Hvad gør udlejer med persondata?

Personoplysninger om lejere: Hvis en udlejer behandler ”enhver form for information om en identificeret eller identificerbar fysisk person”, behandler udlejer personoplysninger.

Begrebet ”personoplysninger” omfatter således alle typer oplysninger om fysiske personer, herunder navn, adresse, telefonnummer, oplysninger om gæld, kontonummer, oplysninger om strafbare forhold, helbred, CPR-numre mv.

Når man behandler personoplysninger om lejere, er man omfattet af persondataforordningens regler, og det derfor er en udbredt misforståelse, at reglerne kun er gældende, hvis man behandler CPR-numre eller andre ”følsomme oplysninger”.

En udlejer kan ikke undgå at behandle personoplysninger om lejere (eller om medarbejdere hos lejere for så vidt angår erhvervslejemål), udlejers egne medarbejdere, samarbejdspartnere, kontaktpersoner mv., og udlejer er derfor underlagt reglerne i persondataforordningen.

Manglende overholdelse af persondataforordningen kan medføre en bøde på op til 20 mio. EUR (eller op til 4 % af virksomhedens globale koncernomsætning, hvis det beløb er højere).

[Jf. persondataforordningens art. 30, stk. 1]

I det følgende gennemgås nogle af de vigtigste regler, udlejer skal være opmærksom på, når udlejer behandler personoplysninger.

1. Udlejer skal have et lovgrundlag og et legitimt formål med at behandle personoplysninger

Der skal altid være et lovgrundlag og et legitimt formål, når man behandler personoplysninger om lejere. Alt afhængigt af hvilke typer personoplysninger man skal behandle, findes der forskellige lovgrundlag i persondataforordningen og anden lovgivning.

Det mest aktuelle lovgrundlag for udlejers behandling af personoplysninger om lejere er, at det er lovligt at behandle ”almindelige personoplysninger” (fx navn, adresse, kontooplysninger og kontaktoplysninger), hvis behandlingen er nødvendig for at opfylde en kontrakt, som den registrerede er eller vil blive part i.

Dette betyder, at udlejer har lov til at behandle ”almindelige personoplysninger” om lejere, hvis behandlingen er nødvendig for at overholde lejekontrakten.

Dette gør sig imidlertid ikke gældende for udlejers behandling af lejeres CPR-numre. De mest relevante lovgrundlag for udlejers behandling af lejers CPR-nummer er, at private (modsat offentlige myndigheder) må behandle CPR-numre, hvis den registrerede har givet samtykke, eller hvis behandlingen er nødvendig for at et retskrav kan fastlægges, forfølges eller forsvares.

Dette betyder, at udlejer som udgangspunkt skal have lejers samtykke til at behandle lejers CPR-nummer, medmindre udlejer skal inddrive et konkret krav mod lejer (fx huslejerestancer eller istandsættelsesomkostninger) og i den forbindelse har brug for at behandle lejerens CPR-nummer.

Det er i øvrigt vigtigt at være opmærksom på, at udlejers formål med behandlingen af personoplysninger udelukkende er legitimt, hvis udlejers behov for behandlingen er ”need to have” og ikke ”nice to have”. Det er altså et legitimt formål, at udlejer gemmer lejekontrakter, så længe lejeforholdet består, og indtil der indtræder forældelse, fordi udlejer har brug for at kunne dokumentere lejeforholdet, men det er ikke et legitimt formål, at udlejer gemmer forældede lejekontrakter, fordi det har været ubelejligt/omfattende/besværligt at slette dem.

2. Udlejer skal efterleve en lovpligtig oplysningsforpligtelse overfor lejer

Når udlejer indsamler og behandler personoplysninger om lejere, skal udlejer efterleve en lovpligtig oplysningsforpligtelse overfor lejeren. Dette skal som udgangspunkt ske samtidig med indsamlingen af personoplysningerne.

