GDPR för bostadsrättsföreningar innebär att föreningen – genom sin styrelse – är personuppgiftsansvarig för de register den för över medlemmar, boende och köande. En bostadsrättsförening behandlar personuppgifter varje dag: medlemsförteckning, lägenhetsförteckning, kölistor, portal- och app-data, felanmälningar och ofta kamerabevakning. Ansvaret vilar på styrelsen som organ, inte på enskilda ledamöter. Den mest omtvistade frågan i praktiken är kamerabevakning i trapphus och soprum – där reglerna är mildare för en BRF än många tror, men kräver dokumentation. Den här guiden går igenom styrelsens skyldigheter.
Viktigaste punkterna
- Styrelsen företräder föreningen som personuppgiftsansvarig – ansvaret är föreningens, inte den enskilda ledamotens.
- Medlems- och lägenhetsförteckning är lagstadgade register enligt bostadsrättslagen och behandlas på rättslig förpliktelse.
- Kölistor och portaldata vilar oftast på berättigat intresse eller avtal.
- Kamerabevakning i en BRF kräver normalt inget tillstånd, men en dokumenterad intresseavvägning – och kameraklagomål är bland de vanligaste hos IMY.
- Uppgifter ska gallras när ändamålet upphört; gamla kölistor och tidigare medlemmars uppgifter ska inte ligga kvar.
Föreningen är personuppgiftsansvarig
En vanlig missuppfattning är att styrelseledamöter blir personligt ansvariga för dataskyddet. Så är det inte: det är bostadsrättsföreningen som juridisk person som är personuppgiftsansvarig, och styrelsen företräder föreningen. Det praktiska ansvaret att se till att behandlingen är laglig ligger alltså på styrelsen som organ. När styrelsen byts ut övergår ansvaret till den nya styrelsen, vilket gör det viktigt att dokumentationen – registret, intresseavvägningarna, biträdesavtalen – förs vidare och inte försvinner med en avgående ordförande. En förening som varje år börjar om från noll, utan att veta vilka behandlingar som pågår eller vilka avtal som finns, bygger upp en risk som förr eller senare materialiseras i ett klagomål eller en tillsyn.
Lagstadgade register och rättslig grund
Bostadsrättslagen kräver att föreningen för en medlemsförteckning och en lägenhetsförteckning. Att föra dessa är alltså en rättslig förpliktelse (art. 6.1 c) – styrelsen både får och ska behandla uppgifterna. Övriga behandlingar har andra grunder:
| Behandling | Rättslig grund |
|---|---|
| Medlems- och lägenhetsförteckning | Rättslig förpliktelse (bostadsrättslagen) |
| Kölista till lägenheter/parkering | Berättigat intresse (art. 6.1 f) |
| Portal, app, felanmälan | Avtal / berättigat intresse |
| Ekonomisk förvaltning, avgifter | Avtal / rättslig förpliktelse |
| Kamerabevakning | Berättigat intresse + intresseavvägning |
| Utskick och information till boende | Berättigat intresse |
Att veta vilken grund varje behandling vilar på är utgångspunkten för hela dataskyddsarbetet – dokumentera det i registerförteckningen. Behöver du hjälp att välja, se guiden om rättslig grund.
Kamerabevakning: den hetaste frågan
Kamerabevakning i en bostadsrättsförening är den fråga som oftast leder till konflikter och klagomål till IMY. Regelverket är mildare än många tror: en BRF är inte en offentlig aktör och behöver därför normalt inget tillstånd enligt kamerabevakningslagen (2018:1200) för att bevaka sina egna gemensamma utrymmen. Men det betyder inte att kameror är fritt fram.
För att kamerabevakningen ska vara laglig måste styrelsen göra och dokumentera en intresseavvägning: föreningens intresse (till exempel att förhindra inbrott, skadegörelse eller nedskräpning) ska väga tyngre än de boendes integritetsintresse. Bevakning av entréer och soprum där problem faktiskt förekommit väger tyngre än bevakning av till exempel en tvättstuga eller ett trapphus där de boende rör sig dagligen. Ju mer integritetskänsligt utrymmet är, desto starkare skäl krävs. Ljudupptagning ska undvikas, skyltning krävs, och inspelningarna ska gallras efter kort tid. De fullständiga reglerna finns i vår guide om kamerabevakning och GDPR. Görs ingen intresseavvägning, eller sätts kameror upp mot grannars fönster eller i onödigt känsliga utrymmen, är bevakningen olaglig – och det är just sådana fall IMY får in flest klagomål om.
