PERSONDATASIKKERHED VED TILBUDSPLIGT
       
Af Helene Arensbak Mørk, advokat med speciale i persondataret, Focus Advokater
07.09.20



Også ved salg og overdragelse af fast ejendom skal man se sig for i behandlingen af personoplysninger. En ny afgørelse fra Datatilsynet understreger ansvaret for at sikre, at der ikke sker utilsigtet videregivelse af oplysninger i tilbudsmateriale. Som sælger er man bl.a. forpligtet til at gennemgå og anonymisere alle dokumenter med personoplysninger, som ikke bør videregives.


I den konkrete sag blev der ved en fejl udleveret dokumenter med lejeres adresse, depositum og forudbetalt leje, herunder om der var foretaget udlæg i disse beløb. Dette skete på trods af, at man havde rådført sig med et eksternt revisionsselskab om netop håndteringen af personoplysninger i det omhandlende tilbudsmateriale. Ejendomsadministrator risikerer en bøde på kr. 150.000.



Generelt om tilbudspligt


Ved visse overdragelser (Redaktion: Se Magasinet Danske Udlejere april 2016) af fast ejendom er ejeren af ejendommen efter lejelovens regler forpligtet til at tilbyde lejerne i ejendommen at købe den på samme vilkår og til samme pris, som ejeren har aftalt med en ekstern køber. Hvis lejerne accepterer tilbuddet om at overtage ejendommen, skal de stifte en andelsboligforening.


Tilbudspligten udløses først, når ejeren har indgået bindende (betinget) aftale om køb af ejendommen med en ekstern køber eller om køb af aktierne eller anparterne i det selskab, der ejer ejendommen.


Når en ejendom skal sælges, får den potentielle køber udleveret alle relevante oplysninger om ejendommen til brug for vurdering af, om man ønsker at købe ejendommen, til hvilken pris og på hvilke vilkår. Det omfatter blandt andet oplysninger om lejeforholdene, herunder indbetalte deposita, restancer, forbrugsoplysninger, lejekontrakter mm.


Når lejerne skal tilbydes ejendommen efter tilbudspligten, skal de have de samme oplysninger udleveret til brug for deres vurdering af, om de vil benytte sig af muligheden for at overtage ejendommen gennem en andelsboligforening.


Den, der er dataansvarlig – ejendommens ejer eller i nogle tilfælde administrator – har ansvaret for, at der alene udleveres de nødvendige og tilstrækkelige personoplysninger, hvilket indebærer behørig gennemgang og anonymisering.



Hvad siger reglerne?


For bedre at forstå udfaldet af den konkrete afgørelse gennemgår vi her kort de relevante forpligtelser efter GDPR (databeskyttelsesforordningen).


Den, som bestemmer formålet med og hjælpemidlerne til behandlingen af personlysningerne, f.eks. hvilke oplysninger der skal behandles, hvor længe og hvordan, bliver betegnet som den dataansvarlige. Hvis den dataansvarlige overlader en del af sin behandling af personoplysninger til en anden, der måske er mere kompetent til netop den behandling, bliver den pågældende databehandler, så længe der udelukkende handles efter den dataansvarliges instruks. Det kan f.eks. være en hostingudbyder, der instrueres i at opbevare den dataansvarliges data, eller udbyderen af et IT-system til administration af løn.


Hvis vi så ser på selve behandlingen af personoplysninger, så gælder der en række principper i GDPR, som altid skal være opfyldt. Der må bl.a. kun behandles personoplysninger, hvis man har et lovligt formål med det (formålsbegrænsning), og der må ikke behandles flere personoplysninger end nødvendigt for at opfylde dette formål (dataminimering). Den dataansvarlige er desuden forpligtet til at sikre tilstrækkelig sikkerhed for oplysningerne, hvilket indebærer, at der iværksættes sikkerhedsforanstaltninger både på et teknisk plan (f.eks. ved kryptering, brugerstyring og logning) og et organisatorisk (f.eks. ved fysisk adgangsbegrænsning, uddannelse af ansatte og retningslinjer for databeskyttelse). Disse sikkerhedsforanstaltninger skal især sikre, at personoplysninger ikke kommer til uvedkommendes kendskab.


