Det tyske datatilsynet konkluderte før helgen med brudd på personvernforordningen (GDPR) og ga Deutsche Wohnen et gebyr på hele 14,5 millioner euro, eller omtrent 140 millioner norske kroner, basert på et faktum som kan være relevant for flere norske eiendomsaktører.
Deutsche Wohnen, som eier cirka 163 000 leiligheter og cirka 2 600 næringseiendommer, lagret personopplysninger om tidligere leietagere uten hjemmel når informasjonen skulle vært slettet. Personopplysningene ble i tillegg lagret i et datasystem som ikke hadde teknisk slettemulighet, noe som er problematisk gitt at de aller færreste opplysninger kan oppbevares uten noen tidsbegrensning. Det hjalp heller ikke at selskapet hadde startet en prosess for å endre situasjonen, men at endringene ikke var implementert.
De aktuelle opplysningene omfattet vanlige grunndata som navn og adresse, men også mer følsom informasjon som skatt- og lønnsopplysninger og bank- og forsikringsinformasjon.
Det tyske datatilsynet slo fast at lagringen av personopplysningene var i strid med både grunnprinsippene i personvernforordningen (GDPR) artikkel 5 og med artikkel 25 om innebygget personvern. Det er interessant å merke seg at det ikke spilte noen rolle at datasystemet var anskaffet før reglene trådte i kraft, hvilket betyr at kravene i personvernreglene gjelder også for slike systemer og behandling av personopplysninger i dem. Dette bør være en kraftig vekker og grunn til både å gå gjennom hvordan man forvalter sine personopplysninger og eventuelt til anskaffelse av nye IT-systemer, dersom de ikke oppfyller reglenes minimumskrav.
I pressemeldingen om saken sa lederen for Datatilsynet i Berlin at de ofte ser slike «datakirkegårder» når de gjør tilsyn. De mener at «eksplosiviteten» i slikt mislighold først blir synlig når dataansamlingene angripes og hackes, men understreket at selv uten at opplysningene spres, så anser de ulovlig lagring av data som åpenbare brudd på lovgivningen.
Saken er ikke endelig avgjort og det er ventet at selskapet vil klage på vedtaket.
Alle norske eiendomsselskaper må følge personvernforordningen, ha sletterutiner og gjennomføre jevnlige settinger av personopplysninger, på samme måte som i Tyskland. Erfaringsmessig vil norske eiendomsaktører lagre mange og varierte typer personopplysninger som del av sin løpende forretningsdrift. Dette kan være opplysninger om egne ansatte, jobbsøkere og besøkende på nettsiden, informasjon om kontaktpersoner hos leietagere, driftsleverandører og andre samarbeidspartnere, og opplysninger om private leietagere, informasjon fra adgangskortanlegg, besøksregister, kantinesystem eller kameraovervåkning. Det er også vanlig i eiendomsbransjen med bruk av passkopier og 11-sifret fødselsnummer for identifikasjon eller i kontrakter. Håndtering av disse personopplysningene i samsvar med GDPR-reglene, og løpende sletting, er avgjørende for å unngå klager, negative medieoppslag eller myndighetsoppfølging – i verste fall overtredelsesgebyr.
I Norge vil Datatilsynet se hen til praksis hos europeiske datatilsyn ved prioritering av saker, håndheving og utmåling av gebyr. Det tyske vedtaket kan derfor indikere hvilke norske saker vi har i vente.
I praksis ser vi at mange norske eiendomsselskaper har behov for å kartlegge personopplysninger (nemlig hva som er lagret hvor av hvem), oppdatering av rutiner, gjennomgåelse av databehandleravtaler, implementering og opplæring av ansatte. Mange er fremdeles i en tidlig fase der man så vidt har tatt innover seg at personvernforordningen er relevant for dem.
For eiendomskonserner med flere selskaper og næringseiendommer kan det oppstå vanskelige spørsmål knyttet til rollen som behandlingsansvarlig og forholdet til profesjonelle leietagere. Det er ikke gitt at databehandleravtale alltid er riktig vei å gå. I noen sammenhenger er felles behandlingsansvar å foretrekke. I tillegg bør det vurderes om IT-systemet er GDPR-kompatibelt slik at sletting kan forenkles eller automatiseres. Det kan være lurt å se litt kritisk på sin GDPR-compliance fremover, også for dem som har fått konsulenthjelp til et prosjekt.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.