Gallring och åtkomst
Två återkommande brister i föreningar är att uppgifter ligger kvar för länge och att för många har tillgång till dem. När en medlem säljer sin lägenhet – ofta med hjälp av en fastighetsmäklare – ska uppgifterna om den tidigare medlemmen gallras när de inte längre behövs – lägenhetsförteckningen bevaras enligt bostadsrättslagen, men gamla kontaktuppgifter, e-postkorrespondens och kölistor ska gallras. Åtkomsten till registren bör begränsas till de styrelseledamöter och den förvaltare som behöver dem – inte spridas i hela styrelsen eller lagras okrypterat i privata e-postkonton.
En särskild svaghet i föreningar är att förvaltningen ofta sköts från ledamöternas privata datorer och e-postkonton. Medlemsuppgifter, betalningspåminnelser och korrespondens hamnar då utspritt hos olika personer, utan gemensam kontroll och utan att någon vet var allt finns. När styrelsen byts försvinner delar av informationen med den avgående ledamoten, medan andra kopior blir kvar utan att gallras. En enkel men verkningsfull åtgärd är att samla föreningens behandling i ett gemensamt, lösenordsskyddat system – till exempel förvaltarens portal – och att undvika att medlemsuppgifter sprids i privata inkorgar. Det gör både gallringen och åtkomstkontrollen möjlig att upprätthålla över tid, oberoende av vilka som sitter i styrelsen.
Förvaltare och externa tjänster
De flesta föreningar anlitar en ekonomisk eller teknisk förvaltare som behandlar medlemmarnas uppgifter för föreningens räkning. Förvaltaren är då personuppgiftsbiträde, och det krävs ett personuppgiftsbiträdesavtal. Detsamma gäller portal- och app-leverantörer och den som sköter kamerabevakningens lagring. En liten förening har sällan resurser för ett omfattande dataskyddsarbete, men grunderna – register, intresseavvägning för kameror, biträdesavtal och gallring – är hanterbara. Ett verktyg som Legiscope kan strukturera dokumentationen så att den överlever styrelsebyten, men för många mindre föreningar räcker en genomtänkt mall och en årlig genomgång.
Utskick, anslagstavlor och sociala medier
En mängd vardagliga situationer i en förening rör personuppgifter på sätt styrelsen sällan tänker på. Att sätta upp en lista i trapphuset med namn på medlemmar som inte betalat avgiften är en spridning av personuppgifter som kan vara integritetskränkande och saknar grund. Att publicera protokoll med namngivna klagomål, eller bilder från föreningens sommarfest på en öppen Facebook-sida, är också behandlingar som kräver eftertanke – och för bilder ofta samtycke från de avbildade.
Huvudregeln är att styrelsen bara ska sprida personuppgifter i den utsträckning som behövs för föreningens förvaltning, och till dem som behöver dem. Kommunikation om enskilda medlemmars ekonomi eller beteende ska ske direkt med den berörde, inte anslås offentligt. Utskick till boende bör gå via ett verktyg där mottagarnas adresser inte exponeras för varandra – ett massutskick där alla ser alla e-postadresser är en vanlig, om än liten, incident. Genom att tänka igenom vilka behandlingar som sker i den löpande föreningsverksamheten, och dokumentera dem i registerförteckningen, undviker styrelsen de flesta av de situationer som annars leder till klagomål och konflikter mellan grannar.
Vanliga frågor
Är styrelseledamöterna personligt ansvariga för GDPR?
Nej. Det är bostadsrättsföreningen som juridisk person som är personuppgiftsansvarig. Styrelsen företräder föreningen och ansvarar för att behandlingen är laglig, men ansvaret är föreningens. Därför är det viktigt att dokumentationen förs vidare vid styrelsebyten.
Behöver vår förening tillstånd för kamerabevakning?
Normalt inte. En bostadsrättsförening är inte en offentlig aktör och behöver inget tillstånd enligt kamerabevakningslagen för att bevaka sina egna gemensamma utrymmen. Men styrelsen måste göra och dokumentera en intresseavvägning, sätta upp skyltar och gallra inspelningarna, annars är bevakningen olaglig.
Måste en BRF ha dataskyddsombud?
Nej, i normalfallet inte. En bostadsrättsförening bedriver sällan sådan storskalig behandling av känsliga uppgifter eller systematisk övervakning som utlöser kravet. Kamerabevakning i normal omfattning ändrar inte detta, men styrelsen bör ändå ha ordning på register, grunder och gallring.
Slutsats
GDPR för bostadsrättsföreningar vilar på styrelsen: föreningen är personuppgiftsansvarig för medlems- och lägenhetsförteckning, kölistor och kamerabevakning. Håll koll på vilken grund varje behandling vilar på, gör och dokumentera en intresseavvägning innan kameror sätts upp, gallra tidigare medlemmars uppgifter och teckna biträdesavtal med förvaltaren. Grunden finns i dataskyddsförordningen och i IMY:s vägledning om kamerabevakning, som får flest klagomål just om BRF-kameror.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial