Låt oss reda ut hur GDPR påverkar föreningar
Vilka uppgifter får man enligt GDPR publicera som samfällighet eller annan förening?
<rant>GDPR är ju en helvetes jävla skitlag i praktiken, då det innebär oändliga mängder osäkerhet ang vad man får och inte får göra och ytterligare höjer ribban för ett fungerande föreningsliv. Undanber mig en massa "det är en bra tanke men", ni EU-hanrejer och överstatlighetsfanboys kan skriva i en annan tråd. Faktum är att det pajat massor för att fixa något som knappt var trasigt.</rant>
I en normal förening har man ett medlemsregister, där har man lite kontaktuppgifter, som kan vara av olika typer (personlig email, telefonnummer, adresser). Dessa uppgifter samlas in i samband med inträde i föreningen, och man kan därmed anta att implicit samtycke föreligger för lagring av dessa, ytterst ändamålsenliga uppgifter. Så långt allt väl.
Problemet för föreningar är dock att man i vissa fall vill inte bara lagra, utan även publicera vissa personuppgifter för att få föreningen att fungera. För en samfällighet är det standard att man har en anslagstavla med lite personuppgifter. Namn och kanske tel och mail till ordförande, eventuellt även till övrig styrelse. Man kanske har kontaktuppgifter till den som är ansvarig för stranden, bastun, bryggan, båtplatser. Man har även gärna en hemsida, med liknande information. Kanske har man en del av hemsidan som är skyddad med ett vida känt men ändå inte publikt lösenord.
I och med GDPR ifrågasätter vissa dessa listor då kontaktuppgifterna är hämtade ur föreningens adressregister, utan att personerna givit explicit samtycke till att dela dessa uppgifter. Frågan är vilken typ av uppgifter man får sprida på olika sätt utan att inhämta ytterligare samtycke.
Låt oss titta på ett exempel:
Galaxens samfällighet i Järna
Post Namn Email Personlig email Telefon
Ordförande Ord Förandesson ordf@galax-jarna.se ord@personlig.mail 012 - 3456789
Bryggansvarig Brygg Båtsson bryggan@galax-jarna.se bryggerhemma@personlig.mail 098 - 76543210
En otroligt rimlig lista att sätta upp, men ev onödigt utförlig. Speciellt telefon och personlig email känns onödigt, då man har en egen adress hos samfälligheten. Vad tror vi om
Galaxens samfällighet i Järna
Post Namn Email
Ordförande Ord Förandesson ordf@galax-jarna.se
Bryggansvarig Brygg Båtsson bryggan@galax-jarna.se
Den enda faktiska personuppgift som finns här är ju namnet. Om man i den arbetsbeskrivning som finns för den bryggansvariga lägger till en skrivning om att det ingår i ens arbetsuppgifter att "ha sitt namn tillgängligt på föreningens anslagstavlor och internweb", borde väl inget ytterligare explicit godkännande för spridande av personuppgifter behövas för ändamålet? Samma med en hjälpligt gömd del av webben (dvs ej sökmotorindexerad). Tanken med en sådan skrivning är att man såklart godkänner det arbetsbeskrivning som finns när man åtar sig ett uppdrag, och att stämmoprotokollet är ett tydligt pappersspår som visar att man gått med på att bli vald.
<rant>GDPR är ju en helvetes jävla skitlag i praktiken, då det innebär oändliga mängder osäkerhet ang vad man får och inte får göra och ytterligare höjer ribban för ett fungerande föreningsliv. Undanber mig en massa "det är en bra tanke men", ni EU-hanrejer och överstatlighetsfanboys kan skriva i en annan tråd. Faktum är att det pajat massor för att fixa något som knappt var trasigt.</rant>
I en normal förening har man ett medlemsregister, där har man lite kontaktuppgifter, som kan vara av olika typer (personlig email, telefonnummer, adresser). Dessa uppgifter samlas in i samband med inträde i föreningen, och man kan därmed anta att implicit samtycke föreligger för lagring av dessa, ytterst ändamålsenliga uppgifter. Så långt allt väl.
Problemet för föreningar är dock att man i vissa fall vill inte bara lagra, utan även publicera vissa personuppgifter för att få föreningen att fungera. För en samfällighet är det standard att man har en anslagstavla med lite personuppgifter. Namn och kanske tel och mail till ordförande, eventuellt även till övrig styrelse. Man kanske har kontaktuppgifter till den som är ansvarig för stranden, bastun, bryggan, båtplatser. Man har även gärna en hemsida, med liknande information. Kanske har man en del av hemsidan som är skyddad med ett vida känt men ändå inte publikt lösenord.
