Dataskyddsförordningen (GDPR) Förening delger tredjepart, medlemmars personuppgifter

Hej,

Vad säger Dataskyddsförordningen (GDPR) om en förening som delger en tredjepart, sina medlemmars personuppgifter, utan att inhämta godkännande från respektive medlem?

Bakgrund: I och med ändrade rutiner inhämtades medlemmars epost-adresser för distribution av fakturor och övrig föreningsinformation.
Inget speciell friskrivning av användandet angavs, exempelvis användande av epost-adresser för marknadsaktiviteter såsom "reklam-epost". Inget avseende legitimt intresse informerades heller.

Eftersom jag inte är motspänstig och bakåsträvare vad gäller att effektivisera informationsutbyte, ger jag föreningen en epost-adress de kan använda för att nå mig. (notera denna epost-adress är endast känd av föreningen)

Det dröjer inte länge innan "reklam-epost" dimper ner till denna adress.

Kontaktar föreningen med ett kort men hövlig epost, där jag bifogar erhållen epost från "tredjeparten" samt ber dem kontakta mig, då min epost-adress inte skall delges tredjepart.

Dagen efter får jag ett telefonsamtal från föreningens ordförande där jag blir idiotförklarad och i princip borde lära mig att "veta hut".

Jag avbröt samtalet då det inte på något vis skulle gagna någon av oss.

Jag inser att föreningen inte vet vad Dataskyddsförordningen (GDPR) innebär i stort.

Jag är dock intresserad av veta om en epost-adress kan fritt delas till vilken tredjepart som helst?
Enligt Integritetsskyddsmyndigheten (IMY) är epost-adress en del av personuppgifter.
Har även lusläst exempel tillhandahållt av IMY, det visar på en gråzon avseende epost-adresser och hur de kan användas. Tredjeparten är en samarbetspartner till föreningen, vilket kan i vissa omständigheter tolkas som att det är tillåtet att delge personuppgifter, dock så föreligger det inget avtal mellan mig och tredjeparten.

Att be föreningen att "glömma/ta bort" mig är ju ett alternativ, dock så kommer det i förlängningen medföra ökade kostnader för mig.

Mitt mål är såklart att föreningen kan behålla epost-adressen, men att de måste tillse att reklam-epost inte skickas dit.

Hoppas att detta är lagt i rätt forum. Admin kan fritt flytta till annat forum.

Om jag förstått dig korrekt, vill fortfarande ta emot information etc. från tredje part men att det är reklamen som du inte vill ha?

Det var ju just sådana här saker GDPR var till för att hindra.
Föreningen behöver sannolikt inte samtycke för att samla in adresser från er för att kunna hantera medlemskapet, men personuppgifter får bara användas för det syfte de samlades in, dvs för att hantera medlemskap. Om de vill sälja adresserna vidare behövs definitivt samtycke, dvs opt-in.
Dock är det många, inte minst myndigheter, som gör just så här. Typexemplet är Transportstyrelsen, som säljer adressuppgifter till försäkringsbolag som erbjuder räddningsförsäkring, besiktningsbolag m fl. Jag har länge fundera på att göra en anmälan, men ännu inte kommit mig för.

Så nu behöver du bara övertyga föreningen om att de inte får sälja er adresser utan ert samtycke.

Jag medger att information och fakturor från föreningen är tillåtet att skicka till epost-adressen.
Jag är inte intresserad i tredjeparten's epost, marknadsföring information etc.

Tack, ni har svarat på min frågeställning, jag inser att de saknar en "opt-in" (även om föreningen inte "säljer" addresserna) för sin samarbetspartner.

Är denna tredjepart delaktig i fakturahanteringen eller hanteribg av föreningsinformation?

Undrar vad dealen är här, att föreningen får en tjänst gratis/kraftigt subventionerad mot att leverantören får skicka reklam till medlemmarna?

Edit: vet inte varför jag tänkte Brf, är ju säkert en annan slsgs förening detta gäller.

Jag kan bara spekulera i detta, då jag inte har insyn i föreningsverksamheten. Jag antar att delar av föreningens aktiviteter administreras av tredjeparten. Därav har de i, mitt tycke fått access till personuppgifter de inte skall använda i eget syfte.