsApp-grupp?

Anses e-post vara ett datasäkert sätt att sända personuppgifter? Får man alltså skicka ett disponentintyg vidare per e-post till en aktieägare som bett om det eller till aktieägarens bank?

Hur behandlar servicebolaget som husbolaget anlitar aktieägarnas och de boendes personuppgifter? Hur säkerställs det till exempel i dörröppningstjänster att dörren endast öppnas för rätt personer?

Får en namntavla med de boendes efternamn hållas framme i trappuppgången? Hur är det med en bastubokningslista eller en lista över innehavare av parkeringsplatser?

I vårt stambyte har det överenskommits att entreprenören sköter kommunikationen under arbetet. Vad bör beaktas när husbolaget ger till exempel de boendes telefonnummer och e-postadresser i detta syfte till entreprenören?

I husbolagets klubbrum förvaras bolagets protokoll och annat material i pappersform. Gäller dataskyddet även pappersmaterial?

Är till exempel förbrukningsinformationen i lägenhetsvisa vattenmätare en personuppgift? Eller ändringsarbeten som införts i registret över renoveringar?

Vilka personuppgifter ska efterfrågas av de boende, dvs. föras i husbolagets boendeförteckning?

Innehar husbolaget särskilda (s.k. känsliga) personuppgifter? Till exempel uppgift om aktieägarens eller den boendes hemvårdstjänst?

Vad händer om husbolaget inte anpassar sin verksamhet så att den stämmer överens med dataskyddsförordningen?

Hur ska boende och aktieägare enligt dataskyddsförordningen informeras om behandlingen av personuppgifter?

En boende vill kontrollera uppgifter som registrerats om honom eller henne. Kan vi ta ut en avgift hos den boende?

Kan en boende förpliktas att lämna sina personuppgifter till potentiella kommande boende, till exempel för att ordna bostadsvisningar?

När en boende vill granska uppgifter om sig själv, måste begäran då alltid göras personligen på disponentbyrån?

Får husbolaget använda elektriska lås eller andra motsvarande passerkontrollsystem i allmänna utrymmen såsom i avfallsskjul?

Har husbolaget rätt att utan separat tillstånd överlåta uppgifter om de boende t.ex. till elbolag?

Eftersom det är avgiftsfritt att granska uppgifter om sig själv, är det då också möjligt att få ett disponentintyg avgiftsfritt?

Genvägar