I och med GDPR ifrågasätter vissa dessa listor då kontaktuppgifterna är hämtade ur föreningens adressregister, utan att personerna givit explicit samtycke till att dela dessa uppgifter. Frågan är vilken typ av uppgifter man får sprida på olika sätt utan att inhämta ytterligare samtycke.
Låt oss titta på ett exempel:
Galaxens samfällighet i Järna
Post Namn Email Personlig email Telefon
Ordförande Ord Förandesson ordf@galax-jarna.se ord@personlig.mail 012 - 3456789
Bryggansvarig Brygg Båtsson bryggan@galax-jarna.se bryggerhemma@personlig.mail 098 - 76543210
En otroligt rimlig lista att sätta upp, men ev onödigt utförlig. Speciellt telefon och personlig email känns onödigt, då man har en egen adress hos samfälligheten. Vad tror vi om
Galaxens samfällighet i Järna
Post Namn Email
Ordförande Ord Förandesson ordf@galax-jarna.se
Bryggansvarig Brygg Båtsson bryggan@galax-jarna.se
Den enda faktiska personuppgift som finns här är ju namnet. Om man i den arbetsbeskrivning som finns för den bryggansvariga lägger till en skrivning om att det ingår i ens arbetsuppgifter att "ha sitt namn tillgängligt på föreningens anslagstavlor och internweb", borde väl inget ytterligare explicit godkännande för spridande av personuppgifter behövas för ändamålet? Samma med en hjälpligt gömd del av webben (dvs ej sökmotorindexerad). Tanken med en sådan skrivning är att man såklart godkänner det arbetsbeskrivning som finns när man åtar sig ett uppdrag, och att stämmoprotokollet är ett tydligt pappersspår som visar att man gått med på att bli vald.
Redigerat:
Medlem
· Stockholm
· 4 630 inlägg
https://www.byggahus.se/forum/threa...istoria-utan-att-bryta-mot-lagen-gdpr.325816/
Här ställde jag en liknande fråga tidigare.
Här ställde jag en liknande fråga tidigare.
Jag förstår inte problemet riktigt, om en person är ansvarig för något och dennes namn och kontaktuppgifter behöver införas i register och spridas så tillfrågas ju den personen och ger sitt uttryckliga samtycke. Därmed är frågan löst. Ger inte personen samtycke, utan vill leva i det fördolda så kan personen inte ha den uppgiften och därmed väljer man en annan person.
Att våra företag och större organisationer där vi kanske har stött på GDPR via jobbet krånglar till det hela med skriftliga processer, dokumentation och elände är ju för att de hanterar så otroligt många fler personuppgifter. (Och allmän rädsla att göra fel som sprids i vårt postmaterialistiska samhälle nu när även den gamla arbetarklassens barn har tagit sig an kontorsjobben. De saknar den gamla övre medelklassens självsäkerhet och ointresse för regler när det gäller den egna verksamheten. Regler är för andra s a s.)
Att våra företag och större organisationer där vi kanske har stött på GDPR via jobbet krånglar till det hela med skriftliga processer, dokumentation och elände är ju för att de hanterar så otroligt många fler personuppgifter. (Och allmän rädsla att göra fel som sprids i vårt postmaterialistiska samhälle nu när även den gamla arbetarklassens barn har tagit sig an kontorsjobben. De saknar den gamla övre medelklassens självsäkerhet och ointresse för regler när det gäller den egna verksamheten. Regler är för andra s a s.)
Här ger IMY ungefär samma svar:
https://www.imy.se/vanliga-fragor-o...ut-medlemsregister-till-medlemmar-via-e-post/
https://www.imy.se/vanliga-fragor-o...ut-medlemsregister-till-medlemmar-via-e-post/
Jag förstår inte det stora problemet.
Skapa email adresser såsom styrelsen@brf, ordforande@brf, kassor@brf och publicera dessa. Fördelen är att om styrelsen byts ut ändras inte kontaktuppgifterna. Jag tycker det inte att det är rimligt att publicera privat email och telefonnummer till styrelsens medlemmar och jag skulle inte personligen vilja att brf medlemmar ringde till mig hela tiden, epost kan styrelsens medlemmar läsa när det passar dem, inte när det passar medlemmen.
Namnen på styrelsens medlemmar finns på årsstämmans protokoll m.m. så att någon i styrelsen skulle neka att publicera dessa på t.ex. hemsidan för inloggade medlemmar är långsökt. enklast är nog att styrelsens medlemmar skriver på att dokument för samtycke att deras namn publiceras på brf hemsida för inloggade medlemmar m.m.