Der kan selvfølgelig opstå et behov for at udlevere oplysninger til ”vedkommende”, og der sker i den forbindelse en videregivelse. En videregivelse skal være lovlig. Det vil sige, at man skal finde det sted i GDPR, hvor der står, at man kan behandle (videregive) oplysningerne, et såkaldt behandlingsgrundlag. Det kan – så længe der er tale om almindelige personoplysninger – f.eks. være, at man som dataansvarlig har en retlig forpligtelse til at videregive oplysningerne, eller en legitim interesse i videregivelsen, som ikke overstiger f.eks. lejerens interesse i, at dennes oplysninger ikke videregives. Det er en afvejning, man som dataansvarlig er forpligtet til at foretage.



Den konkrete sag: Ejendomsadministrator politianmeldt for videregivelse af personoplysninger


I sagen, der er offentliggjort på Datatilsynets hjemmeside (2019-441-1480)[HAM1] , bistod et administrationsselskab med salg af tre ejendomme ejet af en boligfond. Ejendomsadministrator videregav i den forbindelse utilsigtet fortrolige og følsomme oplysninger om lejerne i de omhandlende ejendomme og blev på baggrund heraf politianmeldt og indstillet til en bøde på kr. 150.000.


I den konkrete sag lagde man til grund, at både ejer af ejendommen og ejendomsadministrator var selvstændige dataansvarlige. Man lagde her vægt på, at administrator havde så selvstændig en rolle i forhold til behandlingen af lejere og udlejeres oplysninger, at man ikke kunne sige, at administratoren handlede efter instruks. Kritikken i sagen og den indstillede bøde var begrundet i flere forhold, som alle relaterede sig til gennemførelse af tilbudspligt ved overdragelse af en ejendom.


Ejendomsadministratoren havde for det første udleveret 424 USB-nøgler med bl.a. lejekontrakter, som ved en fejl indeholdt dokumenter med flere personnumre og en enkelt helbredsoplysning. Dét udgjorde et brud på persondatasikkerheden, fordi manglende sikkerhedstiltag resulterede i, at der uden behandlingsgrundlag blev videregivet fortrolige og følsomme oplysninger.


For det andet fik ejendomsadministrator udtalt alvorlig kritik for – i forbindelse med samme tilbudspligt – endnu en gang at have videregivet personoplysninger ved en fejl. Denne gang var der på de udleverede USB-nøgler til beboerne i én af de omhandlende ejendomme en liste med oplysninger om beboerne i en af de andre ejendomme. Listen indeholdt oplysninger om adresse, beløb på depositum, beløb på forudbetalt husleje og i nogle tilfælde oplysninger om, at der f.eks. var foretaget udlæg i depositum. Der var således – cirka 14 dage efter det første brud – endnu en gang sket et brud på persondatasikkerheden. Også denne gang pga. utilstrækkelig sikkerhed, idet ejendomsadministratoren ikke havde gjort nok for at sikre, at personoplysninger ikke blev videregivet til uvedkommende.


Endelig fik ejendomsadministratoren alvorlig kritik for ikke at have anmeldt det andet sikkerhedsbrud til Datatilsynet indenfor de 72 timer, som man efter GDPR er forpligtet til.


Det er værd at fremhæve, at den alvorlige kritik blev givet på trods af, at administratoren rent faktisk havde gjort en indsats for at overholde GDPR i forbindelse med gennemførelse af tilbudspligten. Først og fremmest havde administratoren generelt haft fokus på dataminimering og bl.a. anonymiseret retsbogsudskrifter, afgørelser fra huslejeankenævnet og restancelister. Dernæst havde ejendomsadministratoren faktisk rådført sig med et eksternt revisionsselskab forud for anden udlevering af USB-nøglerne. Dette ændrede dog ikke ved afgørelsens udfald, bl.a. fordi fejlen ifølge Datatilsynet havde været nem at opdage, men tilsynet noterer da, at det udgjorde en formildende omstændighed.



Hvad stiller man så op i praksis?


