Denne artikel gennemgår, hvordan du som udlejer skal forholde dig til gældende lovgivning vedrørende persondataforordningen (GDPR), når du udlejer boliger og i den forbindelse indsamler og behandler data om dine lejere.
Opret sikker lejekontrakt iht. GDPR
Opret sikker flytterapport iht. GDPR
Persondataforordningen og databeskyttelsesloven for boligudlejere
Som professionel udlejer er det væsentligt for dig at kende til de såkaldte GDPR- regler, idet du ellers risikerer at behandle dine lejers personoplysninger ulovligt. Overtrædelse af persondataforordningen (herefter forkortet PDF) kan nemlig medføre et erstatningskrav fra lejer og/eller en bøde fra tilsynsmyndigheden. Herudover er der stor risiko for, at en virksomhed, der ikke overholder reglerne for GDPR, får et skadet omdømme – hvilket kan besværliggøre din udlejning i fremtiden.
GDPR
GDPR er den engelske forkortelse af General Data Protection Regulation, som er det, vi i Danmark omtaler som persondataforordningen (PDF)*. Betegnelsen databeskyttelsesreglerne udgør både persondataforordningen og databeskyttelsesloven.
*Vær opmærksom på, at persondataforordningen ligeledes kan være omtalt som databeskyttelsesforordningen, hvilket er præcis det samme.
Når du fungerer som professionel udlejer, har du siden den 25. maj 2018 været forpligtet til at indrette dig efter PDF. Desuden er du forpligtet til at indrette dig efter en supplerende lov til PDF kaldet databeskyttelsesloven (DBL), der muliggør en række handlinger, der ikke er indeholdt i PDF. Disse handlinger indebærer bl.a.: udtagelse af oplysninger fra oplysningspligten og indsigtsretten samt muligheden for, på en række nærmere betingelser, at behandle følsomme oplysninger.
PDF er gældende, når du behandler enhver form for oplysninger, som siger noget om fysiske personer i din udlejningsvirksomhed – det vil sige blandt andet når du som udlejer behandler oplysninger om lejere. Fysiske personer omfatter individer, såvel som enkeltmandsvirksomheder, idet der ikke skelnes mellem oplysninger om ejeren som individ og oplysninger om virksomheden.
Databeskyttelsesreglerne er gældende, når du behandler personoplysninger, der helt eller delvist er foretaget ved hjælp af automatisk databehandling. Herudover er reglerne gældende ved anden ikke-automatisk behandling af personoplysninger, der opbevarer oplysningerne i et register. Automatisk databehandling er databehandling foretaget elektronisk, mens ikke-automatisk databehandling er den manuelle behandling af personoplysninger.
Såfremt du ønsker at anvende automatisk databehandling som udlejer f.eks. ved hjælp af en digital lejekontrakt, opfordrer vi dig til at anvende BoligPortals digitale lejekontrakt, der understøtter datahåndtering, som lever op til reglerne i PDF.
Det er dog også muligt at opbevare dine lejekontrakter i et register, som ikke er opbevaret digitalt. Dette er omfattet af definitionen ikke-automatisk databehandling, der ligeledes er omfattet af databeskyttelsesreglerne.
PDF er derimod ikke gældende, hvis du behandler personoplysninger, som er indhentet af en fysisk person, men som led i en personlig eller familiemæssig aktivitet.
Det vil sige, at hvis du er privat udlejer og enten kun udlejer ét lejemål eller blot udlejer et værelse til en roomie, så skal du ikke forholde dig til reglerne i PDF, som vi gennemgår nedenfor.
Personoplysninger du indhenter som boligudlejer
En personoplysning er enhver form for information, der fortæller noget om en bestemt person. Man skelner i dette tilfælde mellem følsomme personoplysninger og almindelige personoplysninger, hvor du som boligudlejer almindeligvis primært beskæftiger dig med almindelige personoplysninger.
De almindelige personoplysninger er også kaldt de ikke-følsomme personoplysninger. De oplysninger, du som udlejer, formentlig vil beskæftige dig med, er netop de almindelige personoplysninger, hvilket ligeledes omfatter oplysningerne i en almindelig standardkontrakt (Typeformular A, 9.udgave).
Eksempler på almindelige personoplysninger er i høj grad identifikationsoplysninger, såsom navn og adresse, hvilket altid skal noteres i en lejekontrakt. Herudover kan det være oplysninger om økonomiske forhold, kundeforhold eller lignende.
