Den 30. oktober 2019 utstedte Datatilsynet i Berlin (Berliner Beauftragte für Datenschutz und Informationsfreiheit) – “Berlin DPA”) varsel om et administrativt gebyr på hele 14,5 millioner euro til det tyske eiendomsselskapet Deutsche Wohnen SE for brudd på personvernforordningen (GDPR).
Berlin Wohnen er et stort tysk børsnotert eiendomsselskap med portefølje på 168.000 enheter med hovedvekt på boligutleie, men også en betydelig næringsportefølje. Selskapet behandler således store mengder personopplysninger i forbindelse med administrasjon av leietakerforhold.
Bakgrunnen for gebyret er at Deutsche Wohnen lagret opplysninger om leietakere lenger enn hva som er nødvendig og ikke hadde implementert tilstrekkelige prosedyrer for sletting av opplysninger om leietakere (for eksempel etter opphør av leieforhold).
Dette innebar at Deutsche Wohnen satt på det de tyske tilsynsmyndighetene kalte “datakirkegårder” uten rutiner for eller tekniske mulighet for sletting.
Ifølge Berlin DPA omfattet dette både opplysninger i form av navn og kontaktopplysninger samt mer detaljerte opplysninger om personlige og økonomiske forhold i form av blant annet lønnsslipper, kredittsjekk, utdrag fra ansettelses- og opplæringskontrakter, skatteopplysninger og personnummer. Denne påståtte manglende overholdelse av GDPR ble allerede avdekket av Berlin DPA etter et stedlig tilsyn juni 2017 (altså før GDPR trådte i kraft).
Et nytt tilsyn i mars 2019 viste at Deutsche Wohnen fortsatt ikke var i stand til å dokumentere verken en opprydding av databasen eller lovlig behandlingsgrunnlag for fortsatt lagring. Deutsche Wohnen initierte etter det første tilsynet et prosjekt for å avhjelpe potensiell manglende overholdelse av GDPR.
Men tilsynsmyndigheten fant at disse tiltakene ikke hadde ført til det kunne dokumenteres at behandlingen av data skjedde i tråd med GDPR.
LES OGSÅ: Nye personvernregler
Hva sier GDPR?I henhold til GDPR skal all behandling av personopplysninger skje i henhold til de grunnleggende personvernprinsippene i GPDR artikkel 5.Dette innebærer blant annet at det kun skal samles inn opplysninger som er nødvendige (“dataminimering”) for nærmere spesifikt angitte formål (“formålsbegrensing”) og at opplysninger skal slettes når disse formålene er nådd (“lagringsbegrensning”).
Ifølge Berlin DPA har Deutsche Wohnen brutt disse prinsippene som følge av at dets systemer ikke hadde rutiner for å slette opplysninger som ikke var nødvendig. Dette ble også ansett som et brudd på plikten til innbygd personvern i henhold til GDPR artikkel 25 (1).
Kravet til innebygget personvern i Artikkel 25 (1) GDPR krever at eiendomsselskaper må sørge for å implementere passende tekniske og organisatoriske tiltak som er utformet for å implementere personvernprinsippene, for eksempel dataminimering, på en effektiv måte og å integrere de nødvendige sikkerhetstiltakene i behandlingen for å oppfylle kravene i GDPR og beskytte de registrerte rettigheter.
Eiendomsselskaper vil normalt ha rollen som “behandlingsansvarlig” i henhold til GDPR for denne type opplysninger, men kan også ha rollen som databehandler for leietakere (særlig innen næring) for ulike behandlinger knyttet til adgangskontroll og kameraovervåkning av leietakers lokaler.
Utmåling av gebyretVed beregningen av gebyrets størrelse anvendte tilsynsmyndigheten i Berlin en nylig utarbeidet retningslinje for beregning av gebyrer i henhold til GDPR fra de tyske tilsynsmyndighetene. Som kjent gir GDPR adgang til å utstede gebyrer ut fra et foretaks omsetning.
Deutsche Wohnen SE hadde årlig omsetning i 2018 på 1.438.000.000 euro. Gebyret er beregnet ut ifra GDPR Art. 83 (4) (hvor maksimalsatsen er 2 prosent av årlig omsetning) og ikke GDPR Art. 83 (5), hvor maksimalt gebyr kunne vært 4 prosent prosent av omsetningen. Gebyret utgjør derfor nesten 50 prosent av det maksimale gebyret som kunne blitt ilagt når man legger 2 prosent-terskelen til grunn.
