GDPR hos udlejere i Datatilsynets søgelys

Datatilsynet

Datatilsynet er den centrale og uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Datatilsynet fører blandt andet tilsyn med, at myndigheder, virksomheder og andre dataansvarlige samt databehandlere overholder reglerne i databeskyttelsesforordningen (GDPR) og i databeskyttelsesloven.

Tilsyn i boligforeninger

Datatilsynet kan behandle sager på baggrund af klager eller henvendelser; men fører også et generelt tilsyn – uden at der har været mistanke om overtrædelser. Datatilsynet har som et af flere områder i 2024 udvalgt ”boligforeninger”. Det fremgår af Datatilsynets hjemmeside, at: ”Mange registrerede bor i boliger, der administreres af professionelle administratorer. I denne forbindelse behandler boligadministrationsselskaberne og boligselskabernes egen administration en lang række oplysninger om de registrerede og vil ofte også håndtere eksempelvis retten til indsigt eller sletning på vegne af den dataansvarlige andels-, ejerforening eller boligselskab. Datatilsynet vil i 2024 derfor fokusere på håndteringen og overholdelse af de registreredes rettigheder hos disse professionelle aktører. Herudover vil Datatilsynet sætte fokus på boligforeningers brug af tv-overvågning”.

Hvilke krav stilles til en boligforening?

Databeskyttelsesreglerne stiller ikke specifikke krav til boligforeningers behandling og håndtering af personoplysninger. De regler, som gælder for alle andre virksomheder, gælder derfor også for boligforeningerne. Lige konkret i forhold til Datatilsynets tilsynsområde, vil de bl.a. rette opmærksomheden på håndteringen af de registreredes rettigheder, dvs. primært lejernes rettigheder.

Lejernes rettigheder efter databeskyttelsesreglerne er bl.a. retten til indsigt, dvs. at lejerne kan kontakte udlejeren og få oplyst, hvilke personoplysninger, som udlejer behandler om lejeren. Det kan f.eks. være oplysninger til brug for administration af lejemålet, registrering af lejerens forbrug af vand, el, varme, restance omkring betalinger af husleje, smart-metering til måling af energiforbrug og ESG-mål, og andet. I visse tilfælde kan lejerne også få berigtiget, begrænset eller slettet sine personoplysninger, medmindre selskabet har en interesse i fortsat at behandle de oplysningerne, f.eks. til indkrævning af udestående husleje eller håndtering af verserende sag for huslejenævnet. Alle henvendelser fra lejerne og andre registrerede om brug af sine rettigheder skal som udgangspunkt besvares inden for en måned.

Flere boligforeninger og boligadministratorer foretager også TV-overvågning af deres bygninger for f.eks. at forebygge og opklare kriminalitet begået på bygningerne eller overvåge driften. Her vil boligselskabet både være underlagt TV-overvågningslovens regler og databeskyttelsesreglerne. TV-overvågningsloven stiller særlige krav til bl.a. skiltning samt videregivelse og sletning af optagelser, og databeskyttelsesreglerne stiller krav om behandlingsgrundlag og beskyttelse af de registreredes rettigheder i det omfang, at der optræder personoplysninger på optagelserne, f.eks. lejere, tilfældige forbipasserende og nummerplader på biler. Datatilsynet har i sidste måned netop lavet en vejledning omkring boligorganisationers brug af TV-overvågning, som du som boligorganisation bør forholde dig til, hvis du benytter TV-overvågning.

Hvad kan en overtrædelse betyde?

Bliver du som boligforening, boligselskab eller boligadministrator udvalgt til et tilsyn, og viser det sig, at der ikke har været styr på håndteringen af de registreredes rettigheder, har Datatilsynet en række sanktionsmuligheder, som de kan vælge at gøre brug af.

Datatilsynet kan vælge at give en advarsel om, at selskabets håndtering kan udgøre en overtrædelse af reglerne, som der bør rettes ind overfor. Datatilsynet kan også vælge at udtale offentlig kritik af selskabets manglende overholdelse af de registreredes rettigheder, hvilket netop var tilfældet i en afgørelse fra Datatilsynet i juli 2023, hvor en boligforening fik alvorlig kritik for at have afslået en beboers anmodning om indsigt i sine data. Boligforeningen mente i den konkrete sag, at den ikke var forpligtet til at udlevere oplysningerne, da boligforeningen ikke var underlagt offentligheds- og forvaltningslovens regler om aktindsigt. Datatilsynet fandt dog stadig, at boligforeningen var forpligtet til at give indsigt i oplysningerne efter databeskyttelsesreglerne.

Hvis Datatilsynet mener, at selskabet skal rette op på sin ulovlige behandling, kan Datatilsynet også vælge at udstede et påbud om, at selskabet f.eks. skal give lejerne en privatlivspolitik med oplysningerne om deres rettigheder, eller et påbud om at besvare en anmodning fra en lejer om at gøre brug af dennes ret til indsigt i sine oplysninger.

I grovere tilfælde kan Datatilsynet også vælge at indstille selskabet til en bøde for overtrædelse af databeskyttelsesreglerne. Størrelsen af bøden vil afhænge af flere omstændigheder, herunder både karakteren af overtrædelsen, hvor mange personer der er berørt, om selskabet tidligere er straffet, og hvad selskabets omsætning er. På baggrund af Datatilsynets bødevejledning for virksomheder vil bødeniveauet for en mellemstor virksomhed (årlig omsætning under kr. 375 mio.) for overtrædelse af reglerne om de registreredes rettigheder kunne medføre en bøde på over kr. 1,5 mio.

Focus Advokater bemærker

Datatilsynets valg af boligorganisationers håndtering af registreredes rettigheder og TV-overvågning som tilsynsområde hænger særligt sammen med, at boligorganisationer generelt behandler mange data om mange forskellige personer, de seneste afgørelser fra Datatilsynet omkring håndtering af registreredes rettigheder, og at Datatilsynet for nylig har udgivet en ny vejledning om boligorganisationers brug af TV-overvågning.

Derfor bør boligorganisationer også i den nærmeste fremtid gennemgå og ajourføre sine fortegnelser og databeskyttelsespolitikker, herunder særligt procedurer for håndtering af henvendelser fra registrerede og slettepolitikker, for at sikre, at der er helt styr på sagerne inden Datatilsynet eventuelt skulle vælge at kigge forbi.