Som udlejer har du typisk ikke med dine lejers følsomme personoplysninger at gøre. De følsomme oplysninger omfatter blandt andet race eller etnisk oprindelse, politisk, religiøst eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold.
De kategorier af personoplysninger, som databeskyttelsesforordningen opstiller, er:
- de almindelige personoplysninger
- de følsomme personoplysninger
- oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger
Eftersom den sidstnævnte kategori omkring straffedomme ikke har relevans for dig som boligudlejer, så gennemgår vi blot de 2 første kategorier nedenfor.
CPR-nummer er ikke en del af de følsomme personoplysninger, der skal overholde reglerne for GDPR. Alligevel er et CPR-nummer en fortrolig oplysning, og DBL indeholder hermed relevante oplysninger om, hvornår din private virksomhed må indhente, registrere og bruge oplysning om lejers CPR-nummer.
Når du som udlejer anvender en standard lejekontrakt, typeformular A9, fremgår CPR-nummer ikke. Vælger du alligevel at anmode om lejers CPR-nummer skal der til enhver tid gives udtrykkelige samtykke hertil, ellers kan det ikke kræves på lejekontrakten. Der foreligger ingen formkrav til dette samtykke, men af bevismæssige årsager anbefaler vi, at det gøres skriftligt. Herudover skal du have en relevant og saglig begrundelse til at få oplyst lejers CPR-nummer, hvilket er reguleret i såvel markedsføringsloven som i DBL.
Boligudlejers pligter ved behandling af personoplysninger
Når du som udlejer skal følge reglerne for GDPR, er der et par øvrige pligter i forbindelse med behandling af lejers personoplysninger, som du bør være særligt opmærksom på. Disse øvrige regler er:
- oplysningspligten
- indsigtsretten og
- lejers rettigheder til at berigtige og få slettet oplysninger.
Oplysningspligten er lejers ret til at få besked om, at du behandler personoplysninger om vedkommende. Du har som dataansvarlig ansvaret for at opfylde en oplysningspligt i forbindelse med, at du indsamler personoplysninger direkte fra lejer, såvel som fra en anden kilde end lejer.
Oplysningspligten indebærer oplysninger om formålet med din besiddelse af oplysningerne, hjemmel for at behandle oplysningerne og lejers rettigheder indeholdt i PDF og DBL. Det gør du ved at skrive oplysningerne direkte ind i lejekontrakten hver gang, der indgås en ny aftale om et lejemål. Der er ingen oplysningspligt, hvis der skiftes ejendomsadministrator, eller hvis oplysningerne anonymiseres.
Indsigtsret er lejers ret til at se de oplysninger om vedkommende, du som udlejer er i besiddelse af og behandler. Det skal være let gennemskueligt for lejer at få adgang til denne indsigtsret, og oplysningerne skal sendes på en overskuelig måde, hvilket mest oplagt sker elektronisk.
Såfremt lejer beder om indsigtsret, har du pligt til at sende samtlige oplysninger om pågældende lejer uden at tage betaling for det. Du kan som udlejer bede lejer konkretisere, hvilke oplysninger, lejer ønsker at få indsigt i.
For overskuelighedens skyld er det mest optimalt, at du som udlejer laver nogle mapper eller anden form for systematisering af de personoplysninger, du er i besiddelse af, så oplysningerne altid er lettilgængelige.
Lejer kan have et ønske om at berigtige nogle oplysninger, f.eks. fordi lejer har skiftet navn. Det er herefter dit ansvar som dataansvarlig at ændre det oprindelige dokument eller lave et notat med de relevante berigtigelser. Dette kan f.eks. gøres i en allonge til lejekontrakten.
Ønsker lejer at få slettet alle sine oplysninger, så har lejer lovkrav på dette, medmindre du som udlejer har et retskrav på fortsat at opbevare de pågældende oplysninger.
Lejer har ret til at modtage personoplysninger om sig selv i et struktureret, almindeligt anvendt og læsbart format. I øvrigt har lejer ret til at transmittere oplysningerne til en anden virksomhed. Lejer kan ligeledes bede om at få oplysningerne sendt direkte fra dig som dataansvarlig til en anden myndighed eller virksomhed.
Hvornår behandler en boligudlejer personoplysninger?