På anslagstavlor m.m. som allmänheten har tillgång till (t.ex. i trapphus) behöver man ju inte skriva ut namnet på ordföranden utan helt enkelt underteckna med "styrelsen, styrelsen@brf eller liknande"
Skapa email adresser såsom styrelsen@brf, ordforande@brf, kassor@brf och publicera dessa. Fördelen är att om styrelsen byts ut ändras inte kontaktuppgifterna. Jag tycker det inte att det är rimligt att publicera privat email och telefonnummer till styrelsens medlemmar och jag skulle inte personligen vilja att brf medlemmar ringde till mig hela tiden, epost kan styrelsens medlemmar läsa när det passar dem, inte när det passar medlemmen.
Namnen på styrelsens medlemmar finns på årsstämmans protokoll m.m. så att någon i styrelsen skulle neka att publicera dessa på t.ex. hemsidan för inloggade medlemmar är långsökt. enklast är nog att styrelsens medlemmar skriver på att dokument för samtycke att deras namn publiceras på brf hemsida för inloggade medlemmar m.m.
På anslagstavlor m.m. som allmänheten har tillgång till (t.ex. i trapphus) behöver man ju inte skriva ut namnet på ordföranden utan helt enkelt underteckna med "styrelsen, styrelsen@brf eller liknande"
Det problem du inte ser är att man ska "tillfråga". Det jag vill är att minimera administrationen. Jag vill inte, när poster byts ut, att vi ska behöva inhämta ett specifikt godkännande igen och föra register över vilka som gått med på att ha sina namn publicerade. Att upprätta rutiner för sådan är jobbigt och kommer inte följas. Att istället ha en policy nedskriven EN gång, och sen fortsätta som innan GDPR är oändligt mycket bättre. Jag vill ha det tydligt (för att ha ryggen fri gentemot de mer rättshaveristiska medlemmarna) att man genom att ha blivit vald gett implicit medgivande till att ha sitt namn på diverse publikt tillgängliga listor.Claes Sörmland skrev:
Insamling sker ju i samband med att man blir medlem, och den rättsliga grunden till registerföring är ju "Rättslig förpliktelse". Men som sagt, det är att distribuera dessa uppgifter som en bieffekt av att man blir vald till en post är den till synes gordiska knut jag vill lösa upp.
Jag gillar din spaning om att arbetarnas barn inte har självförtroende nog att strunta i regler. Jag skulle vilja framföra ytterligare en anledning: ingenjörer som tolkar lagar. Jag är i den ovanliga sitsen att vara ingenjör/programmerare gift med en jurist. Det blir väldigt tydligt hur de av nödvändighet väldigt bokstavstolkande människor (ingenjörer) inte är kapabla att läsa lagar där underliggande syfte är av stor vikt.
Du kan inte runda kravet på ett medgivande med en policy som du skriver ihop. Föreningens styrelse eller stämma har inte rätt att ändra på lagkraven. Så medgivande måste du alltid ha oavsett hur många policys som skrivs internt.jonmo skrev:
Men notera att det inte finns formkrav för det där medgivandet. Och givet den långa traditionen vi har i Sverige av öppenhet vid föreningsförvaltning så står det väl klart för var och en som blir förtroendevald eller tar sig an en förvaltningsuppgift under styrelsen vad som gäller. Det ser jag som ett medgivande i samfällighetsföreningar tills den dag ett tydligt HD-beslut kommer som pekar i en annan riktning.
Eller missar jag någon ekonomisk risk för säg en bostadsrättsförening eller samfällighet? Låt oss säga att en nedgången rättshaverist tar sig an en förvaltningsuppgift för föreningen och dennes namn, telefonnummer och email sprids på t ex föreningens hemsida. Nu hävdar rättshaveristen att medgivande saknas så informationen tas bort från hemsidan när styrelsen får veta det. Vad är ett teoretiskt worst case scenario för föreningen?
Redigerat:
Problemet är att så många av någon anledning blir så fruktansvärt skitnödiga just när det gäller GDPR.
Skräckscenarierna duggar tätt med mer eller mindre fantasifulla idéer om allt som numera är omöjligt pga GDPR. Man kan inte skicka mejl längre, man får inte skriva någons namn på en lapp, osv.
Men man hör nästan aldrig om någon som i realiteten dömts för brott mot GDPR.
Med all respekt för den personliga integriteten skulle jag köra på med de saker du är orolig över. Det är i mångt och mycket offentliga uppgifter som knappast kräver något samtycke för publicering så länge det är ändamålsenligt och sker med omdöme.
