Persondataretlige problemstillinger særligt knyttet til transaktioner med fast ejendom

Dato 1 sep. 2020
Download PDF version PDF

 

Indledning

Datatilsynet har for nyligt indstillet en ejendomsadministrationsvirksomhed til en bøde på kr. 150.000 for overtrædelse af databeskyttelsesreglerne. Bøden giver anledning til fornyet fokus på overholdelse af databeskyttelsesreglerne for aktører på området for administration og overdragelse af fast ejendom.

 

Databeskyttelsesreguleringen beskytter alle oplysninger, der kan anvendes til at identificere en fysisk person. Det omfatter oplysninger om navn, adresse, telefonnummer, oplysninger om økonomiske forhold, helbredsoplysninger og lignende. Både i sædvanlig administration af fast ejendom og ved transaktioner med faste ejendomme behandles en række af disse personoplysninger, herunder om ejendommens lejere. Nedenfor har vi samlet en række af de problemstillinger, som man skal være opmærksom på i forhold til denne behandling.

 

Aktører

Udlejere, ejendomsadministratorer, købere og sælgere af fast ejendom behandler alle personoplysninger, eksempelvis om lejere. Hver af disse aktører er derfor selvstændigt omfattet af databeskyttelsesreglerne og forpligtet til at sikre sig overholdelse af disse.

 

Ved sædvanlig ejendomsadministration, vil ejeren af ejendommen (herefter ”udlejeren”) være dataansvarlig for behandlingen af oplysninger om lejerne. Det skyldes, at udlejeren bestemmer formålet med behandlingen af oplysningerne, kan kræve oplysningerne slettet og har ansvaret for sikkerheden og behandlingen af oplysningerne.

 

Som udgangspunkt vil en tilknyttet ejendomsadministrator (herefter ”administrator”) være databehandler, idet administrator kun handler på vegne af og efter instruks fra udlejeren. Dette betyder dog ikke, at administrator er fritaget fra ansvar efter databeskyttelsesreglerne. En databehandler kan efter databeskyttelsesreglerne ifalde et selvstændigt ansvar.

 

I forholdet mellem udlejeren og administrator, er udlejeren som dataansvarlig forpligtet til at sikre, at administrator kun behandler personoplysningerne på vegne af udlejer, såfremt administrator kan sikre, at behandlingen sker i overensstemmelse med de databeskyttelsesretlige regler. Det betyder, at udlejer skal sikre sig, at administrator kun behandler personoplysninger om lejere efter udtrykkelig instruks fra udlejeren, og at administrator sikrer den nødvendige fortrolighed i behandlingen af personoplysninger, herunder ved at implementere nødvendige sikkerhedsforanstaltninger.

 

Lejekontrakter

Via lejekontrakten vil udlejer og administrator modtage en række oplysninger om lejerne.

 

Som udgangspunkt vil det være berettiget for både udlejer og administrator at opbevare de modtagne personoplysninger, idet disse oplysninger er nødvendige for, at udlejer og administrator kan opfylde deres forpligtelser efter lejekontrakterne. Det antages altså, at kontraktindgåelsen i sig selv giver det nødvendige behandlingsgrundlag.

 

Udlejer er efter databeskyttelsesreglerne forpligtet til at overveje, hvorvidt det er nødvendigt at behandle alle modtagne oplysninger for at opfylde lejekontrakten. Hvis det ikke er nødvendigt, må udlejer overveje, om der er en anden legitim grund til at behandle de modtagne personoplysninger. Hvis ikke det er tilfældet, kan personoplysningerne ikke behandles i overensstemmelse med databeskyttelsesreglerne og skal straks slettes. Dette er en følge af princippet om dataminimering som skal sikre, at ingen opbevarer flere personoplysninger end nødvendigt.

 

I det omfang man ønsker at opbevare oplysninger, ud over hvad der er nødvendigt for opfyldelsen af kontrakten, vil det være nødvendigt at have et legitimt grundlag for denne behandling. Et legitimt grundlag kan navnlig være et udtrykkeligt, informeret og specifikt samtykke fra lejerne til behandlingen af personoplysningerne. Samtykket kan f.eks. indhentes via et særskilt bilag til lejekontrakten.

 

Et udtrykkeligt samtykke vil som udgangspunkt kræves, for at den dataansvarlige må behandle følsomme oplysninger, eksempelvis om lejernes helbred. Dette kan være relevant i tilfælde, hvor der er sket indretning af boligen for at imødekomme lejerens helbredsforhold.

