GDPR – Hva betyr det for vår virksomhet?

Eiendomsmeglere er i likhet med alle andre virksomheter som behandler opplysninger om kunder og ansatte bundet av personvernlovgivningen. Dette får betydning når personverndirektivet – GDPR trer i krav i mai 2018.

Av: Senioradvokat Nina Thjømøe, Homble Olsby

Den 25. mai 2018 trer EUs nye personvernforordning GDPR – The General Data Protection Regulation – i kraft, og vil fra samme tidspunkt også få anvendelse i Norge.

En vesentlig del av de reglene som gjelder i dag, vil videreføres også etter implementeringen av GDPR. Nedenfor følger derfor en kort gjennomgang av de viktigste reglene for behandling av personopplysninger i gjeldende regelverk:

Forfatteren: Nina Elisabeth Thjømøe hos Advokatfirmaet Homble Olsby

Hva er personopplysninger?

Personopplysninger er opplysninger eller vurderinger som kan knyttes til enkeltpersoner, for eksempel navn, telefonnummer, adresse, e-postadresse, bilnummer, bilder, fingeravtrykk og fødselsnummer. Opplysninger om en persons adferdsmønster er også regnet som personopplysninger, for eksempel hvor vedkommende handler, hva man søker etter på nettet mv.

Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

Les også: Hvem eier bildet?– om bruk av bilder tatt i forbindelse med megleroppdrag

Behandlingsgrunnlag

For å kunne behandle personopplysninger må virksomheten ha et lovlig behandlingsgrunnlag for behandlingen. Dette kan enten være samtykke fra vedkommende personopplysningene gjelder eller positiv hjemmel i lov. Etter personopplysningsloven kan virksomheter i tillegg behandle personopplysninger dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern.

Grunnkrav til behandling av personopplysninger

Behandling av personopplysninger innebærer etter personopplysningsloven enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

Personopplysningene kan kun brukes til angitte og spesifikke formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet. Eiendomsmeglerselskapet kan for eksempel ikke bruke personopplysninger om kunder i markedsføringsøyemed, dersom opplysningen opprinnelig kun ble hentet inn for å utføre et konkret oppdrag.

Det stilles også krav til kvaliteten av opplysningene som behandles – de må være relevante for det formålet de skal benyttes til, korrekte og oppdaterte.

Informasjonssikkerhet og internkontroll

Virksomheten skal ved behandling av personopplysninger sørge for sikring av opplysningenes i) konfidensialitet ii) integritet og iii) tilgjengelighet. Sikkerhetstiltakene skal dokumenteres.

Virksomheter som behandler personopplysninger har plikt til å etablere rutiner for å sikre at kravene personopplysningsloven og -forskriften stiller til behandling av personopplysninger etterfølges (internkontroll).

Innsynsrett og informasjonsplikt

Enhver som ber om det, har rett til å få innsyn i hvordan en virksomhet behandler personopplysninger. Denne retten gjelder uavhengig av om man er registrert eller ikke. Den registrerte har i tillegg rett til å få innsyn i hvilke opplysninger som er registrert om dem, og hvilke sikkerhetstiltak virksomheten har ved behandlingen.

Retting og sletting

Den registrerte kan kreve at mangelfulle eller uriktige personopplysninger rettes.

Personopplysninger skal ikke behandles lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.

Databehandler

En databehandler er en virksomhet som helt eller delvis behandler personopplysninger på vegne av et annet selskap, typisk en ekstern leverandør av virksomhetens IT-løsning. Forholdet mellom databehandleren og behandlingsansvarlig skal være regulert i en databehandleravtale, og databehandleren kan ikke behandle personopplysninger på annen måte enn det som følger av databehandleravtalen.

Overføring til utlandet

En overføring av personopplysninger til en adresse eller en server utenfor Norge innebærer overføring av personopplysninger til utlandet. Personopplysninger kan kun overføres til stater som sikrer en forsvarlig behandling av personopplysningene. Land som har implementert det gjeldende EU-direktivet 95/46/EF oppfyller dette kravet.

Melde- og konsesjonsplikt

Når en virksomhet skal registrere eller behandle personopplysninger elektronisk, eller sensitive personopplysninger manuelt, skal det sendes melding til Datatilsynet før behandlingen starter. Meldingen er ment som en orientering til datatilsynet og er vanligvis gyldig i tre år.

Unntatt fra meldeplikten er registrering og behandling av personopplysninger knyttet til kunder og nåværende eller tidligere ansatte. Meldeplikten vil gjelde hvor eiendomsmeglerforetaket registrer personopplysninger om andre, for eksempel potensielle kjøpere.

Ved behandling av sensitive personopplysninger kreves konsesjon fra Datatilsynet. Vi antar at dette er lite praktisk for eiendomsmeglere.

Sanksjoner

Datatilsynet er ansvarlig for å håndheve personopplysningsloven. Ved overtredelser kan Datatilsynet pålegge overtrederen å betale et gebyr på inntil 10 ganger grunnbeløpet i folketrygden (G) (ca. 930.000 kr p.t.).

Datatilsynet kan også kreve at behandling av personopplysninger i strid med personopplysningsloven skal opphøre, eller stille vilkår for behandlingen. Datatilsynet kan videre fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse, til pålegget er oppfylt.

Ved brudd på visse lovbestemte plikter kan straff i form av bøter eller fengsel ilegges, eventuelt begge deler. I noen tilfeller kan det også bli aktuelt med erstatning.

Les også: Risikofylte transaksjoner – hva skal eiendomsmegler være oppmerksom på

Hva er nytt med GDPR?

