NYTT: Også bedrifter i eiendomsbransjen må forholde seg til de nye reglene som følger av EUs nye personvernforordning (GDPR), som trer i kraft i Norge 25. mai 2018, sier advokat Annette Justad.
Nye personvernregler – hvorfor er dette relevant for eiendomsbransjen?
EUs nye personvernforordning (GDPR) trer i kraft i Norge 25. mai 2018. Det er på høy tid å begynne å forberede seg på de nye reglene.
GDPR innebærer at alle EU/EØS-land vil få en ny og enhetlig personvernlovgivning, men det betyr også at norske virksomheter som behandler personopplysninger vil pålegges nye og mer omfattende plikter. Med GDPR følger også strengere sanksjoner ved overtredelse, som gir Datatilsynet mulighet til å ilegge bøter på opp til 4 % av konsernets globale omsetning.
Selv om behandling av personopplysninger ikke er kjernevirksomheten til bedrifter i eiendomsbransjen, behandles også personopplysninger i denne bransjen. Også bedrifter i eiendomsbransjen må derfor forholde seg til de nye reglene som følger av GDPR.
Eiendomsbransjens behandling av personopplysningerBedrifter i eiendomsbransjen vil for det første behandle personopplysninger i kraft av å være arbeidsgiver. Bedrifter vil ha tilgang til opplysninger om tidligere og nåværende ansatte, representanter eller innleid arbeidskraft. Eksempler på opplysninger som behandles av en arbeidsgiver er navn, fødselsnummer, yrkesopplysninger, kontonummer, fraværsopplysninger, pensjonsopplysninger og andre opplysninger som inngår i personalmappen.
Les også: Viktige forenklinger i byggesaksreglene ved skade på bygg
Eiendomsaktører kan ha systemer for adgangskontroll, for eksempel kortlesere som lagrer informasjon om hvem som passerer inn og ut av bestemte områder. Noen eiendomsaktører har kameraovervåking av bygninger, byggeplasser eller andre områder der ansatte eller andre personer ferdes. En byggeplass utgjør en sikkerhetsrisiko og kameraovervåkning er derfor ikke unormalt for byggherrer og entreprenører. Kjøpesentre benytter kameraovervåkning for å avdekke kriminalitet og ivareta ansatte og besøkenes sikkerhet. Både tilgangskontroll og kameraovervåkning innebærer behandling av personopplysninger med de plikter som følger av personvernlovgivningen.
Når det gjelder adgangen til å sette opp kameraovervåkning gjelder også særlige regler, men disse er ikke strengere enn at mange eiendomsaktører har slik overvåkning lovlig etablert.
Leietakerregistre vil normalt også inneholde personopplysninger. Dette gjelder ikke bare hvor leietakeren er en fysisk person, men også hvor leietaker er et selskap (juridisk person) ettersom registeret inneholder navn, telefonnummer mv. på kontaktpersoner.
Bedrifter i eiendomsbransjen er i all hovedsak behandlingsansvarlig for personopplysningene som behandles i virksomheten. De er derimot sjeldent databehandlere. De vil imidlertid måtte forholde seg til databehandlere, det vil si selskaper og personer som behandler data på vegne av den behandlingsansvarlige. Dette gjelder eksempelvis et eiendomsselskap som gir sitt vaktselskap tilgang til informasjon lagret i tilgangskontrollsystemet, eller når et selskap benytter seg av cloud computing («skytjenester») levert av eksterne IT-leverandører som gis tilgang til opplysninger som lagres i systemet.
Det er i dag ingen begrensinger i adgangen til å benytte seg av databehandlere. Dette vil imidlertid endre seg med GDPR som blant annet vil oppstille særlige krav til valg av databehandlere.
Les også: Erstatning hvis kommunen forkaster et byggeprosjekt?
Noen av de nye pliktene for behandlingsansvarligeUnder GDPR utvides virksomhetens ansvar for egen behandling av personopplysninger. Virksomheten må dokumentere at de har systemer for å sikre etterlevelse av personvernreglene. Dagens internkontrollregler etter norsk rett vil trolig tilfredsstille disse kravene etter GDPR.
Kravene til virksomheters avvikshåndtering vil også skjerpes med GDPR. Dagens personvernlovgivning pålegger den behandlingsansvarlige å varsle Datatilsynet ved uautorisert utlevering av personopplysninger som krever konfidensialitet. Med GDPR utvides denne plikten. Alle avvik skal meldes med mindre det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern.
Avviksmeldingen skal også sendes raskere enn tidligere (innen 72 timer), og det stilles strengere krav til avviksmeldingens innhold.
Såkalt «innebygget personvern» blir lovpålagt. Behandlingsansvarlig har plikt til å sørge for at det minst personverninngripende alternativet er standarden i alle systemer og løsninger. Dette innebærer for eksempel at personvernvennlige innstillinger skal være standardløsningen i IT systemer.Med GDPR styrkes også de registrertes rettigheter og alle virksomheter må kunne oppfylle dem. De nye rettighetene omfatter blant annet rett til å få en begrenset behandling, retten til dataportabilitet (det vil si at den registrerte kan kreve sine personopplysninger overført til annen virksomhet), og retten til å bli glemt.
Les også: Forbud mot oljefyring fra 2020 – løper tiden fra deg?
Hvordan forberede seg på GDPR?Som det fremgår vil GDPR kreve en ikke-ubetydelig omlegging i virksomheter som behandler personopplysninger. Tiden frem til ikrafttredelse er kort. Alle virksomheter er forpliktet til å sikre etterlevelse innen GDPR trer i kraft mai 2018. GDPR bør derfor raskt opp på agendaen i virksomheter som ennå ikke har startet arbeidet med å tilpasse seg det nye regelverket.
Overraskende mange virksomheter har dessuten også et nokså fjernt forhold til de reglene vi allerede har i personopplysningsloven, som i stor grad vil videreføres ved GDPR. Det er derfor ingen grunn til å vente med å rette søkelyset mot behandlingen av personopplysninger i egen virksomhet.
Virksomheten bør starte med en kartlegging av hvilke personopplysninger virksomheten håndterer og hvordan disse behandles (samles inn, lagres, utleveres osv.). Den enkelte virksomhet bør deretter skaffe seg en oversikt over hva GDPR vil innebære for egen virksomhet. Hvilke endringer som er særlig viktige vil variere for den enkelte virksomhet, avhengig av hvordan man i dag behandler personopplysninger.
Mangler og svakheter i dagens rutiner bør identifiseres. På bakgrunn av eventuelle funn, bør virksomheten utarbeide og implementere nødvendige nye rutiner og retningslinjer for å sikre etterlevelse av GDPR.
Compliance i ulike relasjoner tillegges stadig mer vekt. Hvis ikke ønsket om å etterleve reglene eller frykten for store bøter skulle være motivasjon nok, er det verd å huske på at eventuelle interessenter i selskapet (kjøpere, långivere, samarbeidspartnere, leietakere osv.) vil legge vekt på om selskapet er «compliant» også i relasjon til personvernlovgivningen.
Artikkelforfatteren er advokat i advokatfirmaet BA-HR