Det er vigtigt for dig, som udlejer, at være klar over, hvornår du behandler personoplysninger om lejere, da du skal overholde databeskyttelsesreglerne hver gang, du behandler personoplysninger.
Behandling af personoplysninger
At behandle personoplysninger omfatter mange former for håndtering af personoplysninger. Herunder kan blandt andet nævnes indsamling, registrering, organisering, opbevaring samt ændring af personoplysninger.
Begrebet “behandling” af personoplysninger er altså en samlebetegnelse for alle former for håndtering af personoplysninger. Derfor er det underordnet, hvordan du håndterer lejers personoplysninger, da du altid skal følge databeskyttelsesreglerne, når du har med personoplysninger at gøre.
Eksempler på boligudlejers håndtering af lejers personoplysninger
Nedenfor gennemgår vi nogle konkrete eksempler på, hvornår du som boligudlejer behandler lejeres personoplysninger, og hvordan du skal agere i en sådan situation.
Har du en venteliste til dine udlejningsejendomme, skal der bruges en blanket. Du skal som udlejer oplyse lejer om, at du behandler personoplysningerne og under hvilke omstændigheder, de behandles. Du skal oplyse, hvor længe oplysningerne gemmes, og der skal udarbejdes et system, der sikrer, at oplysningerne for eksempel slettes efter 1 år, eller at der efter en tidsperiode indhentes et fornyet samtykke.
Der anvendes fra tid til anden sammenligningslejemål som argument for lejefastsættelse, når en sag om husleje havner i huslejenævnet. I den forbindelse er det nødvendigt for udlejer i sagen at få udleveret kopier af den gældende lejekontrakt og oplysninger om gældende husleje.
Som udlejer kan du lovligt indhente et samtykke fra en anden udlejer til at få disse informationer, men der er ikke hjemmel for dette i lejekontrakten. Derfor skal der ske en interesseafvejning af udlejers og tredjemands interesse i at få oplysningerne sammenlignet med lejers interesse i, at oplysningerne ikke videregives til en anden udlejer. Her gælder oplysningspligten, der indebærer, at lejer skal have besked om, at oplysningerne videregives til anden udlejer af et sammenligningslejemål.
Det tilfælde, hvor du som udlejer bestiller en håndværker til at udbedre noget på din udlejningsejendom, hvor lejers navne og adresser oplyses, medfører ikke, at håndværkeren er databehandler. På trods af, at du videregiver almindelige personoplysninger om lejer til håndværkeren, så skal håndværkeren ikke “behandle oplysningerne”, og derfor er det ikke nødvendigt at give håndværkeren en instruks om behandling af personoplysningerne. Dette er netop grunden til, at den pågældende håndværker ikke anses som værende databehandler.
Boligudlejer som dataansvarlig for lejers personoplysninger
Når du som udlejer indsamler informationer om lejere, så bliver du dataansvarlig for lejers oplysninger. Ligeledes vil medarbejdere i din udlejningsvirksomhed fungere som databehandlere, når du lader andre i virksomheden behandle lejers oplysninger – f.eks. ved udarbejdelse af lejekontrakt eller flytterapport.
Når du som udlejer er dataansvarlig, er det dig, der skal afgøre med hvilke formål personoplysningerne må behandles, hvordan personoplysningerne skal behandles, samt hvem personoplysningerne må behandles af. Det er således dig, der har det overordnede ansvar for, at den måde, dit udlejningsfirma behandler lejernes personoplysninger på, er i overensstemmelse med PDF.
Du skal som dataansvarlig sikre dig, at du har lov til at behandle de oplysninger, som du og dine databehandlere er i besiddelse af.
For at du som dataansvarlig må behandle almindelige personoplysninger om lejere uden samtykke, skal det være nødvendigt under hensyntagen til:
- Den lejekontrakt du har indgået med lejer
- Dine retlige forpligtelser som dataansvarlig
- Dine eller en anden fysisk persons vitale interesser
- En opgave i samfundets interesse (eller offentlig myndighedsudøvelse)
- En legitim interesse, som ikke overgås af lejers interesser eller rettigheder
Er der derimod tale om følsomme personoplysninger, og foreligger der ikke et samtykke fra lejer, kan du udelukkende behandle lejers personfølsomme oplysninger, såfremt det er nødvendigt af hensyn til:
- Dine eller en anden fysisk persons vitale interesser, hvis det er umuligt at give samtykke
- Et retskrav, som enten er under behandling eller skal fastlægges
- Væsentlige samfundsinteresser
Benytter du som udlejer en ejendomsadministration såsom Boligmanager til udlejning af dine boliger og håndtering af administrative arbejdsprocesser, så bliver ejendomsadministrationen databehandler, ligesom dine medarbejdere er, hvis I selv håndterer administrationen.