LES OGSÅ: Slik skal digitale fotavtrykk optimalisere eiendom
Gebyret viser med tydelighet at bare det å sitte på kundedata (uten at det nødvendigvis har forekommet noen lekkasje eller hacking som har resultert i utilsiktet utlevering av slike data) utgjør et grovt brudd på GDPR.
En lignende sak om manglende sletting av kundedata har også vært behandlet av det danske Datatilsynet i mars 2019. Her ledet manglende sletting av personopplysninger om 385.000 kunder til et gebyr på MDKR 1.3.
Hva betyr dette for eiendomsbransjen i Norge?I Norge har vi så langt ikke sett gebyrer fra Datatilsynet som er ilagt private selskaper for tilsvarende forhold og det er begrenset med utmålingspraksis for brudd på GDPR. Det er derfor ikke gitt at vi vil se tilsvarende gebyrnivåer i Norge.
Når det er sagt (og selv om gebyret fra den tyske tilsynsmyndigheten ikke er endelig) er det all grunn for norske eiendomsselskaper til å foreta en vurdering av hvorvidt man i tilstrekkelig grad har implementert systemer og rutiner for å sikre at all behandling av personopplysninger skjer i henhold til kravene i GDPR herunder å slette opplysninger. Dette er nødvendig for å unngå slike “datakirkegårder”.
Eiendomsselskaper må derfor implementere rutiner som sikrer overholdelse av personvernprinsippene og sørge for sletting av kundeopplysninger når formålet er nådd (typisk når et kundeforhold eller leieforhold opphører) og kunne dokumentere at disse rutinene faktisk følges i praksis. Det er også viktig å ha IT-systemer som støtter opp under disse pliktene.
Vi vil anbefale alle eiendomsselskaper å foreta en tenkt “kundereise” som må avdekke følgende:
1) Hvilke opplysninger trenger vi for å etablere et kundeforhold og kan vi dokumentere behandlingsgrunnlag?
2) Hva med opplysninger om kundeforhold som ikke ble noe av? For eksempel budrunder, interessentlister. Kan vi lagre og behandle disse opplysningene? Kan vi dokumentere behandlingsgrunnlag?
3) Kan noen av opplysningene slettes etter etablering av et kundeforhold? Eksempelvis foreta gjennomgang av sine rutiner for å sikre at man ikke samler inn flere opplysninger enn det som er nødvendig? Personvernnemda i Norge har tidligere blant annet uttalt at kredittsjekk kun kan innhentes for de leietakere man vurder å inngå leieavtale med og at selve kredittsjekken skal slettes når avtale er inngått.
Selv om dette var i henhold til den gamle personopplysningsloven er disse uttalelsene fortsatt relevant siden Personvernnemdas uttalelser var basert på prinsipper som også gjelder i henhold til GDPR. Det er derfor ikke kurant å oppbevare gjennomførte kredittsjekker hele leieforholdets løpetid. Men en anmerkning om at kredittsjekk er utført er greit.
4) Hvilke opplysninger kan vi sitte på etter opphør av kundeforhold og kan vi dokumentere et lovlig behandlingsgrunnlag for dette?
5) Støtter systemene sletting og ivaretakelsen av registrertes rettigheter etter GDPR utover sletting (innsyn, retting, begrensing, dataportabilitet)?
6) Hvilken informasjon gir vi til kunder og leietakere?
LES OGSÅ: Samtykketrøtthet til besvær
Det vil være naturlig å oppbevare visse kundeopplysninger etter opphør av et kundeforhold. Eksempler på slik informasjon kan være dokumentasjon som kan være relevant i forbindelse med en eventuell tvist.
Bokføringsforskriften krever også at selve leiekontrakten oppbevares i tre år etter utløpet av det regnskapsår leieforholdet utløpet. Og sletting må selvsagt ikke tas så langt at utleier ikke oppfyller krav til dokumentasjon i øvrig regelverk.
Vurderingene eiendomsselskapene gjør må kunne dokumenteres som et ledd i selskapets internkontroll og må også inngå i den informasjonen man gir til sine kunder. Det er normalt ikke tilstrekkelig å si at “vi behandler opplysningene så lenge det er nødvendig for formålet”.
Petter Bjerke leder DLA Piper Norways faggruppe for IPT. Han bistår en rekke ulike norske og internasjonale telekomselskaper, selskaper innen industri, farmasi, media, eiendom og finans med ulike spørsmål knyttet til personvern og informasjonssikkerhet.
