Om hamstring og datakirkegårder i personopplysningslovens tid

Eiendomsmeglere og foretak har stor tilgang på personopplysninger og bransjen har i stor grad lagt seg til arbeidsmetoder som innebærer at man gjør bruk av og lagrer personopplysninger, blant annet til markedsføringsformål, i stort monn.

Av: Terje Bergem, høyskolelektor ved Handelshøyskolen BI og advokat – Artikkelen ble først publisert i Eiendomsmegleren nr. 3 2020)

For å opprettholde tilliten til eiendomsmeglingsbransjen er det viktig at både foretak og den enkelte ansatte respekterer personvernlovgivningen, herunder «grunnleggende personvernprinsipper». Europeiske datatilsyn har siden ikrafttredelsen av GDPR både vist evne og vilje til å påtale brudd på grunnleggende personvernprinsipper, noe som både kan ha en betydelig økonomisk og omdømmemessig nedside. Vi har også blitt kjent med det som kanskje blir årets nyord; «datakirkegård».

Først med GDPR (General Data Protective Regulative) har vi for alvor fått fokus på bruk og lagring av personopplysninger. Dette til tross for at store deler av GDPR har vært norsk lov i og med personopplysningsloven av 2000.

GDPR ble norsk rett gjennom personopplysningsloven av 15.6.18 som trådte i kraft 20.7.2018. Med dette ble også Datatilsynet utstyrt med nye sanksjonsbestemmelser som har fått bred oppmerksomhet i media, og de fleste har nok hørt om muligheten for bøter i størrelsesordenen «4 % av global omsetning».

Det kan virke som at det nye bøteregimet var det som skulle til for at næringslivet, herunder eiendomsmeglingsbransjen, for alvor fikk øynene opp for reglene knyttet til personvern.

Økt fokus på – og respekt for – personvern kommer blant annet til uttrykk gjennom oppslag i media, samt næringslivets massive «samtykkehøsting» i ulike kanaler. Fokus på samtykker er bra, siden behandling av personopplysninger ikke er tillatt uten at det foreligger et såkalt gyldig behandlingsgrunnlag.

Samtykke gir behandlingsgrunnlag for en gitt bruk av personopplysninger, men ev. kontroll på reglene knyttet til «samtykke» er på ingen måte saliggjørende mht. å være å være på riktig side av personopplysningsloven. Men det er en god start.

Kravet til «formålsbegrensning», «dataminimering» og «lagringsbegrensning»

Personopplysningsloven stiller også krav til ivaretakelsen av andre grunnleggende personvernsprinsipper, slik som prinsippene om formålsbegrensning, dataminimering og lagringsbegrensning. Det kan virke som om disse har kommet noe i skyggen jf. ovennevnte fokus på å innhente samtykker.

Kjernen i hensynet til lagringsbegrensning er at det ikke er tillatt å lagre opplysninger lenger enn det som er nødvendig for å realisere formålet de ble innhentet for. Hva formålsbegrensning angår er kortversjonen at personopplysninger ikke kan benyttes for annet formål enn de ble innhentet for. I dataminimering ligger at man ikke kan innhente og lagre opplysninger utover det som er nødvendig for å realisere formålet med behandlingen. Trenger man f.eks mobilnummer for å sende en salgsoppgave på e-post?

Når man ikke lenger har bruk for opplysningene for formålet de ble innhentet for, så skal de slettes. En kan se for seg at ulike typer opplysninger slettes til ulike tidspunkt.

Arkiveringsplikt (og rett) og markedsføring

Samtidig har vi eiendomsmeglingsforskriften § 3-7 annet ledd som pålegger meglerforetak arkiveringsplikt for «alle dokumenter som er mottatt eller utarbeidet av foretaket i forbindelse med det enkelte oppdrag». Arkivplikten (og «retten») gjelder iht, tredje ledd i «minst 10 år», og skal altså tjene formålet «arkiv».

Eiendomsmeglere har – selvsagt – fokus på å skaffe til veie nye oppdrag, og har for dette formål tatt vare på personopplysninger som telefonnummer, e-post og navn på personer man en eller annen gang har vært i kontakt med. Dette kan være tidligere kjøpere eller selgere, men også personer som en eller annen gang på et eller annet vis har tilkjennegitt interesse for en bolig, enten ved at de innga et bud, lastet ned en salgsoppgave eller var på visning.

Med (sviktende) hjemmel i emf. § 3-7 tror jeg mange eiendomsmeglere og meglerforetak løper stor risiko for å være i brudd med personopplysningloven. Ikke bare fordi at opplysninger kan brukes i strid med formålet, men også fordi at lagringen i seg selv er ulovlig.

Er opplysninger om interessenter mv. gjerne «listeført», et «dokument … mottatt eller utarbeidet i forbindelse med det enkelte oppdrag», og dermed noe man har lagringsplikt – og rett – for?

Fokuset på å skaffe nye oppdrag tror jeg kan medføre risiko for at man fristes til å strukturere og benytte personopplysninger som nevnt, der lagringen i seg selv til alt overmål kan være ulovlig, blir stor. Husk dessuten; å strukturere personopplysninger er i seg selv en behandling noe som igjen krever behandlingsgrunnlag.

For eiendomsmeglere og foretak tror jeg det kan være nyttig å stille seg følgende spørsmål:

• har man gode rutiner som sikrer at personopplysninger man ikke lenger har bruk for – eller lagringsplikt for – slettes tidsnok?
• har man også rutiner og systemer som sikrer at opplysninger man har rett og plikt til å lagre, også kun benyttes for dette formålet?
• har man gode rutiner og systemer som hindrer at ikke andre enn de som har behov for tilgang, har tilgang?
• har man rutiner som sikrer at personopplysningene lagres på nærmere definert sted?
• har man store mengder ustrukturerte data med navn, nummer og e-post som lever sitt eget liv under fanen «arkivplikt»?

