Nyheter

Compliance i eiendomsbransjen – personvern

Personvern er høyaktuelt også i eiendomsbransjen nå som den nye personvernforordningen (GDPR) har trådt i kraft i Norge.

INFORMASJONSPLIKT: Eiendomsaktører som behandler personopplysninger har en utstrakt informasjonsplikt overfor personene som får sine personopplysninger behandlet, påpeker artikkelforfatterne.
FacebooktwitterlinkedinmailFacebooktwitterlinkedinmail

I denne artikkelen gir vi eksempler på ulike måter personopplysninger samles inn og utnyttes på i eiendomsbransjen, samt ser på de regulatoriske kravene som stilles til eiendomsaktørene i denne sammenheng.

LES OGSÅ: Hva ligger i begrepet compliance?

Byggeplassen
Personopplysninger utveksles som regel mellom byggherrer og entreprenører allerede i anbudsprosessen, i form av opplysninger knyttet til entreprenørers nøkkelpersonell. Personopplysninger samles også inn og behandles underveis i byggeprosessen gjennom blant annet bruk av kameraer. Kameraer brukes ikke bare av sikkerhetshensyn, men også for å filme utbedringsarbeid, dokumentere fremdrift eller for å markedsføre prosjektet.

ADVOKAT: Annette Justad.

En slik utstrakt bruk av kameraer medfører et behov for å øke bevisstheten rundt reglene om bruk av kameraer og filming på byggeplassen. Byggeplassen er en arbeidsplass og de ansattes behov for personvern er et hensyn som tillegges stor vekt i personvernretten.

Smarte bygg
Smarte bygg kjennetegnes ved at det anvendes teknologi for å optimalisere forvaltningen og utnyttelsen av bygget, slik at det kan anvendes mer effektivt. Ved bruk av sensorteknologi kan man få en detaljert oversikt over blant annet hvor mange som oppholder seg i bygget, hvordan bygget utnyttes mv. Basert på denne informasjonen kan lys og temperatur reguleres, forberedelse av mat i kantinen planlegges, ekstra renhold utføres ved behov og bruken av møterom, arbeidsplasser og bygget generelt kan bli mer effektiv.

LES OGSÅ: Compliance i eiendomsbransjen – innkjøperens samfunnsansvar

Smarte bygg forutsetter imidlertid en omfattende innsamling av opplysninger om brukerne og deres utnyttelse av bygget som reiser problemstillinger knyttet til personvern.

Handelsbransjen
I handelsbransjen ser man en økende trend i retning av bruk av såkalte «beacons» for å gi personlige og lokale tilbud til kunder i et område, for eksempel på kjøpesentre. Beacons er små radiosendere som kan sende signaler til smarttelefoner som er i senderens umiddelbare nærhet. Når kunden har skrudd på stedfunksjonen på sin smarttelefon, kan en beacon registrere at personen er i nærheten. Basert på denne type posisjonsdata i kombinasjon med data samlet inn gjennom kunde- og lojalitetsklubber, kan butikkeiere sende personlig tilpassede tilbud når kunder befinner seg i nærheten av butikken.

ADVOKATFULLMEKTIG: Eline Flaatten.

Utleier har også interesse i slike data, og tilgang til personopplysninger kan bli et kommersielt forhandlingspunkt i leieavtalen eller annen avtale mellom utleier og leietaker. En slik kommersiell utnyttelse av personopplysninger er imidlertid ikke problemfri fra et personvernståsted.

Regulatoriske krav
Reglene om personvern gjelder for alle virksomheter som behandler personopplysninger om fysiske personer. All bruk av personopplysninger krever et rettslig grunnlag. Det aktuelle grunnlaget varierer avhengig av behandlingens formål. Typiske grunnlag for lovlig behandling av personopplysninger er enten i) samtykke, ii) at behandlingen er nødvendig for å kunne oppfylle en avtale med den fysiske personen opplysningene kan knyttes til, iii) at behandlingen er nødvendig for å kunne oppfylle en rettslig forpliktelse, eller iv) at behandlingen er begrunnet i eiendomsaktørens berettiget interesse ut i fra en interesseavveining. Leietakers salg av kundedata til utleiers egne bruksformål krever for eksempel samtykke fra kundene.

LES OGSÅ: Compliance i eiendomsbransjen – næringsliv og menneskerettigheter

Bruk av kameraovervåking på byggeplassen er på sin side ofte i byggherrens berettigede interesse, typisk av hensyn til ansattes sikkerhet og for å avverge tyveri eller hærverk. Det er dermed ikke nødvendigvis behov for samtykke fra de ansatte.

Eiendomsaktører som behandler personopplysninger har også en utstrakt informasjonsplikt overfor personene som får sine personopplysninger behandlet. Personene har blant annet rett til å få informasjon om at det behandles personopplysninger, hvilke personopplysninger som blir behandlet og hvilke rettigheter vedkommende har i denne sammenheng. Ved bruk av kameraovervåking krever loven at det ved skilting informeres om overvåkingen, om det foretas lydopptak og hvem som er den behandlingsansvarlige.

Annen informasjon kan inntas i en personvernerklæring som er tilgjengelig på for eksempel virksomhetens nettside.

Personvernreglene inneholder også lagringsbegrensninger. I dette ligger det en plikt til å slette personopplysningene når de ikke lenger er nødvendig for formålet de ble samlet inn for. Det betyr at lokasjonsdata samlet inn gjennom for eksempel sensorer må slettes når de ikke lenger er nødvendige for formålet, eksempelvis å lokalisere personen. Et alternativ er at dataene anonymiseres dersom man ønsker å benytte dataen for nærmere analyse av for eksempel byggets utnyttelse. For kameraopptak er det lovfestet at disse normalt skal slettes senest 7 dager etter opptak.

LES OGSÅ: Compliance i eiendomsbransjen – offentlige anskaffelser

Også andre regulatoriske krav må overholdes. Eiendomsaktørene må for eksempel ha på plass et system for internkontroll, som innebærer at det må etableres rutiner og tekniske tiltak for å sikre etterlevelse av personvernreglene. Den som behandler personopplysninger må også kunne dokumentere compliance med personvernreglene. Dokumentasjonskravet viser viktigheten av å ha oversikt og kontroll med egen behandling av personopplysninger. Uten kontroll med egen behandling kan man ikke dokumentere at personvernreglene etterleves.

Brudd på reglene kan som kjent medføre høye gebyrer. Både av hensyn til generell regeletterlevelse og for å unngå økonomiske sanksjoner, må derfor også eiendomsaktørene legge ressurser i å sikre tilpasningen til de nye personvernreglene. Norsk Eiendom har utarbeidet en veileder og ulike maler for nødvendige avtaler som kan brukes i arbeidet med å etterleve personvernreglene.

Om artikkelforfatterne: Annette Justad er advokat og Eline Flaatten er advokatfullmektig, begge BAHR.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Fikk over 200 mill. for 270 p-plasser på Sørenga (+)
Transaksjoner
Hva bør selger gjøre om kjøper trekker seg fra en bindende avtale?
Juss
Wiederstrøm styrker staben
Karriere
Passerer snart 20 milliarder
Aktuelt
Økte byggekostnader i boligmarkedet
Play
Se alle Pluss-saker
Vant Cityprisen 2019
Aktuelt
Nejra Macic vant pris for de unge og lovende
Karriere
Fortsetter krangelen om bilfritt byliv
Aktuelt
Fikk kontrakt på 368 millioner kroner
Aktuelt