INFORMASJONSPLIKT: Eiendomsaktører som behandler personopplysninger har en utstrakt informasjonsplikt overfor personene som får sine personopplysninger behandlet, påpeker artikkelforfatterne.
Compliance i eiendomsbransjen – personvern
Personvern er høyaktuelt også i eiendomsbransjen nå som den nye personvernforordningen (GDPR) har trådt i kraft i Norge.
I denne artikkelen gir vi eksempler på ulike måter personopplysninger samles inn og utnyttes på i eiendomsbransjen, samt ser på de regulatoriske kravene som stilles til eiendomsaktørene i denne sammenheng.
ByggeplassenPersonopplysninger utveksles som regel mellom byggherrer og entreprenører allerede i anbudsprosessen, i form av opplysninger knyttet til entreprenørers nøkkelpersonell. Personopplysninger samles også inn og behandles underveis i byggeprosessen gjennom blant annet bruk av kameraer. Kameraer brukes ikke bare av sikkerhetshensyn, men også for å filme utbedringsarbeid, dokumentere fremdrift eller for å markedsføre prosjektet.
ADVOKAT: Annette Justad.
En slik utstrakt bruk av kameraer medfører et behov for å øke bevisstheten rundt reglene om bruk av kameraer og filming på byggeplassen. Byggeplassen er en arbeidsplass og de ansattes behov for personvern er et hensyn som tillegges stor vekt i personvernretten.
Annonse
Smarte byggSmarte bygg kjennetegnes ved at det anvendes teknologi for å optimalisere forvaltningen og utnyttelsen av bygget, slik at det kan anvendes mer effektivt. Ved bruk av sensorteknologi kan man få en detaljert oversikt over blant annet hvor mange som oppholder seg i bygget, hvordan bygget utnyttes mv. Basert på denne informasjonen kan lys og temperatur reguleres, forberedelse av mat i kantinen planlegges, ekstra renhold utføres ved behov og bruken av møterom, arbeidsplasser og bygget generelt kan bli mer effektiv.
Smarte bygg forutsetter imidlertid en omfattende innsamling av opplysninger om brukerne og deres utnyttelse av bygget som reiser problemstillinger knyttet til personvern.
HandelsbransjenI handelsbransjen ser man en økende trend i retning av bruk av såkalte «beacons» for å gi personlige og lokale tilbud til kunder i et område, for eksempel på kjøpesentre. Beacons er små radiosendere som kan sende signaler til smarttelefoner som er i senderens umiddelbare nærhet. Når kunden har skrudd på stedfunksjonen på sin smarttelefon, kan en beacon registrere at personen er i nærheten. Basert på denne type posisjonsdata i kombinasjon med data samlet inn gjennom kunde- og lojalitetsklubber, kan butikkeiere sende personlig tilpassede tilbud når kunder befinner seg i nærheten av butikken.
ADVOKATFULLMEKTIG: Eline Flaatten.
Utleier har også interesse i slike data, og tilgang til personopplysninger kan bli et kommersielt forhandlingspunkt i leieavtalen eller annen avtale mellom utleier og leietaker. En slik kommersiell utnyttelse av personopplysninger er imidlertid ikke problemfri fra et personvernståsted.
Regulatoriske kravReglene om personvern gjelder for alle virksomheter som behandler personopplysninger om fysiske personer. All bruk av personopplysninger krever et rettslig grunnlag. Det aktuelle grunnlaget varierer avhengig av behandlingens formål. Typiske grunnlag for lovlig behandling av personopplysninger er enten i) samtykke, ii) at behandlingen er nødvendig for å kunne oppfylle en avtale med den fysiske personen opplysningene kan knyttes til, iii) at behandlingen er nødvendig for å kunne oppfylle en rettslig forpliktelse, eller iv) at behandlingen er begrunnet i eiendomsaktørens berettiget interesse ut i fra en interesseavveining. Leietakers salg av kundedata til utleiers egne bruksformål krever for eksempel samtykke fra kundene.
Bruk av kameraovervåking på byggeplassen er på sin side ofte i byggherrens berettigede interesse, typisk av hensyn til ansattes sikkerhet og for å avverge tyveri eller hærverk. Det er dermed ikke nødvendigvis behov for samtykke fra de ansatte.
Eiendomsaktører som behandler personopplysninger har også en utstrakt informasjonsplikt overfor personene som får sine personopplysninger behandlet. Personene har blant annet rett til å få informasjon om at det behandles personopplysninger, hvilke personopplysninger som blir behandlet og hvilke rettigheter vedkommende har i denne sammenheng. Ved bruk av kameraovervåking krever loven at det ved skilting informeres om overvåkingen, om det foretas lydopptak og hvem som er den behandlingsansvarlige.
Annen informasjon kan inntas i en personvernerklæring som er tilgjengelig på for eksempel virksomhetens nettside.
Personvernreglene inneholder også lagringsbegrensninger. I dette ligger det en plikt til å slette personopplysningene når de ikke lenger er nødvendig for formålet de ble samlet inn for. Det betyr at lokasjonsdata samlet inn gjennom for eksempel sensorer må slettes når de ikke lenger er nødvendige for formålet, eksempelvis å lokalisere personen. Et alternativ er at dataene anonymiseres dersom man ønsker å benytte dataen for nærmere analyse av for eksempel byggets utnyttelse. For kameraopptak er det lovfestet at disse normalt skal slettes senest 7 dager etter opptak.
Også andre regulatoriske krav må overholdes. Eiendomsaktørene må for eksempel ha på plass et system for internkontroll, som innebærer at det må etableres rutiner og tekniske tiltak for å sikre etterlevelse av personvernreglene. Den som behandler personopplysninger må også kunne dokumentere compliance med personvernreglene. Dokumentasjonskravet viser viktigheten av å ha oversikt og kontroll med egen behandling av personopplysninger. Uten kontroll med egen behandling kan man ikke dokumentere at personvernreglene etterleves.
Brudd på reglene kan som kjent medføre høye gebyrer. Både av hensyn til generell regeletterlevelse og for å unngå økonomiske sanksjoner, må derfor også eiendomsaktørene legge ressurser i å sikre tilpasningen til de nye personvernreglene. Norsk Eiendom har utarbeidet en veileder og ulike maler for nødvendige avtaler som kan brukes i arbeidet med å etterleve personvernreglene.
Om artikkelforfatterne: Annette Justad er advokat og Eline Flaatten er advokatfullmektig, begge BAHR.