Udlejer skal derfor give lejer en række oplysninger, herunder oplysninger om udlejers identitet, formålet med og lovgrundlaget for behandlingen, eventuelle modtagere som udlejer videregiver oplysningerne til, hvor længe oplysningerne behandles, lejerens rettigheder og lejerens ret til at klage til Datatilsynet.

Hvis udlejer har en hjemmeside, kan udlejer med fordel efterleve oplysningsforpligtelsen ved at have en persondatapolitik på hjemmesiden, som udlejer henviser til. I den forbindelse er det vigtigt at være opmærksom på, at politikken altid skal gøres tilgængelig for lejeren via et link i en elektronisk lejekontrakt eller en fremsendelses e-mail.

Hvis oplysningsforpligtelsen skal efterleves i fysisk format, kan udlejer skrive persondatapolitikken i sin fulde længde direkte i lejekontrakten eller vedlægge den som et bilag til lejekontrakten.

3. Udlejer skal føre lovpligtige fortegnelser over alle behandlingsaktiviteter

Når udlejer behandler personoplysninger om lejere, skal udlejer føre fortegnelser over alle behandlingsaktiviteter. Fortegnelserne skal kunne fremvises til Datatilsynet, hvis Datatilsynets anmoder herom.

Dette betyder, at udlejer skal lave en fortegnelse for behandling af personoplysninger om lejere, en fortegnelse for behandling af personoplysninger om medarbejdere hos erhvervslejere, en fortegnelse for behandling af personoplysninger om udlejers medarbejdere mv.

For hver fortegnelse skal udlejer blandt andet beskrive

  • navn og kontaktoplysninger på udlejeren,
  • formålene med behandlingsaktiviteten,
  • kategorier af registrerede (fx lejere, medarbejdere mv.),
  • kategorier af personoplysninger (fx almindelige personoplysninger og CPR-nummer),
  • kategorier af modtagere (fx advokat, revisor, administrator, softwareleverandører, politiet mv.),
  • de forventede tidsfrister for sletning (fx indtil der indtræder forældelse), og
  • beskrivelse af udlejers sikkerhedstiltag (fx firewalls, koder, kryptering af e-mails, makulering mv.).

Hvis det er relevant, skal udlejer også beskrive eventuelle overførsler af personoplysninger til tredjelande eller internationale organisationer (lande og organisationer udenfor EU/EØS) og beskrivelse af udlejers lovpligtige overførselsgrundlag, oplysninger om eventuelle fælles dataansvarlige, udlejers repræsentanter eller eventuelle databeskyttelsesrådgiver.

Det er vigtigt at være opmærksom på, at persondataforordningen stiller krav om, at fortegnelsen foreligger skriftligt og elektronisk.

[Find skabelon til “Fortegnelse over behandlingsaktiviteter” her]

4. Udlejer skal slette personoplysninger, som udlejer, ikke har et formål med at behandle

Udlejer har pligt til slette eller anonymisere personoplysninger, som udlejer ikke længere har et legitimt formål med og et lovgrundlag for at gemme.

Denne pligt til at slette personoplysninger gælder alle fysiske og elektroniske steder personoplysningerne er opbevaret, herunder i arkiver og systemer, i indbakker, udbakker og undermapper i udlejers e-mailkonto, backup, usb-stiks mv.

Slettefristen skal altid fastsættes ud fra en konkret vurdering af formålet med behandlingen af de enkelte personoplysninger, men udlejer kan med fordel tage udgangspunkt i udlejers behov for at kunne opfylde sine forpligtelser i henhold til lejekontrakten, reglerne om forældelse, udlejers behov for at kunne forsvare sig mod eller forfølge et retskrav og udlejers eventuelle retlige forpligtelser til at opbevare visse oplysninger.

Som udgangspunkt må udlejer således behandle relevante personoplysninger om lejere, så længe lejeforholdet består.

