Fredrik Gustafsson, advokat och specialist på IT-relaterad juridik, reder ut hur den nya dataskyddsförordningen påverkar fastighetsägare.
Den 25 maj 2018 ska EU:s nya dataskyddsförordning (GDPR) börja tillämpas. Den ersätter såväl det nuvarande dataskyddsdirektivet (95/46/EG) som den svenska personuppgiftslagen (PUL).
Advokatbyrån Kahn Pedersen har gjort rapporten, ”GDPR – några tillämpningsfrågor”, som du kan ladda ner och läsa via länken under artikeln.
Hur skiljer sig de här reglerna från nuvarande regler?
GDPR påminner i stora delar om dagens regelverk. På samma sätt som dagens regelverk förutsätter GDPR bland annat att det finns laglig grund för behandlingen av personuppgifter, att de registrerade (till exempel hyresgäster) har informerats om behandlingen och att den som behandlar personuppgifter har vidtagit tillräckliga säkerhetsåtgärder för att tillse att personuppgifterna skyddas.
GDPR utgör även en kodifiering av den rättsutveckling som har ägt rum inom EU under de senaste åren. Ett exempel är rätten att bli bortglömd (”right to be forgotten”), som ursprungligen utvecklats i EU-domstolens praxis (se mål nr C-131/12) men som numera uttryckligen framgår av artikel 17 i GDPR.
Av det ovanstående följer att den som är van att hantera frågor kring behandling av personuppgifter och som har hållit sig uppdaterad om rättsutveckling även kommer att känna igen sig i GDPR.
Samtidigt innehåller GDPR ett antal nyheter jämfört dagens regelverk, bland annat:
- Höga sanktionsavgifter (se nedan ”Vad händer om man inte uppfyller kraven”).
- Rätten till dataportabilitet (artikel 20), det vill säga att den som har lämnat sina personuppgifter i vissa fall har rätt att få ut och använda uppgifterna på annat håll.
- Skyldigheten för personuppgiftsansvarig att anmäla säkerhetsincidenter till Datainspektionen (artikel 33).
- Skyldigheten för personuppgiftsansvarig att i vissa fall utföra en så kallad konsekvensbedömning (artikel 35).
- Skyldigheten för personuppgiftsansvariga att upprätta ett så kallat inbördes arrangemang vid gemensamt personuppgiftsansvar (artikel 26).
- För de fastighetsägare som använt sig av den så kallade missbruksregeln är det även viktigt att känna till att denna upphör i och med GDPR.
Till skillnad från dagens dataskyddsdirektiv är GDPR direkt tillämpning i samtliga medlemsstater. GDPR ska således inte implementeras genom nationell lagstiftning.
Istället ska bestämmelserna i GDPR tillämpas av fastighetsägare, myndigheter, domstolar med flera på samma sätt som om de utgjorde nationella författningsbestämmelser.
Förhoppningen är att detta kommer att leda till ett mer enhetligt dataskyddsregelverk inom EU. Samtidigt ger GDPR utrymme för kompletterande nationella bestämmelser av olika slag och det återstår därmed att se i vilken utsträckning som dataskyddet verkligen kommer att harmoniseras inom EU.
I Sverige kommer kompletterande bestämmelser av generell karaktär att samlas i en ny övergripande svensk lag om dataskydd.
Vad får fastighetsägare inte göra?
I korthet måste fastighetsägare uppfylla bestämmelserna i GDPR. Den som behandlar personuppgifter i strid med GDPR kan nämligen drabbas av bland annat sanktionsavgifter.
Sedan innehåller GDPR, liksom dagens regelverk, ett antal förbud. Som exempel kan nämnas att det är förbjudet att behandla så kallade särskilda kategorier av personuppgifter (känsliga personuppgifter), såsom uppgift om hyresgästers hälsa, om det inte finns stöd i någon av GDPR:s undantagsbestämmelser (artikel 9).
Vår erfarenhet är att fastighetshetsägare i relativt stor utsträckning behandlar känsliga personuppgifter. Det är därför viktigt att känna till att behandlingen endast är tillåten om någon av undantagsbestämmelserna är tillämplig, till exempel om hyresgästen har samtyckt till behandlingen.
Ett annat exempel är att det i regel är förbjudet att behandla personuppgifter som rör lagöverträdelser (artikel 10).
Vad måste fastighetsägare göra?
Det är den personuppgiftsansvarige – vilket fastighetsägare ofta är – som ansvarar för att behandlingen av personuppgifter är förenlig med GDPR. Med personuppgiftsansvarig avses den som ensamt eller tillsammans med andra bestämmer ändamål och medlen för behandlingen av personuppgifter.
Många fastighetsägare genomför så kallade GDPR-anpassningsprojekt för att kartlägga sin behandling av personuppgifter och för att identifiera brister i förhållande till GDPR.
Syftet med sådana anpassningsprojekt bör vara att identifiera de huvudsakliga bristerna i förhållande till GDPR. Om målsättning är att identifiera och hantera alla brister i förhållande till GDPR, så finns det en överhängande risk att projektet inte kommer att slutföras och att det blir väldigt dyrt.
Enligt vår erfarenhet uppfyller informationen till de registrerade sällan kraven i GDPR. Vanliga brister i förhållande till GDPR är att det till exempel saknas uppgift om:
- Vem eller vilka som är personuppgiftsansvarig eller personuppgiftsansvariga för behandlingen.
- Rättslig grund för behandlingen.
- Hur länge som personuppgifterna kommer att behandlas.
Information anpassad till GDPR:s krav (se artikel 13-14) ska finnas på plats innan den 25 maj 2018.
Fastighetsägare som inte redan har gjort det bör således tämligen omgående se över informationen till de registrerade, göra nödvändiga ändringar och fundera över hur befintliga hyresgäster med flera ska informeras om ändringarna.
Ett annat område där det ofta finns brister är personuppgiftsbiträdesavtal. Under PUL har biträdesavtal många gånger ingåtts närmast slentrianmässigt, och utan egentlig förhandling mellan parterna.
”Bra” biträdesavtal – vilka tyvärr är ovanliga – kan många gånger leva vidare även under GDPR med mindre justeringar, medan ”sämre” avtal kräver omförhandling. Det enda sättet att göra en sådan bedömning är att gå igenom samtliga befintliga biträdesavtal och analysera avtalsinnehållet utifrån de krav som GDPR ställer.
Eventuella nya biträdesavtal ska vara ingångna före den 25 maj 2018.
Vad är viktigast att tänka på?
Vi menar att det viktigt att behålla en förnuftig och riskorienterad syn på dataskydd.
Vi kommer ofta i kontakt med olika företag som överväger att satsa stora summor pengar på olika tekniska lösningar för att uppfylla GDPR:s krav, såsom att automatisera de registrerades utövande av sina rättigheter under GDPR.
I många fall står dock inte en sådan investering i rimlig proportion till den nytta som uppnås. Det är således viktigt att komma ihåg att det inte finns några egentliga hinder mot att uppfylla GDPR genom manuella åtgärder.
Till detta kommer att många viktiga frågor under GDPR, såsom bedömning av rättslig grund, utformandet av information till de registrerade och utförandet av konsekvensbedömningar, även fortsättningsvis kommer att förutsätta bedömning och ställningstagande i varje enskilt fall av en dataskyddskunnig person.
En viktig aspekt av GDPR är att regelverket ofta kräver en kulturförändring i organisationen. Första steget i en sådan kulturförändring är ökad medvetenhet och kunskap hos den egna personalen.
Därför är en investering i utbildning av anställda, förändring/anpassning av arbetsprocesser, ökad transparens och förbättrade rutiner för dokumentation i många fall mer värdefullt än nya tekniska lösningar.
Vad händer om man inte uppfyller kraven?
Den som behandlar personuppgifter i strid med GDPR kan drabbas av sanktionsavgifter, som kan uppgå till så mycket som 20 miljoner euro eller 4 procent av den globala omsättningen.
Hyresgäster och andra som har lidit skada till följd av felaktig behandlingen av deras personuppgifter kan även ha rätt till skadestånd.
Under PUL uppgick sådana skadestånd sällan till mer än några tusen kronor per registrerad, men det återstår att se om detta även kommer att gälla under GDPR.
Risken för förlust av goodwill i samband med felaktig behandling av personuppgifter får såklart heller inte underskattas.
Hur bör fastighetsägare arbeta med dataskydd?
Vi menar att man bör arbeta långsiktigt med dessa frågor. Även om det är viktigt att uppfylla GDPR per den 25 maj 2018, så upphör inte dataskyddsarbetet i och med detta.
En viktig del i dataskyddsarbetet är att inrätta en organisation som kan hantera dessa frågor och som kan tillse att de informationstexter och andra dokument som har anpassats för GDPR hålls uppdaterade.
Dataskyddsarbetet upphör inte den 25 maj 2018, det är då det verkligen börjar.
Fredrik Gustafsson, advokat
Fredrik Gustafsson är advokat på Advokatfirman Kahn Pedersen och är specialiserad på IT-relaterad juridik. Han har de senaste åren särskilt arbetat med IT-avtal och frågor kring integritetsskydd. Han är även medförfattare till den senaste rapporten i Advokatfirman Kahn Pedersens skriftserie, 2017:2, ”GDPR – några tillämpningsfrågor”. Rapporten finns tillgänglig på Advokatfirman Kahn Pedersens webbplats.
Ladda ner och läs rapporten från Advokatfirman Kahn Pedersen
GDPR – några tillämpningsfrågor
