Vi redegør her for hvad den nye persondataforordning (GDPR), som træder i kraft d. 25. maj 2018, betyder for os og vores kunder.
De fleste har nok hørt, at der træder en ny persondataforordning i kraft d. 25. maj 2018, også omtalt som GDPR (General Data Protection Regulation). Rigtig mange virksomheder udsender opdaterede persondatapolitikker, databehandleraftaler, accept-emails og andre lange juridiske dokumenter, som er svære at forholde sig til.
Persondata er et vidt begreb og defineres som ”enhver form for information om en identificeret eller identificerbar fysisk person.” Det betyder, at når vi helt naturligt registerer navn, adresse, telefonnummer og e-mailadresse på en person, så har vi persondata…
Vi er derfor også påvirket af de nye regler, men inden vi går i panik, hyrer en masse advokater og konsulenter er der lige et par ting, som vi gerne vil slå fast:
- Databeskyttelse er ikke noget nyt. Der har faktisk været en persondatalov siden år 2000, og de nye regler er ikke nogen revolution.
- Vi har løbende investeret i IT-systemer, og vi har nogle af de bedste systemer på markedet med masser af indbygget sikkerhed. Så vi passer godt på vores (og jeres) data, ligesom vi altid har gjort.
- Fortrolighed er et grundvilkår i vores branche. Der er ikke nogen, der bare kan ringe og få oplysninger om lejere, ejere eller andelshavere fra os. Sådan har det altid været hos os, og der er heller ikke noget nyt der.
Hvad er så nyt? Nedenfor gennemgår vi de mest centrale elementer i de nye regler, og hvad de betyder for os og vores kunder. Til slut lidt om hvordan du skal forholde dig.
Dataansvarlige og databehandlere
Forordningen arbejder med begreberne dataansvarlig og databehandler. Dataansvarlig er dem, som har ansvaret for data, for at opbevare data forsvarligt, for at slette data, når de ikke længere er nødvendige, osv. Databehandlere, det er dem, som behandler data på vegne af en dataansvarlig og under dennes ansvar og instruks..
I branchen af ejendomsadministratorer har vi diskuteret indgående, om selskaber som os er dataansvarlige eller databehandlere.
Hos Cobblestone er vi ikke i tvivl. Vi vil ikke skubbe noget ansvar over på vores kunder. Vi tager det på os og definerer os som dataansvarlige, ikke databehandlere.
Det betyder også, at vi ikke sender lange og svært forståelige databehandleraftaler ud til vores kunder for at gøre dem ansvarlige omkring vores databehandling.
Vi benytter selv databehandlere, det sker f.eks. når vi har en backup liggende i et eksternt datacenter, eller vi har systemleverandører, som har direkte tilgang til vores systemer. Men her agerer vi også som dataansvarlig i forhold til vores kunders data og holder databehandlerne "i ørene".
Grundlag for databehandling
Man skal have et grundlag for at samle og behandle persondata, ellers må man ikke gøre det.
For os er det ret enkelt. Vi kan jo ikke administrere ejendommen, hvis vi ikke ved, hvad beboerne hedder, hvordan vi kontakter dem, hvor de bor og hvis vi ikke kan registrere deres indbetalinger, osv.
Det betyder også, at vi ikke behøver at indgå aftaler med enkelte beboere, have accept osv. for at registrere og behandle deres persondata. Vores ret til at samle og behandle persondata om dem, der bor i vores ejendomme, ligger ganske enkelt og naturligt i administrationsaftalen og den opgave vi udfører for vores kunder.
Sletning af data
Data skal slettes, når de ikke længere er relevante. I den forbindelse skal man formulere en slettepolitik.
Vi sletter data efter 10 år, som er danske rets almindelige forældelsesfrist. De 10 år løber fra, at vi slipper en sag, dvs. vi kan godt have data, der er endnu ældre, hvis vi f.eks. har en lejer, der har boet i en ejendom i 20 eller 30 år. Vi kan jo ikke makulere lejekontrakten, da den jo stadig er gældende.
E-mails slettes efter 10 år, medmindre det er gemt i administrationssystemet på en konkret sag.
