GDPR er i vinden. Stadig nye sektorer og bransjer forstår at dette er et tema som også gjelder dem. Nå har turen kommet til eiendomsbransjen. De tyske tilsynsmyndighetene har gitt en bot i millionklassen. Dette har klar overføringsverdi til «norske forhold».
I november i år i ble det tyske eiendomsmeglerfirmaet Deutsche Wohnen idømt en bot på 14,5 millioner euro for brudd på GDPR.
Deutsche Wohnen hadde oppbevart leietakeropplysninger, som lønnsslipper, arbeidskontrakter, skatteopplysninger, kontoutskrifter mv. i et arkivsystem. Det var ikke mulig å slette opplysningene fra arkivsystemet. Tilsynsmyndighetene hadde vært på tilsyn i 2017 og gjort eiendomsmeglingsfirmaet oppmerksom på at systemet ikke gjorde det mulig å slette opplysninger. Da tilsynsmyndighetene kom tilbake i 2019 hadde firmaet fremdeles ikke sikret at systemet hadde en slettefunksjon. Dette anså tilsynsmyndighetene som en forsettlig overtredelse av GDPR.
Bakgrunnen for saken er at den behandlingsansvarlige har plikt til å slette personopplysninger når de ikke lenger er nødvendige for å oppfylle det formålet som opplysningene ble samlet inn for. Etter GDPR kan det ilegges bøter på opptil 4 % av virksomhetens omsetning når slike grunnleggende prinsipper i GDPR er overtrådt.
I Deutsche Wohnens tilfelle ble boten satt lavere enn 4 % fordi selskapet hadde tatt skritt for å gjøre de nødvendige endringene i arkivsystemet og fordi selskapet hadde vært samarbeidsvillige. Boten ble skjønnsmessig fastsatt til 14,5 millioner euro (ca. 2 % av omsetningen).
Avgjørelsen er relevant for alle selskaper som oppbevarer personopplysninger, og særlig for aktører i eiendomsbransjen.
Både eiendomsmeglingsfirmaer, eiendomsbesittere, utleiemeglere, eiendomsutviklere ol. vil fra tid til annen behandle personopplysninger om sine kjøpere, selgere, leietakere mv, i tillegg til opplysninger om sine kunder, leverandører, og ansatte. For aktører i boligmarkedet hvor kjøpere, selgere eller leietakere ofte er privatpersoner, er det særlig viktig å være oppmerksom på de kravene som følger av GDPR, men det er viktig å være oppmerksom på at virksomheten også kan ha personopplysninger selv om man handler med andre virksomheter.
Den tyske avgjørelsen viser at bøtenivået i GDPR ikke bare er en trussel, men at dette raskt blir realitet for virksomheter som ikke sørger for å oppfylle GDPR.
Alle virksomheter må ha et bevisst forhold til personopplysninger og gjøre grundige vurderinger knyttet til behovet for å oppbevare opplysningene. Virksomhetens behov for å oppbevare opplysningene må vurderes opp mot det formålet opplysningene ble samlet inn for. Så snart formålet er nådd, må opplysningene slettes, selv om de som opplysningene omhandler ikke har bedt om det. Selskapene må i tillegg ha rutiner og systemer som sikrer at sletting blir gjennomført.