Når lejeforholdet ophører, har udlejer som udgangspunkt et formål med at behandle relevante personoplysninger om lejer, indtil der indtræder forældelse, eller så længe udlejer har en retlig forpligtelse til at opbevare visse oplysninger, fx efter reglerne i bogføringsloven.

5. Udlejer skal registrere og indberette eventuelle brud på datasikkerheden

Udlejer har pligt til at behandle personoplysninger med tilstrækkelig sikkerhed. Hvis udlejer har et sikkerhedsbrud, som indebærer en risiko for en eller flere registrerede, skal udlejer anmelde sikkerhedsbruddet til Datatilsynet senest 72 timer efter udlejer bliver bekendt med sikkerhedsbruddet.

Hvis udlejer (eller Datatilsynet) vurderer, at sikkerhedsbruddet har medført en høj risiko for de registrerede, skal udlejer også underrette den/de registrerede om sikkerhedsbruddet og konsekvenserne heraf.

Herudover er det et lovkrav, at udlejer skal registrere og dokumentere alle sikkerhedsbrud uanset om disse skal anmeldes eller ej, således at udlejer kan dokumentere disse overfor Datatilsynet, fx i forbindelse med et tilsyn eller en klagesag.

Et sikkerhedsbrud omfatter blandt andet

  • fremsendelse af e-mail eller brev med personoplysninger uden lovgrundlag eller til en forkert modtager,
  • hackerangreb,
  • klik på phishing e-mails,
  • tyveri af en pc/dokumenter med adgang til personoplysninger, og
  • tab af personoplysninger, fx sletning eller ændring af personoplysninger.

Som udgangspunkt skal alle sikkerhedsbrud anmeldes til Datatilsynet, medmindre det er usandsynligt, at sikkerhedsbruddet har medført en risiko for de registrerede.

Vurderingen af risikoen for de registrerede skal altid bero på en vurdering af de konkrete omstændigheder, herunder fx antallet af de registrerede som er involveret, følsomheden/fortroligheden af de kompromitterede personoplysninger, om modtageren er underlagt en lovpligtig tavshedspligt, og hvor længe personoplysningerne har været kompromitteret.

Det vil formentlig ikke indebære en risiko for den registrerede, hvis udlejer sender en servicemeddelelse, faktura eller lign. med meget få almindelige personoplysninger om en lejer til en forkert modtager, hvis den pågældende modtager er underlagt lovpligtig tavshedspligt (fx en advokat eller revisor), eller hvis modtageren straks bekræfter, at oplysningerne er blevet slettet.

Hvis udlejer herimod sender en lejekontrakt med en række personoplysninger, herunder måske lejers CPR-nummer, til en forkert modtager, eller hvis udlejer sender en/flere fakturaer med få almindelige personoplysninger til flere forkerte modtagere, vil sikkerhedsbruddet indebære en risiko for den registrerede, og sikkerhedsbruddet skal derfor anmeldes til Datatilsynet.

Herudover skal uautoriseret adgang til personoplysninger i forbindelse med et hackerangreb, klik på phishing e-mails eller lignende som udgangspunkt altid anmeldes til Datatilsynet.

6. Udlejer skal være i stand til at efterleve lejernes rettigheder som registrerede

Når udlejer har registreret personoplysninger om lejere, medarbejdere mv., har disse fysiske personer en række rettigheder overfor udlejer.

En lejer har blandt andet ret til indsigt i og kopi af alle personoplysninger, udlejer behandler om lejeren. Denne ret omfatter blandt andet lejekontrakt, huslejeopkrævninger, overvågningsvideoer/billeder, eventuelle notater, som udlejer har registreret om lejeren mv.

En lejer har også ret til at få slettet sine personoplysninger, hvis en udlejer behandler personoplysninger på grundlag af et samtykke, som lejeren trækker tilbage (fx CPR-nummer), eller hvis behandlingen ikke længere er nødvendig til at opfylde de formål, hvortil oplysningerne blev indsamlet (fx lejekontrakter vedrørende tidligere lejeforhold hvor der er indtrådt forældelse).

