De vanligste GDPR-fallgruvene i eiendomsbransjen
Alle virksomheter som behandler personopplysninger må gjøre dette i tråd med personvernregelverket, særlig personopplysningsloven og EUs personvernforordning (GDPR). Personopplysningene kan gjelde kunder, ansatte, ansatte hos leietakere eller andre enkeltpersoner.
Personvernregelverket innebærer en rekke forpliktelser for virksomheten. I rollen som både behandlingsansvarlig og databehandler må virksomheten:
- ha god oversikt over sine behandlingsaktiviteter,
- sikre at de omfattende vurderingskravene er oppfylt til enhver tid,
- inngå nødvendige avtaler, og
- påse at de registrerte (enkeltindivider) får utøve sine personvernrettigheter.
Alle vurderinger må dokumenteres skriftlig for at virksomheten skal kunne bevise lovlig behandling av personopplysninger overfor tilsynsmyndigheter, registrerte og øvrige interessenter.
Visste du at...
GDRP gir tilsynsmyndighetene rett til å få utlevert informasjon og til å gjennomføre undersøkelser/ tilsyn for sikre at virksomheten overholder regelverket?
Visste du at...
GDPR krever at virksomheter utarbeider en rekke personverndokumenter, slik som intern og ekstern personvernerklæring, behandlingsprotokoll, databehandleravtaler, risikovurderinger, interne retningslinjer og rutiner, for å nevne noen?
Visste du at...
manglende overholdelse av GDPR kan resultere i bøter på opptil 4% av den globale årsomsetningen eller €20 millioner (hvor det høyeste beløpet anvendes)?
Brudd på personvernregelverket kan føre til ilegging av ulike sanksjoner fra Datatilsynet og erstatningskrav fra de registrerte. I tillegg kan alvorlige brudd på personvernregelverket føre til omdømmetap og svekket tillit hos nåværende eller potensielle kunder og samarbeidspartnere.
Bot til fransk eiendomsplattform
I frankrike ble den franske eiendomsplattformen “PAP Real Estate” ilagt en bot på € 100 000 for i) å ha lagret personopplysninger lengre enn nødvendig, ii) å ha brutt informasjonsplikten overfor de registrerte, iii) manglende databehandleravtaler med underleverandører, samt iv) mangelfull sikkerhet i sine systemer.
Bot til tysk eiendomsselskap
Det tyske datatilsynet ila eiendomsselskapet «Deutsche Wohnen SE» en bot på € 14,5 millioner for i) å ha lagret personopplysninger om leietakere uten et lovlig behandlingsgrunnlag, ii) at selskapets systemer ikke tillot sletting av foreldede data, og iii) at selskapet ikke hadde anvendt personvern som standardstilling ved utvikling av sine systemer.
Her er de fem vanligste fallgruvene for eiendomsbransjen:
1. Manglende databehandleravtaler
Alle avtaleforhold som innebærer et databehandlerforhold må reguleres av en databehandleravtale. Et typisk eksempel er leieforhold hvor utleier (som databehandler) skal behandle personopplysninger på vegne av leietaker (som behandlingsansvarlig). Dette kan være tilfellet hvis leietakers ansatte benytter nøkkelkort for å komme seg inn i bygningen. Dersom utleier har tilgang til systemet som registrerer hvilket nøkkelkort som er brukt til hvilken tid, vil dette innebære behandling av personopplysninger på vegne av leietaker. Utleieavtalen må følgelig inneholde en egen databehandleravtale.
2. Ulovlig datadeling
Mange aktører i eiendomsbransjen vil dele data og informasjon om kunder med et hederlig ønske om å yte best mulig service til kunden. Et eiendomsselskap ønsker kanskje å dele interessentlister med et meglerfirma som kan tilby lignende boliger i et annet utbyggingsprosjekt. Et meglerfirma vil kanskje overføre personopplysninger til et eiendomsselskap slik at kjøperen slipper å sende inn de samme opplysningene to ganger til to forskjellige mottakere. Hvis slik data deles uten at partene har et bevisst og dokumenterbart forhold til personvernrettslige krav om rollefordeling (som databehandler og/eller behandlingsansvarlig), behandlingsgrunnlag, formål, sikkerhet og informasjon til de registrerte, kan dette innebære at datadelingen – selv om den er på forespørsel fra en annen part – er ulovlig.
3. Virksomheter har ikke avklart roller
En virksomhet kan ha flere «hatter» ved behandling av personopplysninger, og må ved hver enkelt behandlingsaktivitet vurdere hvilken rolle den har. Opptrer den som behandlingsansvarlig, databehandler og/eller felles behandlingsansvarlig med en annen virksomhet? I ett avtaleforhold kan en virksomhet både ha flere og overlappende roller. Spesielt i avtaleforhold med andre virksomheter er det viktig å avklare hvilken rolle partene har, da dette kan ha betydning for om det må inngås tilleggsavtaler. Dette vil typisk være databehandleravtaler (mellom behandlingsansvarlig og databehandler), avtaler om felles behandlingsansvar (mellom felles behandlingsansvarlige) eller dataoverføringsavtaler (mellom selvstendig behandlingsansvarlige). Videre er det viktig å avklare sin rolle for å oppfylle de respektive pliktene etter personopplysningsloven og GDPR.
4. Ulovlig utsending av markedsføring
En virksomhet kan ikke sende markedsføringshenvendelser til enkeltindivider ved elektroniske kommunikasjonsmetoder (slik som epost, SMS o.l.) uten på forhånd å ha fått mottakerens eksplisitte samtykke til dette, med mindre det foreligger et eksisterende kundeforhold til vedkommende. I «eksisterende kundeforhold» ligger at det må foreligge et kundeforhold mellom avsender og mottaker av henvendelsen. Et meglerfirma kan f.eks. ikke belage seg på utbyggerens kundeforhold med kunden. Meglerens utsending av nyhetsbrev til utbyggerens kunder vil i disse tilfellene utgjøre et brudd på både GDPR og markedsføringsloven. Megleren har heller ikke lov til å sende en forespørsel til utbyggerens kunder med spørsmål om kunden ønsker å samtykke til å motta markedsføringshenvendelser, da denne henvendelsen i seg selv regnes som markedsføring, og krever et foreliggende samtykke.
5. Kameraovervåkning og andre sikkerhetstiltak
GDPR har regler som alle som driver kameraovervåking må sette seg inn i. En arbeidsgiver må dessuten følge reglene i "Forskrift om kameraovervåkning i virksomhet" dersom kameraovervåkningen berører de ansatte. Den som er ansvarlig for de berørte registrerte (f. eks. ansatte, private kunder eller øvrige individer), har ansvaret for å overholde alle reglene i loven før overvåkingen settes i gang. Det må foreligge et gyldig behandlingsgrunnlag, et saklig og uttrykt formål, kameraovervåkningen må være nødvendig og det må være en klar interesseovervekt som taler for at behovet for kameraovervåkning veier tyngre enn personvernet til de berørte. Det ovennevnte må være skriftlig dokumentert og formidlet til de berørte individene. Det er også krav om skilting på områder som kameraovervåkes.
