Kan en bostadsförening publicera ocensurerade domstolshandlingar?
Hej! Vår brf förening blev stämd av en medlem med syfte att häva beslut som avsåg hens motion på en extrastämma.
Förening stämdes och ingick förlikning vid muntlig förberedelse.
Alla domstolshandlingar som gäller ärendet har publicerats på en sluten portal som tillhandahålls av redovisningsbyrå.
För att få tillgång till portalen behöver medlemmar vara medlem i föreningen genom att ha köpt en bostad och tillträdesdagen ska ha genomförts. Inloggning sker via BankID.
Styrelsen kan inte lägga upp medlemmar men administrerar och lägger upp dokument med olika behörigheter så de kan bli synliga för alla medlemmar eller endast styrelse.
Handlingarna ligger ocensurerade och öppna för medlemmarna med syfte att de är delägare i föreningen och då alla medlemmar har blivit stämda så bör de har rätt till all dokumentation i ärendet och vi även fått kostnader för jurist.
Käranden hävdar GDPR då hens personnr är synligt men det är en sluten grupp.
Käranden hävdar även ärekränkning enk 5 kap 1 brottsbalken och vill att dokument tas bort.
Käranden stämde föreningen och har varit öppen med detta.
Gör föreningen fel i att publicera ocensurerade domstolshandlingar till medlemmarna?
Tack på förhand!
Lawline svarar
Hej och tack för att du vänder dig till Lawline med din fråga. Jag kommer nedan att redogöra för vad som gäller rättsligt och därefter kort sammanfatta vad jag kommer fram till.
Tillämplig lag
Brottet förtal regleras i brottsbalken, härefter förkortad som BrB. Frågorna om GDPR regleras i dataskyddsförordningen (GDPR). Dessutom kommer tryckfrihetsförordningen att behandlas.
Ärekränkning (förtal)
Brottet förtal regleras i 5 kap. 1 § BrB och innebär att någon utpekar en annan som brottslig eller på annat sätt klandervärd i sitt, eller lämnar en annan uppgift som är ägnad att utsätta den utpekade för andras missaktning. Det viktiga är inte att uppgiften faktiskt väcker andras missaktning utan att den är ägnad att utsätta personen för detta. Med andra ord ska det handla om en uppgift som objektivt sett väcker missaktning hos allmänheten.
I bestämmelsens andra stycke finns det några undantag som gör att man kan undgå ansvar för förtal även om det är en uppgift som passar in på rekvisiten i bestämmelsens första stycke. Det ska då handla om att personen i fråga var skyldig att uttala sig eller att det annars var försvarligt att lämna uppgift i saken, samt att personen visar att uppgiften antingen var sann eller att han/hon annars hade skälig grund för den (5 kap. 1 § andra stycket BrB). Relaterat till ditt specifika fall kan man säga att det oavsett om publiceringen kan tolkas som "ärekränkning" inte kommer leda till något ansvar eftersom det är handlingar som berör samtliga medlemmar i föreningen. Därmed var/är det försvarligt att lämna uppgiften som dessutom är sann.
Förutom att publiceringen inte kan betraktas som förtal är domstolshandlingar allmänna handlingar som var och en har rätt att begära ut av tingsrätten. Detta är en följd av offentlighetsprincipen (2 kap. 1 § tryckfrihetsförordningen). Endast i undantagsfall är namn sekretessbelagda.
Brott mot GDPR
Som bostadsrättsförening är ni skyldiga att följa GDPR. För att behandla medlemmars personuppgifter måste föreningen veta vad begreppet behandling innebär och att principen om ändamålsbegränsning bör följas.
Behandling: är en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (art. 4 p. 2 GDPR).
Ändamålsbegränsning: De ska bara samla in uppgifter för specifika ändamål och inte behandla uppgifterna för ett andra ändamål. Exempelvis kan föreningen samla in personuppgifter för att administrera medlemskap, men får då inte använda dessa uppgifter till marknadsföring. Dessutom får de bara behandla uppgifter som anses vara nödvändiga för ändamålet, d.v.s om endast namn krävs för att uppfylla ändamålet ska inte e-postadress registreras för att det i ett annat sammanhang kan komma till användning (art. 5 p. 1(b) GDPR).
Personnummer ska alltid skyddas extra enligt dataskyddsförordningen (GDPR). Personnummer får bara registreras om det anses vara nödvändigt för ändamålet (art. 5 GDPR). För att det ska anses vara tillåtet att skicka medlemsregister måste man ha stöd i GDPR. Med andra ord krävs en rättslig grund, vilket till exempel kan vara samtycke från den som är medlem (art. 6 GDPR). Föreningen måste då kunna bevisa att ett samtycke har lämnats. Föreningen måste således ta hänsyn till att vissa personer inte vill att deras uppgifter delas och ge var och en möjlighet till att samtycka eller inte.
I ert fall innebär detta att ni bör censurera personnummer som finns tillgängliga för övriga medlemmar, oavsett om de är en del av en offentlig dom eller inte.
Vill du kolla vidare på GDPR finner du en länk här.
Sammanfattning och råd
Att publicera en dom utgör inte förtal, och i vart fall är det försvarligt för er att lämna uppgifterna som dessutom är sanna. Däremot kan det utgöra brott mot GDPR om en förening publicerar medlemmarnas personnummer utan att personen i fråga har samtyckt till åtgärden. Mitt råd är därför att plocka bort personnummer så till vida de berörda medlemmarna inte har lämnat sitt samtycke. Publiceringen av domen/ handlingarna i sig är dock inte "felaktig" eller brottslig.
Skulle du/ni behöva mer hjälp vidare kan jag varmt rekommendera en av våra duktiga jurister på Lawlines juristbyrå. Om ni är intresserade av detta eller har några frågor kring mitt svar får ni mer än gärna kontakta mig på Julia-saga.herhold@lawline.se.
Hoppas att du fick svar på din fråga och stort lycka till!
Med vänlig hälsning,