En lejers ret til at få slettet sine personoplysninger gælder dog kun i det omfang, udlejer ikke har brug for oplysningerne for at et retskrav kan fastlægges, gøres gældende eller forsvares.

Det er vigtigt at være opmærksom på, at udlejer som udgangspunkt skal efterleve en anmodning vedrørende de registreredes rettigheder senest en måned efter modtagelse, at udlejer som udgangspunkt ikke må kræve et gebyr for at efterleve anmodningen, og at udlejer ikke må kompromittere andres personoplysninger ved efterlevelse af anmodningen.

Hvad gør udlejer, hvis udlejer ønsker at registrere lejers CPR-nummer ved indgåelse af lejeaftalen?
 
Udlejer skal have lejers samtykke til at behandle lejerens CPR-nummer, hvis udlejer ønsker at registrere dette i forbindelse med indgåelse af lejekontrakten, fx med den begrundelse, at udlejer muligvis kan få brug for det i forbindelse med en senere inkassosag eller anden retsforfølgning.
 
Et samtykke er kun gyldigt, hvis det er afgivet udtrykkeligt, frivilligt, specifikt, informeret og hvis det er udtryk for en utvetydig viljestilkendegivelse.
 
Dette betyder blandt andet, at udlejer ikke må betinge lejekontrakten af, at lejer giver samtykke, fx ved at anføre i lejekontrakten, at ”lejer ved sin underskrift giver samtykke til…”. Samtykket skal derfor gives i en særskilt erklæring, som skal udformes som et tillæg til lejekontrakten, og lejer skal frit og uden konsekvenser kunne afvise at give samtykket.
 
Det betyder også, at lejer blandt andet skal oplyse lejeren om det konkrete formål med behandlingen, og at udlejer ikke må indhente et generelt samtykke til behandling af personoplysninger.
 
Herudover er det vigtigt at være opmærksom på, at udlejer skal have særskilt samtykke til at videregive lejers CPR-nummer til tredjeparter, herunder fx til udlejers advokat eller de øvrige lejere i en ejendom som led i udlejers efterlevelse af reglerne om tilbudspligt i forbindelse med salg af ejendommen, eller til en elleverandør med henblik på at lejeren skal oprettes som kunde hos elleverandøren. Dette gælder dog kun, hvis ikke udlejer har et andet lovgrundlag for at videregive CPR-nummeret i det konkrete tilfælde.

Må udlejer registrere oplysninger om strafbare forhold om en udlejer?
I Danmark er der særlige regler for, hvornår man må behandle oplysninger om strafbare forhold, herunder fx oplysninger om (formodet) tyveri eller hærværk, politianmeldelser, videoovervågninger af strafbare handlinger mv.

Udlejer må som udgangspunkt kun behandle sådanne personoplysninger, hvis den registrerede har givet samtykke, eller hvis behandlingen er nødvendig for at varetage en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede.

En berettiget interesse som overstiger hensynet til den registrerede kan eksempelvis være et tilfælde, hvor udlejer indsamler dokumentation for et strafbart forhold med henblik på at anmelde dette til politiet. I den forbindelse er det dog vigtigt at være opmærksom på, at udlejer ikke har en berettiget interesse i at gemme oplysningerne efter forholdet er anmeldt til politiet, og at udlejer derfor som udgangspunkt skal slette oplysningerne, når forholdet er anmeldt til politiet.

Aktuelt

Andre nyheder om Compliance

Se flere relevante nyheder

Fandt du ikke det, du søgte? 

Kontakt os her. Vi sikrer, at der står en specialist klar til at hjælpe dig.

Når du kontakter os, behandler vi dine personoplysninger. Læs mere om dette i vores privatlivspolitik.
Dette felt er til validering og bør ikke ændres.