Afgørelsen illustrerer, at der i forbindelse med gennemførelse af tilbudspligt, er en række af forpligtelserne i GDPR, som kommer i spil. Det er vanskeligt at forudsige, hvor Datatilsynet vil sætte baren i en konkret sag, men her er et forsøg på at opridse de væsentligste forpligtelser ved håndtering af udbudsmaterialet.


Behandlingsgrundlaget


I forbindelse med salg af fast ejendom vil man som ejer have en berettiget og legitim interesse i at kunne sælge sin ejendom og stille de oplysninger til rådighed, der er nødvendige i den forbindelse. Udløser et potentielt salg også en tilbudspligt, har man desuden en retlig forpligtelse i lejeloven til at give alle lejerne sædvanlige oplysninger om ejendommen, herunder om lejerforholdene. ”Sædvanlige oplysninger” er i denne sammenhæng som udgangspunkt de samme oplysninger, som en køber ville kræve adgang til i forbindelse med gennemførelse af en due diligence undersøgelse af ejendommen forud for et køb. Det var også det, der var tilfældet i den aktuelle sag.


Dataminimering


Udover at vurdere om videregivelsen i sig selv har et behandlingsgrundlag, skal man være opmærksom på det ekstra lag, der også er omtalt ovenfor – dataminimering. Der skal ikke udleveres flere oplysninger til en potentiel køber end hvad der er nødvendigt for at vurdere ejendommen. Selvom du som ejer har en retlig forpligtelse til at stille oplysninger om lejeforhold til rådighed for lejerne, skal personoplysninger (f.eks. navne på lejerne) fjernes fra materialet, hvis ikke de er nødvendige at have stående i dokumenter som lejerlister, lejekontrakter, klager, indsigelser, indflytningsrapporter og referater fra generalforsamlinger.


Hvis det ikke engang er nødvendigt at vide, at det lige er lejeren i 1. th., der har særlige vilkår i en konkret lejekontrakt, så slet den del af adressen. Så snart ejendommen er overdraget, overtager ny ejer al materialet i ikke anonymiseret stand og bliver dataansvarlig for behandlingen af alle oplysninger.


Overvej altid konkret, hvad der er nødvendigt at videregive i selve tilbudsmaterialet. Det er den dataansvarliges ansvar, at der ikke sker ulovlig videregivelse af personoplysninger. Hvis man er i tvivl om, hvorvidt et navn, en adresse eller anden oplysning skal anonymiseres – så anonymiser den. Køber eller lejerne har altid mulighed for at spørge, hvis de mener, at en oplysning er relevant, og så må man konkret vurdere, om oplysningen er nødvendig for købsbeslutningen og dermed lovligt kan udleveres.


Risikovurderinger og sikkerhed


En del af kritikken i den omtalte sag blev givet for manglende overholdelse af kravet om risikovurderinger og sikkerhed. Det er altid en konkret vurdering, men generelt kan man sige, at hvis der er tale om fortrolige oplysninger, som f.eks. restancelister eller oplysninger om udlæg, der indikerer noget om en persons økonomi, stilles der endnu højere krav til sikkerheden, herunder til anonymisering, så oplysningerne ikke kan tilbageføres til en bestemt person. Her er det ekstra vigtigt, at hverken navn eller adresse fremgår af listerne. Det samme gælder som udgangspunkt lister over tvister og retssager.


Forpligtelser ved brud på datasikkerheden


Endelig skal man huske, at hvis der helt generelt sker en fejl i behandlingen af personoplysninger (f.eks. en fejlsendt mail med personoplysninger i), så skal man overholde de forpligtelser, der udløses i forbindelse med et sikkerhedsbrud. Udgangspunktet er, at der skal ske anmeldelse til Datatilsynet indenfor 72 timer, og at bruddet skal dokumenteres i en log, og hertil kommer så yderligere forpligtelser, hvis der er tale om et brud med en høj risiko. Er der tale om et større sikkerhedsbrud, anbefales det, at man søger rådgivning, så der rettidigt bliver dannet et overblik over det pågældende brud og givet de nødvendige oplysninger videre til tilsynet samt evt. de personer, der er impliceret i bruddet.











Tilbage