I enlighet med GDPR?
Bolaget sköter distributionen av vatten till fastighetsägarna. Vi har kommunalt vatten som kommer från kommunen och som fördelas genom oss till alla andelsägare. Bolaget ägs av en samfällighetsförening. Varje kvartal läser medlemmarna av sin mätare och skickar in till Bolaget. Vi har en medlem som så vitt vi kan se inte läst av sin mätare vilket innebär tilläggsavgifter. Personen vill inte betala den skuld Bolaget anser att personen har. I mailkonversationen med berörd medlem har vd för Bolaget AB cc mail till en person som sitter i styrelsen för Bolaget, vd och styrelsen samverkar i viktiga ärenden. Den berörda personen anser nu att vi brustit mot GDPR reglerna för att en annan person i styrelen tagit del av dialogen i mailen. Jag anser att detta går under reglerna för vad som är nödvändigt att ta del av. Jag önskar hjälp med en text som förklarar för den här personen att vår VD har rätt att skicka ett mail med cc till en annan person i styrelsen,.
Lawline svarar
Hej och tack för att du vänder dig till Lawline med din fråga! Jag kommer nedan att redogöra för vad som gäller rättsligt och därefter kort sammanfatta vad jag kommer fram till.
Är det okej enligt GDPR?
GDPR gäller alla företag som är verksamma inom EU och har till syfte att säkerställa en trygg hantering av personuppgifter och därigenom skydda medborgarnas integritet. GDPR innebär dock inget förbud mot hantering av personuppgifter utan uppställer som sagt vissa krav som syftar till att skydda de som befinner sig i EU.
För att man ska ha rätt att behandla personuppgifter måste det finnas en så kallad rättslig grund. En sådan är exempelvis att det finns ett avtal mellan den registrerade, det vill säga personen i fråga, och personuppgiftsbehandlaren, det vill säga er som företag (artikel 6). För att fullgöra avtalet med era kunder så har ni rätt att behandla deras personuppgifter. Med andra ord finns det en rättslig grund i ert fall.
När det kommer till frågan om vem som faktiskt får ta del av personuppgifterna så är det viktigt att komma ihåg att aktiebolaget i sig är ”personuppgiftsansvarig”. Detta medför att man har rätt att dela personuppgifterna inom verksamheten i den mån som det krävs för att de anställda och/eller förtroendevalda ska kunna fullgöra sina arbeten. Med andra ord anses det inte vara någon obehörig behandling när uppgifterna delas med någon som behöver dem i sitt arbete (jfr artikel 5.f).
I ert fall så har en person i styrelsen fått del av vederbörandes personuppgifter. Eftersom styrelsen svarar för bolagets organisation och förvaltning av dess angelägenheter så har styrelsen ett större uppdrag än vad en VD har, vilken ”endast” har att sköta bolagets löpande förvaltning (8 kap. 4 och 29 § aktiebolagslagen). Med andra ord behöver styrelsen i det fall som du beskriver ta del av personuppgifterna för att fullgöra sitt uppdrag och behandlingen är således i enlighet med GDPR.
Sammanfattning
Personuppgiftsbehandlingen är, utifrån vad du beskriver, i enlighet med GDPR. Om du har några frågor om mitt svar eller är osäker på / vill ha hjälp med någon vidare formulering så är du välkommen att kontakta mig på Julia-saga.herhold@lawline.se.
Stort lycka till!
Med vänlig hälsning,