Nedenfor gis en oversikt over de viktigste endringene i forordningen, hensyntatt hva som vil være mest relevant for eiendomsmeglere:

Skjerpede krav til samtykke

GDPR skjerper kravene til hva som er et gyldig samtykke. Samtykke skal gis ved en aktiv handling eller tydelig bekreftelse. Forhåndsavkryssede bokser eller taushet vil dermed ikke tilfredsstille kravene til samtykke under GDPR. Samtykket må videre være frivillig, spesifikt, informert og utvetydig for å være gyldig.

Etter forordningen skal samtykke avgis separat for hvert enkelt formål, og det skal kunne trekkes tilbake like lett som det ble avgitt.

Krav til klart språk og krav til åpenhet

GDPR får konsekvenser for hvordan personvernerklæringer og brukervilkår kan utformes. Informasjon om hvordan personopplysninger behandles skal gis på en klar og tydelig måte. Informasjonen skal være lett tilgjengelig og sikre åpenhet om behandlingen.

Formål

Også etter GDPR er det forbudt å bruke personopplysninger til formål som er uforenlige med det opprinnelige formålet de ble samlet inn for. Nytt med forordningen er imidlertid at den inneholder en mer detaljert regulering av hva som er forenlige formål.

Databehandler

Databehandlere får mer omfattende lovfestede plikter etter GDPR sammenlignet med gjeldende rett, og kravene til hva en databehandleravtale skal inneholde lovfestes.

Nye rettigheter for den registrerte

GDPR gir den registrerte en rekke nye rettigheter, herunder rett til å ta med seg data mellom virksomheter (dataportabilitet).

Andre nye rettigheter som registrerte får i medhold av GDPR er retten til å få behandlingen av personopplysningen begrenset, retten til å motsette seg en behandling, og retten til å motsette seg profilering og automatiserte avgjørelser.

Videre styrkes retten til å bli glemt (få personopplysninger slettet).

Innrapportering av brudd

Brudd på personopplysningsloven skal etter ny personvernlovgivning rapporteres til Datatilsynet uten ugrunnet opphold, og senest 72 timer etter å ha fått kjennskap til sikkerhetsbruddet. I visse tilfeller skal også den registrerte informeres om bruddet.

Skjerpede sanksjoner

Mye av grunnen til at GDPR har fått så mye oppmerksomhet, er at bøtenivået for brudd økes betraktelig sammenlignet med nivået i någjeldende personopplysningslov. Etter GDPR får tilsynsmyndighetene mulighet til å ilegge overtrederen et gebyr på opptil 20 millioner euro, eller inntil 4 % av virksomhetens samlede globale årsomsetning forutgående regnskapsår.

Det er foreslått at straffebestemmelsen i någjeldende personopplysningslov bortfaller.

Innebygget personvern

GDPR oppstiller et krav om innebygd personvern (‘’data protection by design and by default’’). Kravet innebærer at virksomheter må bygge personvern inn i alle løsninger, systemer og tjenester som brukes for å behandle personopplysninger. Personvern skal være standardinnstilling, og man skal iverksette tekniske og organisatoriske tiltak for å sikre gjennomføring av personvernprinsippene.

Meldeplikt- og konsesjonsplikt forsvinner

Dagens ordning med melde- og konsesjonsplikt forsvinner, og erstattes med krav til virksomheten om å vurdere forhåndsdrøftinger med tilsynsmyndigheten og å foreta personvernkonsekvensutredning. Sistnevnte blir trolig mest aktuelt hvor det er tale om behandling av sensitive opplysninger i stor skala.

Hva bør virksomheter gjøre nå?

Vi anbefaler at virksomheter allerede nå setter seg inn i de nye reglene som trer i kraft i mai 2018.

Bedriften bør starte med å kartlegge hvilke personopplysninger de behandler, og klargjøre hva som er formålet med behandlingen og om virksomheten har et lovlig behandlingsgrunnlag.  Videre bør det etableres rutiner for blant annet innhenting av samtykke der det er nødvendig, sletting av opplysninger og avvikshåndtering. Ovennevnte bør dokumenteres i en internkontrollrutine.

Virksomheter som har god oversikt over behandlingen av personopplysninger, har god internkontroll og behandler personopplysninger i tråd med gjeldende regler vil ha et godt utgangspunkt for tilpasning til GDPR.

Er du usikker på hvordan din virksomhet skal forholde deg til de nye personvernreglene bør du søke juridisk rådgivning. Å ikke overholde GDPR kan få store konsekvenser for din virksomhet, både økonomisk og omdømmemessig.

Artikkelen stod første gang på trykk i Eiendomsmegleren nr 6-2017

Homble Olsby

Homble Olsby er et forretningsjuridisk advokatfirma som er spesialisert innen arbeidslivets juss. I tillegg bistår vi våre klienter innen generell forretningsjuss, herunder selskapsrett, kontraktsrett, fast eiendoms rettsforhold, transaksjoner m.v. Våre kunder er i hovedsak større og mindre bedrifter, både fra det private næringsliv og det offentlige, men vi yter også bistand til privatpersoner, særlig i arbeidsrelaterte saker.

Vi legger vekt på å oppnå en personlig kontakt med våre klienter. På denne måten ønsker å vi oppnå en åpen og konstruktiv dialog som sammen med juridisk spisskompetanse, gir grunnlag for råd som hensyntar både juridiske og forretningsmessige aspekter ved klientenes virksomhet.

NEFs medlemmer får gode medlemsfordeler ved rådgivning hos Homble Olsby. Les mer her!