Kravet til «innebygd personvern»

For å sikre at den enkeltes personvern ivaretas, herunder at prinsippene om formålsbegrensning og lagringsbegrensning ivaretas oppstiller GDPR artikkel 25 krav om såkalt «innebygd personvern». Kortversjonen av dette er at både den som bruker og utvikler datasystemer plikter å designe dette slik at systemet i seg selv legger til rette for effektiv ivaretakelse av grunnleggende personvernprinsipper. Stikkord i denne sammenheng er at systemene må gjøre det enkelt å slette personopplysninger man ikke har lov til å ha lagret, samt at systemene legger til rette for at opplysningene man har lov til å lagre ikke benyttes for andre formål enn de er lagret for.

«Er det så farlig?»

Fokuset på personvern er helt i startgropen.

Noen tenker; «er det så farlig å lagre navn, telefonnummer og e-post? «Er det så farlig å bli oppringt av en megler, eller å motta en SMS fra en megler?» Eller en uskyldig e-post eller SMS med tilbud om «uforpliktende verdivurdering» ledsaget av hilsninger om at både «jul, påske og sommer blir fin»?

Den enkeltes subjektive oppfatning av hva som er «farlig» og ikke, er i denne sammenhengen ikke så relevant. Mer relevant er loven, og det kan virke som «noen» synes det er «farlig». Og disse «noen» er ikke hvem som helst, men ulike europeiske datatilsyn som mer enn en gang har utvist vilje og evne til å benytte bøtehjemlene de er utstyrt med i kraft av GDPR.

Dette har blant annet en møbelforhandler og et taxiselskap i Danmark, samt en boligutleier i Tyskland, fått merke.

«Stor- 1,2 millioner DKK»

Først ute var taxiselskapet «Taxa 4×35» som primo 2019 ble ilagt bot på DKK 1 200 000. Hvorfor? Fordi at de hadde lagret en lang rekke mobilnummer «uten saklig formål». Selskapet hadde til alt overmål sletterutiner som innebar at navnet på taxipassasjeren ble slettet slik at man altså kun sto tilbake med det blotte telefonnummeret og turer knyttet til nummeret. Kanskje ikke «så farlig», men like fullt – «uten saklig formål» – og dermed ulovlig. Selskapet forsvarte seg med at «systemet var bygge opp omkring telefonnummer» og at «sletting var vanskelig». Dette ble de ikke hørt med.

«Større – 1,5 millioner DKK»

Våren 2019 var det den danske møbelkjeden «IDdesign» som sto for tur. I forbindelse med tilsyn høsten 2018 avdekket datatilsynet at tre forhandlere benyttet et eldre datasystem der opplysninger om 385 000 tidligere kunder (navn, adresse, e-post, telefonnummer og kjøpshistorikk» var lagret. Kjeden hadde ikke «forholdt seg til» hvor lenge de lovlig kunne lagre opplysningene og i forlengelsen av dette ikke fastsatt frister for når opplysningene skulle slettes. IDdesign ble kritisert både for å ha lagret opplysninger for lenge og for å ikke ha system som sikret sletting ved gitte frister. Resultatet ble bot på DKK 1 200 000.

«Størst – € 14,5 millioner»

Høsten 2019 ble det børsnoterte selskapet «Deutsche Wohnen SE», en betydelig eiendomsaktør (utleie) ilagt bot på € 14,5 millioner (!). Hvorfor? Fordi at de lagret personopplysninger om leietakere for lenge, samt at de ikke hadde systemer («teknisk infrastruktur») som sørget for rettidig sletting. I arkivet fantes store mengder personopplysninger og tysk datatilsyn omtalte arkivsystemet som en «datakirkegård».

Status og veien videre

Enn så lenge har Datatilsynet ikke vært like «på» ovenfor norske virksomheter når det gjelder å dele ut bøter, selv om noen offentlige virksomheter har fått overtredelsesgebyr knyttet til sikkerhetsbrudd. Datatilsynet har imidlertid hatt stort fokus på veiledning og opplæring og næringslivet er nok innrømmet en viss tid til å tilpasse seg. På den annen side tror jeg denne tiden er godt på overtid. Det er kun et spørsmål om tid før også Datatilsynet gjør bruk av sine nyervervede sanksjoner overfor norsk næringsliv. Erfaring tilsier at man kommer til å få mediedekning. Husk; tilsyn kan utløses etter klage fra publikum.

Enten du er eiendomsmegler eller sitter i ledelsen i et meglerforetak; ikke la det bli ditt foretak som blir tatt med buksene nede. Det vil være skadelig for foretakets økonomi og omdømme og ikke minst tilliten til bransjen. En dyktig og fremtidsrettet eiendomsmegler trenger ikke å ta snarveier for å lykkes. Og Norge er full av nettopp slike, dyktige og fremtidsrettede eiendomsmeglere.

Fremtidens eiendomsmegler har ikke bare kontroll på eiendomsmeglingsloven og den omfangsrike jussen knyttet til fast eiendom, men også personopplysningsloven.

GDPR  kommer ikke til å gå over, ta grunnleggende personvernprinsipper på alvor, grav opp likene på datakirkegården, fjern dem, og se; også GDPR kommer til å gå bra.