Mange i ejendomsbranchen er uforberedt på beskyttelse af persondata

Om et år er det alvor med den nye persondataforordning, som strammer reglerne for digitalt at gemme oplysninger om f.eks. medarbejdere og kunder. Der vanker store bøder til de virksomheder, der forsømmer deres nye pligter.

Vi har vænnet os til, at uanede mængder af data flyder ind i computerne – og bliver der. Men den går ikke, når det gælder personlige oplysninger, fastslår persondataforordningen. Fold sammen
Læs mere

Der vil være noget historisk schwung over det, når EUs såkaldte persondataforordning træder i kraft den 28. maj næste år: For første gang bliver de europæiske forbrugeres privatliv beskyttet af en lovgivning, som ikke bare er en videreudvikling af noget gammelt, men som er skabt i og til den digitale tidsalder.

Men det er et schwung, der i første omgang kan komme til ramme mange selskaber lige i nakken. Det gælder f.eks., hvis man ikke inden deadline har slettet de data, man ikke længere må gemme, og hvis der ikke er sat systemer op til at sikre, at man heller ikke fremover lagrer data, man ikke må lagre.

Det er en problemstilling, der er relevant for alle selskaber, der har ansatte. Således er medarbejdernes persondata omfattet af beskyttelsen. Men den gælder også kunder, og her får ikke mindst ejendomsselskaber adgang til ganske følsomme persondata om deres lejere.

Ifølge en opgørelse fra konsulentvirksomheden Devoteam er i hvert fald en tredjedel af virksomhederne endnu stort set på bar bund i henseende til, hvordan de skal håndtere forordningen. Advokat Lars Japp Haslund fra Bech-Bruun, der har specialiseret sig i persondataret, vurderer, at det især er i de mindre og mellemstore virksomheder, der har svage eller slet ingen stabsfunktioner, at man finder problemet.

Oplysninger skal slettes

»Mit indtryk er, at mange brancher forestiller sig, at de ikke er ramt af det her. De opfatter personoplysninger som noget, der handler om for eksempel helbred eller politisk overbevisning, og som de slet ikke ligger inde med. Men de vil blive overrasket. Jeg har haft noget at gøre med nogle ejendomsadministratorer, og der har været opmærksomhed omkring forordningen. Men der er tydeligvis også lang vej at gå endnu. Det har ikke været i fokus,« siger Lars Japp Haslund.

Helt kort fortalt siger forordningen, at virksomhederne skal slette de utallige oplysninger, som bliver lagret om os i digital form, når det oprindelige formål for brugen af dem ikke længere er relevant.

Det gælder uanset om personerne selv har tastet dem ind, for eksempel på Facebook eller i forbindelse med et køb på nettet, eller om personen har udfyldt en lejekontrakt og en medarbejder hos ejendomsselskabet eller administratoren bagefter har tastet dem ind.

Anonymisering af data

Set med ejendomsselskabernes briller vil forordningen også tage noget af gevinsten ved digitaliseringen. Skal man bruge persondata i anden sammenhæng end den oprindelige, skal man således anonymisere dem, og det kan i sig selv være en kompliceret proces.

Hvis f.eks. en lejer på et tidspunkt har haft en restance, må man gemme denne oplysning digitalt, indtil restancen og påfølgende gebyrer er ude af verden, og måske lidt tid efter for at tage højde for eventuelle klager og forældelsesfrister.

Men så er det også slut: Man må ikke gemme oplysningen, blot fordi den siger noget om, hvor sikker lejeindtægten i ejendommen er, og hvorvidt man skal være forsigtig med at lade den pågældende lejer flytte ind i et dyrere lejemål.

Der er imidlertid mange dele i persondataforordningen, der er relevante for ejendomsbranchen.

»I DATEA har vi derfor også brugt persondataforordningen som anledning til en gennemgribende gennemgang og nytænkning af, hvordan vi indsamler, behandler og sletter persondata, selv om vi allerede tager persondatabehandling meget seriøst,« oplyser juridisk chef Niklas Winther Kejlskov.

Han sammenligner det med miljølovgivningen. I dag er den en selvfølge, men det har i sin tid taget tid og krævet omtanke at bygge systemerne op, og det er det tilsvarende arbejde, man lige nu står med i henseende til persondata.

»For en del år siden tænkte man ikke så meget på miljøet. Man gik blot ud i skoven og efterlod sit affald, og så gik man ud fra, at naturen eller nogle andre tog sig af det, eller også var man direkte ligeglad. Det er i høj grad sådan, at både forbrugerne og selskaberne har behandlet persondata. Men der er en større og større erkendelse både i den brede offentlighed og hos ejendomsselskaberne af risikoen ved, at oplysningerne flyder frit og kan blive brugt eller misbrugt på mange forskellige måder,« siger Niklas Winther Kejlskov.

Ny måde at tænke på

Når man skal forholde sig til persondataforordningen og persondatabehandling generelt, må man således til at tænke på en helt anden måde, anfører han.

»Indtil for nylig har den generelle holdning – og dette gælder ikke kun i ejendomsbranchen – nok i høj grad været: ’Jo flere oplysninger, jo bedre, da vi måske får brug for dem på et senere tidspunkt.’ Der er så måske heller ikke fulgt særligt meget op på, hvordan oplysninger er flydt frit internt i virksomhederne, når man først havde dem. Men det følger imidlertid af både de nuværende, og i særlig høj grad de fremtidige, regler om persondatabehandling, at man skal have helt definerede formål med at indhente og behandle persondata, og hvis man vil bruge persondata på andre eller flere måder, skal man i dialog med dem, der har leveret oplysningerne,« siger Niklas Winther Kejlskov og nævner håndtering af e-mails som et eksempel:

»For det første skal tendensen til at sætte en masse personer cc i mails i høj grad skal begrænses, når de indeholder persondata, og man er således nødt til at foretage et aktivt valg om, hvem der rent faktisk har behov for oplysningerne. For det andet skal man sørge for, at mails med persondata bliver slettet inden for en rimelig tid.«

Konkret håndhævelse

Formelt set er persondataforordningen trådt i kraft – det skete for godt et år siden. Men fra maj næste år finder den også anvendelse, således at myndighederne begynder at håndhæve den konkret.

Det vil sige, at virksomhederne vil blive straffet, hvis de ikke overholder forordningen. Og der er lagt ganske hårde strafferammer ind – bøderne kan være op til 20 mio. euro eller 4 pct. af virksomhedens globale omsætning, afhængig af hvilket beløb der er højest.

Strafbare forhold omfatter også det, at man ikke har opsat de formelle processer til at efterleve forordningen. Niklas Winther Kejlskov opfordrer virksomhederne til skabe sig et overblik over de mange nye regler – eventuelt ved hjælp af juridisk rådgivning.

Men under alle omstændigheder vil der sandsynligvis gå en række år, før der er klarhed over, hvordan de mange detaljer i loven præcis skal opfattes.

»Meldingen fra det danske datatilsyn er, at man begynder at håndhæve forordningen i maj 2018. Men derefter skal de have nogle sager og klager, som de skal undersøge, og hvis der bliver udstedt meget store bøder, vil jeg tro, at de fleste virksomheder vil udfordre vurderingen. Så vil der gå en del tid, inden domstolene har taget stilling til sagerne,« siger Lars Japp Haslund.