Følsomme persondata
Der gælder særlige regler for følsomme persondata. Følsomme persondata er helbredsoplysninger, oplysninger om politisk eller seksuel orientering m.m. Det er oplysninger, som vi som udgangspunkt ikke ønsker at have, og vi har derfor givet alle medarbejdere instruktion om at slette den slags oplysninger, hvis vi modtager dem, medmindre vi har noget helt konkret, som de skal bruges til. Det kunne være:
- Oplysning om helbredsoplysninger i forbindelse med f.eks. skimmelsvamp i en bolig eller lignende.
- Oplysning om særlige fysiske forhold/begrænsninger som f.eks. handicap, der er afgivet i forbindelse med administration af ventelister eller i forbindelse med særindretning af lejemål eller fællesarealer.
- Oplysninger om sociale forhold, konflikter eller personlige problemer som vi modtager, når vi nogen gange er nødsaget til at bistå bestyrelser eller myndigheder i personsager på ejendommene.
Her gælder det, at vi sletter oplysningerne straks, hvis muligt. Hvis vi er nødsagede til at opbevare denne type oplysninger, opbevarer vi dem på en måde, så vi ved præcis hvor de er, og vi skal mindst hver 12. måned vurdere, om der stadig er brug for oplysningerne – eller om de kan slettes.
CPR-numre er ikke følsomme persondata, men de skal behandles efter Persondataloven. Vi opbevarer CPR-numre efter Hvidvasklovens regler og med henblik på entydig identifikation af beboere og andre kontraktsparter.
Ret til indsigt, berigtigelse mv.
På forespørgsel oplyser vi hvilke persondata, vi har liggende på en konkret person.
Hvis man ønsker at få sådanne oplysninger, skal man legitimere sig, så vi ikke risikerer at udlevere persondata til uvedkommende.
De nye og mere klare krav om klassifikation (almindelige vs. følsomme data) samt retten til indsigt og sletning, udløser i praksis en række opgaver hos os, og i visse tilfælde hos vores kunder. De vil kræve en oprydning og opmarkering af de oplysninger og arkiver vi opbevarer for vores kunder og løses i praksis ved opgradering og udvidelse af vores IT-systemer, samt en del ”knofedt”.
Brud på persondatasikkerheden
Persondataforordningen indeholder en række regler om underretning og indberetning af brud på persondatasikkerheden til Datatilsynet.
Vi har udarbejdet interne retningslinjer for dette.
Overførsel af persondata til lande udenfor EU
Vi opbevarer ikke persondata udenfor EU.
Uddannelse og kontrol
Vi uddanner vores medarbejdere i korrekt håndtering af persondata, og vi foretager stikprøvekontroller for at sikre, at reglerne bliver overholdt.
Fortrolighed
Hvis nogen overhovedet skulle være tvivl – efter at have læst dette, så har vi altid betragtet vores (og jeres) data – også persondata – som fortrolige. Vi sælger ikke persondata, og vi videregiver ikke oplysninger til andre uden samtykke fra de registrerede, medmindre det sker som led i normale arbejdsgange, ligesom vi beskytter vores IT-systemer imod at andre kan tilgå disse.
Hvordan skal du forholde dig?
Det forhold at vi påtager os ansvaret som dataansvarlig, gør det lettere for dig, men betyder ikke at du som ejendomsejer / bestyrelse kan se helt bort fra de nye regler. Vi opfordrer kraftigt til, at man som ejendomsejer og ejer-/andelsboligforening udarbejder en persondatapolitik, og får styr på sin egen håndtering af persondata og særlig følsomme persondata, skulle man modtage sådanne. Vi vil de kommende måneder kommunikere direkte til vores kunder og tilbyde hjælp til at få disse forhold på plads.
Opsummering
De nye regler har ikke så voldsom en betydning, som man kan få indtryk af i medierne. De ændrer ikke verden som vi ser den, men de præciserer en række forhold. Det skal ikke forstås sådan at persondatabeskyttelse ikke skal tages alvorligt – det har vi altid gjort, og de nye regler er en kærkommen anledning til at opdaterer processer og systemer både hos os og vores kunder.