 

Køb og salg 

Ved salg af en f.eks. en udlejningsejendom er det nødvendigt, at den potentielle køber får adgang til oplysninger om ejendommen, herunder om ejendommens lejere.

 

Selve udleveringen af lejekontrakter vil som oftest være legitim ud fra interesseafvejningsreglen.

 

Det er imidlertid den dataansvarliges ansvar at sikre, at der i due diligence-processen kun udleveres de oplysninger, der er nødvendige for den potentielle køber, for at denne kan vurdere sin interesse i ejendommen. Den sælgende part er derfor forpligtet til at sikre sig, at der ikke udleveres flere personoplysninger, end hvad der er nødvendigt for købers vurdering.

 

I det omfang man ønsker at opbevare oplysninger, ud over hvad der er nødvendigt for opfyldelsen af kontrakten, vil det være nødvendigt at have et legitimt grundlag for denne behandling. Et legitimt grundlag kan navnlig være et udtrykkeligt, informeret og specifikt samtykke fra lejerne til behandlingen af personoplysningerne. Samtykket kan f.eks. indhentes via et særskilt bilag til lejekontrakten.

 

Det vil som udgangspunkt ikke være nødvendigt, at den potentielle køber får udleveret lejekontrakter med angivelse af de enkelte lejeres personoplysninger. Det vil formentlig være tilstrækkeligt, at den potentielle køber får adgang til at gennemgå anonymiserede lejekontrakter, der ikke indeholder personoplysninger, da der almindeligvis ikke vil være behov for at kunne identificere de enkelte lejere. Det er den virksomhed, der deler personoplysningerne, som er forpligtet til at sikre tilstrækkelig anonymisering af dokumenterne, inden de udleveres.

 

Særligt om lejelovens tilbudspligt

Databeskyttelsesreglerne er ligeledes relevante i forbindelse med overholdelse af tilbudspligten efter lejelovens §§ 100-103. Under tilbudsprocessen vil lejekontrakter og tilhørende dokumenter blive udleveret til ejendommens lejere. Denne udlevering kan kræve særlig opmærksomhed, idet oplysningerne udleveres til lejernes naboer.

 

Det påhviler den part, der udleverer oplysningerne, at gennemgå materialet og anonymisere eventuelle personoplysninger behørigt. Personoplysningerne skal anonymiseres ud fra princippet om, at der aldrig skal videregives flere oplysninger end højest nødvendigt.

 

Såfremt lejekontrakterne indeholder oplysninger om lejeres fortrolige forhold, herunder økonomi og helbred, bør der tages stilling til, hvorvidt deling af sådanne fortrolige oplysninger overhovedet er relevant, eller om dette kan medføre en risiko for den konkrete lejers tab af omdømme.

 

I forbindelse med opfyldelse af tilbudspligten efter lejeloven har Datatilsynet netop fastslået, at deling af oplysninger om lejeres økonomi og helbredsoplysninger med lejerens naboer kan medføre risiko for tab af lejerens omdømme. Videregivelse af sådanne fortrolige oplysninger til naboerne kan således anses som et brud på databeskyttelsesreglerne.

 

Dette må også anses at gælde, i tilfælde hvor fortrolige oplysninger kan medføre skade på menneskelig værdighed eller have indflydelse på en persons privatliv. Der påhviler efter Datatilsynets opfattelse en særlig pligt til at gennemgå materiale særligt grundigt, inden det deles, hvis der er risiko for at videregivelsen af oplysninger medfører en risiko for sådan skade.

  

Aktie eller aktivoverdragelse

Når salget af en fast ejendom gennemføres som en aktivoverdragelse, finder databeskyttelsesreglerne anvendelse på de personoplysninger, der overdrages fra sælger til køber. Overdragelsen af personoplysningerne om lejerne er en videregivelse i databeskyttelsesretlig forstand, og der skal således være et legitimt grundlag for videregivelsen.

 

På baggrund af interesseafvejningsreglen, vil de fleste almindelige oplysninger om lejere kunne videregives som en del af overdragelsen. For så vidt angår følsomme oplysninger, herunder helbredsoplysninger, oplysninger om strafbare forhold og lignende følsomme personoplysninger, kræves som udgangspunkt et udtrykkeligt samtykke fra lejeren til, at oplysningerne kan videregives.