Er en ejendomsadministration databehandler for dine lejemål, så arbejder denne på vegne af og efter instruks fra dig som dataansvarlig – på lige fod med dine medarbejdere. Hvis du, som udlejer, bruger en databehandler, skal du derfor sørge for, at der er indgået en skriftlig aftale mellem dig og databehandleren.
Disse databehandleraftaler indeholder en lang række krav, der kan være svære at gennemskue, hvorfor du med fordel kan få hjælp af en fagperson i persondata til udarbejde dataaftalen.
Denne skriftlige aftale skal blandt andet indeholde varigheden for og formålet med databehandlingen, typen af personoplysninger, den dataansvarliges rettigheder og forpligtelser samt en række sikkerhedsforanstaltninger, der sikrer, at databehandleren overholder sine forpligtelser.
Når du behandler personoplysninger i din private udlejningsvirksomhed, skal du være opmærksom på, at det i mange tilfælde afhænger af en konkret vurdering, om bestemmelserne i PDF er opfyldt. Det kan derfor i tvivlstilfælde være en god ide at spørge Datatilsynet til råds, hvis du er i tvivl om, hvorvidt du overholder de generelle principper, vi oplister herunder.
Sådan beskytter du personoplysninger om lejere
Som boligudlejer og dataansvarlig for lejers oplysninger, er det dit ansvar at opbevare oplysningerne sikkert og beskytte dem fra udefrakommende, som kan have en ondsindet interesse i at få adgang til disse personoplysninger.
Databehandlingen skal, som sagt, ske med udtrykkeligt angivne og legitime formål, og du må ikke viderebehandle lejers oplysninger på en måde, der er uforenelig med de formål, du har for at opbevare oplysningerne.
Lejers samtykke skal være klart, letforståeligt og være givet på et tilstrækkeligt oplyst grundlag om et specifikt område af personoplysninger. Samtykket kan gives såvel skriftligt som mundtligt, men af bevismæssige årsager kan det med fordel gives skriftligt. Herudover skal lejer naturligvis have givet sit samtykke frivilligt.
Inden du behandler lejers oplysninger, skal du oplyse lejer om muligheden for at trække sit samtykke til behandling af personoplysninger tilbage. Lejer kan til enhver tid trække sit samtykke tilbage, såfremt du bliver gjort opmærksom på, at det er ønsket. Samtykket må ikke være en betingelse for, at en kontrakt opfyldes, og det er dig som dataansvarlig, der har bevisbyrden for, at der er givet samtykke.
Det klare udgangspunkt er, at du må opbevare lejers oplysninger så længe, det er nødvendigt og sagligt. Der er således ingen konkrete frister for, hvornår du som udlejer skal slette de oplysninger, du har fået fra lejer.
Som alternativ til at slette oplysningerne på lejer, kan du vælge at anonymisere dem, og det er op til dig som den dataansvarlige at vurdere, om det er nødvendigt. Du bør udvise større forsigtighed og kraftigt overveje at slette eller anonymisere, hvis der er tale om følsomme personoplysninger frem for de almindelige personoplysninger.
Datatilsynet anbefaler, at der udarbejdes en slette-procedure, der sikrer, at din virksomhed ikke ligger inde med persondataoplysninger, hvor der efter PDF ikke længere er en nødvendighed eller saglig begrundelse for opbevaring.
BoligPortals anbefalinger til udlejers behandling af personoplysninger
Kort og godt anbefaler vi, at du som udlejer og dataansvarlig sørger for:
- at have overblik over, hvilke systemer din virksomhed har,
der behandler personoplysninger om lejer. - at have konkrete og nedskrevne aftaler med din databehandler.
- at eventuelle medarbejdere følger dine retningslinjer for behandling af lejers personoplysninger.
- at kommunikere til lejer, hvordan deres personoplysninger anvendes og behandles.
- at du informerer lejer om rettighederne til sletning af personoplysninger.
- at du har en klar procedure for lejers berettigelse og sletning af personoplysninger, så de ikke opbevares længere end nødvendigt.