Det känns som att "berättigat intresse" räcker utmärkt för att publicera kontaktuppgifter etc till styrelse. Däremot att skicka ut en medlemslista till all borde kräva ett medgivande och jag det ser jag som fullständigt logiskt. Att jag vill vara med eller tvingas att vara med i en förening, ser jag inte som ett skäl till att alla mina personuppgifter ska kunna distribueras fritt till alla andra medlemmar.
Sen får jag väl medge att jag tillhör de som tycker GDPR är bra. Inte att förglömma att det finns ett antal personer i samhället med skyddade personuppgifter också.
Sen får jag väl medge att jag tillhör de som tycker GDPR är bra. Inte att förglömma att det finns ett antal personer i samhället med skyddade personuppgifter också.
Helt med på att policyn inte ändrar kravet på medgivande. Det är just att medgivandet kan vara implicit men fortfarande giltigt, som jag försöker utnyttja för att minska administrationen. Problemet är inte nödvändigtvis GDPR i sig utan den haverism och petimeterhet som den inducerar. Jag tänker därför att vi kan skriva in i ett välkomstbrev något i stil med att "dina personuppgifter behandlas enbart på ett sätt som är i linje med föreningens syfte", och vidare något i stil med att det åligger bryggansvarig att "tillgängliggöra namn och kontaktuppgift genom föreningens kommunikationskanaler". En sådan skrivning ändrar inget som har med lagen att göra. Men den gör det tydligt vad som gäller och gör det svårare för krånglarna att krångla.
Jag tror det har framgått, men jag tycker givetvis att detta borde vara och till stor del är, ett icke-problem. Som jag och andra påpekat i tråden är det de som övertolkar och snurrar in sig som är problemet. Om man exempelvis har ett antal förråd att hyra ut i en förening, behöver man ju såklart inte inhämta skriftligt intyg för att behandla personuppgifterna specifikt för det spreadsheet som används för att hålla koll på vem som har vilket förråd. Det är däremot precis det jag suttit på styrelsemöte och argumenterat mot när föreningens GDPR-expert minsann vet att man inte får "behandla uppgifter utan samtycke". Som ju som sagt inte är sant, utan det man behöver är ju rättslig grund.
Eller så ignorerar man GDPR och hoppas på det bästa...
Så hanterade jag det när jag var tvungen att hantera ett medlemsregister med över 200 personer, det går inte att hantera medgivanden då om man inte gör det mer eller mindre på kommersiell basis (nej, det går inte, det skalar sjukt dåligt).
Det viktigaste är att dölja all onödig information när man gör utskick, dvs skicka alltid BCC till medlemmarna så att ni inte läcker mailadresser.
Och som redan sagts, skippa individuell e-post till folk. Vill ni att det skall gå att "ringa" till dem, använd valfri IP-kommunikationstjänst som är kopplad till e-postadressen utifrån positionen. Jag antar dessutom att personerna finns på hitta.se
Så hanterade jag det när jag var tvungen att hantera ett medlemsregister med över 200 personer, det går inte att hantera medgivanden då om man inte gör det mer eller mindre på kommersiell basis (nej, det går inte, det skalar sjukt dåligt).
Det viktigaste är att dölja all onödig information när man gör utskick, dvs skicka alltid BCC till medlemmarna så att ni inte läcker mailadresser.
Och som redan sagts, skippa individuell e-post till folk. Vill ni att det skall gå att "ringa" till dem, använd valfri IP-kommunikationstjänst som är kopplad till e-postadressen utifrån positionen. Jag antar dessutom att personerna finns på hitta.se
Citerar lagen om ekonomiska föreningar:Fairlane skrev:
Medlemsförteckningens offentlighet
5 § Medlemsförteckningen ska hållas tillgänglig hos föreningen för var och en som vill ta del av den. Om förteckningen förs med automatiserad behandling, ska föreningen ge var och en som begär det tillfälle att hos föreningen ta del av en aktuell utskrift eller någon annan aktuell framställning av förteckningen.Om den kan "distribueras fritt" kan ju förvisso diskuteras, men helt klart är att medlemsförteckningen inte är någon "skyddad" information.
Nej, och det kan väl i vissa fall även betraktas som olämpligt, så det är väl rimligt att det i förekommande fall görs med omdöme.pacman42 skrev:
Och här måste man vara extremt noga när man representerar föreningen, om jag svarar på ett e-post som privat person och gör "reply all" så kan det vara lagligt, medan om jag som representant för en förening gör samma sak så kan det vara olagligt då jag då sprider e-postadresser utan tillåtelse.C cpalm skrev:
Sedan kommer man naturligtvis inte straffas för detta i verkligheten annat än om det läggs på en lång lista med brott. Men ändå...