 

Ved salg af ejendommen, hvor handlen er struktureret som en hel eller delvis aktieoverdragelse, er der ikke tale om en overdragelse i databeskyttelsesretlig forstand. Det vil både før og efter købet være den samme juridiske enhed, der er dataansvarlig for behandlingen af oplysninger om lejerne. Virksomhedsoverdragelsen anses som udgangspunkt som en succession, hvor køberne indtræder i sælgernes rettigheder og forpligtelser. Der vil således ikke være tale om en videregivelse i databeskyttelsesretlig forstand, og en aktieoverdragelse giver derfor ikke anledning til særskilte persondataretlige overvejelser

 

Opbevaring

Personoplysninger må opbevares, så længe der er en saglig grund hertil, og så længe opbevaringen er nødvendig til at opfylde formålet med behandlingen af personoplysningerne. Der er som udgangspunkt ingen fastsatte frister for, hvor længe personoplysninger må bevares, og det er op til den enkelte virksomhed at vurdere, hvornår personoplysninger skal slettes.

 

Personoplysningerne kan opbevares, så længe det pågældende leje- eller kontraktforhold består. Behovet for sletning opstår, når kontraktforholdet er afsluttet. Generelt kan lovgivningsmæssige frister tages i betragtning i vurderingen af, hvornår personoplysninger skal slettes. Det vil være berettiget at opbevare personoplysninger, så længe der fortsat kan fremkomme krav i relation til det afsluttede kontraktforhold. Hvis personoplysningerne eksempelvis opbevares for at kunne forsvare et fremtidigt potentielt retligt krav eller lignende, kan udgangspunktet i forældelsesloven på tre år tages i betragtning. Er der tale om oplysninger, som vedrører mangler ved fast ejendom, er det relevant at medtage i vurderingen, at mangler ved fast ejendom kan gøres gældende i 10 år.

 

Desuden kan der være en forpligtelse til at opbevare – i hvert fald dele af – personoplysningerne om lejere i fem år til brug for opfyldelse af virksomhedens forpligtelser efter bogføringsloven.

 

Registrere rettigheder

Når der sker behandling af personoplysninger, hvad enten dette er hos administrator eller udlejer, skal den registrerede være oplyst om behandlingen. Det betyder, at det er den dataansvarlige, dvs. udlejers, opgave at sikre sig, at der er sket behørig orientering om, at personoplysningerne opbevares, og med hvilket formål oplysningerne behandles.

 

Lejeren skal derudover underrettes om, at denne har en række rettigheder i forbindelse med behandlingen: Lejeren har ret til at få berigtiget eventuelle ukorrekte oplysninger, begrænset behandlingen af personoplysninger, få indsigt i behandlingen og som udgangspunkt til at få slettet sine personoplysninger – medmindre der er et legitimt grundlag til den fortsatte behandling af oplysningerne.

 

Den dataansvarlige skal herudover sikre sig, at der altid forefindes fyldestgørende og tilgængelige politikker om behandlingen af personoplysninger.

 

Rådgivere og ansvar

Der kan være et stort behov for at inddrage rådgivere i vurderingen af de databeskyttelsesretlige forhold i transaktioner, der vedrører fast ejendom. Det er dog relevant at være opmærksom på, at det uanset tilstedeværelsen af rådgivere er selskabet, der i sidste ende er ansvarlig for, at privatlivspolitikker implementeres korrekt, og at al behandling af persondata de facto sker i overensstemmelse med databeskyttelsesreglerne.

 

Datatilsynet har netop slået fast, at selvom et selskab har haft en rådgivende tredjepart til at gennemgå et tilbudsmateriale ud fra de databeskyttelsesretlige regler, så medfører dette ikke en lempet vurdering af ansvaret, såfremt der alligevel konstateres overtrædelser af databeskyttelsesreglerne. Ansvaret for implemetering af tilstrækkelige sikkerhedsforanstaltninger kan således ikke uden videre videreoverdrages af den dataansvarlige til dennes rådgivere.

 

 

Såfremt noget i ovenstående måtte give anledning til spørgsmål eller ønske om yderligere information, er du velkommen til at kontakte partner Pernille Nørkær (pno@mwblaw.dk), partner Frantz Sigersted-Rasmusssen (fsr@mwblaw.dk), advokatfuldmægtig Sara Veje Rasmussen (svr@mwblaw.dk) eller advokatfuldmægtig Flora Hua Ting Chieng (fch@mwblaw.dk)

 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående som grundlag for beslutninger eller overvejelser.