Personvern er i vinden som aldri før som følge av innføringen av EUs personvernforordning (GDPR) neste år. Det er lett å tenke at personvernreglene ikke angår eiendomsbransjen, men det kan være et dyrt feiltrinn i 2018.
Fra og med mai 2018 vil EUs personvernforordning (GDPR) gjelde som norsk lov. Reglene vil omfatte alle selskaper, og eiendomsbransjen vil verken rammes mildere eller hardere enn andre. Det er imidlertid viktig å være klar over på hvilke måter regelverket påvirker eiendomsbransjen, for dermed å vite hvilke tiltak man eventuelt må iverksette for å være i tråd med regelverket. Med GDPR følger nemlig også strengere sanksjoner ved overtredelse.
Hvilke personopplysninger behandler eiendomsbransjen
All informasjon som kan føres tilbake til enkeltpersoner er å anse som personopplysninger som omfattes av regelverket, og som følgelig favner svært vidt.
Aktører i eiendomsbransjen vil for det første behandle personopplysninger i kraft av å være arbeidsgiver, det være seg navn og øvrig personalia på ansatte etc.
Andre typiske eksempler på kilder til personopplysninger i eiendomsbransjen er kameraovervåkning, adgangskontroll gjennom nøkkelkort og parkeringskort, opplysninger om arbeidstakere i leietakerbedrifter, og forvaltningssystemer som Fenistra eller lignende, som lagrer informasjon som kontrakter, innbetalinger av fakturaer med mer. Ingen av de ovennevnte systemene er uvanlig for eiendomsbransjen, og samtlige innebærer behandling av personopplysninger med de forpliktelsene som følger med regelverket. Likevel er få eiendomsselskaper bevisst sitt ansvar.
Forholdet til databehandlere
Eiendomsselskaper sitter gjerne også på en database med leiekontrakter og andre kontrakter knyttet til eierskap og forvaltning av næringseiendom. I tillegg til informasjon om leietakere kan det dreie seg om avtaler med eksterne forvaltningsselskap, vaktselskap, IT-selskap, revisjonsselskap med videre. Avhengig av hva slags type informasjon disse ulike aktørene behandler i gjennomføringen av sin avtale med eiendomsselskapet, må eiendomsselskapet sørge for å ha nødvendige tillatelser i orden, og forsikre seg om at sin avtalepart har det samme. Det nye regelverket stiller blant annet strengere krav til valg av avtalepart i ovennevnte tilfeller (også kalt databehandler).
Veien videre – hvordan bli klar til 2018?
Det første man som eiendomsselskap bør gjøre i lys av de nye reglene som kommer, er å kartlegge hvilke personopplysninger man faktisk behandler og ikke minst hvordan man behandler disse. Dette kan fort være flere enn man tror.
Overraskende mange virksomheter i bransjen er nemlig ikke bevisst på det regelverket som allerede finnes.
På bakgrunn av denne kartleggingen og de funnene som gjøres, bør selskapet utarbeide og implementere nye rutiner.Blant annet må man sørge for å få på plass et godt internkontrollsystem, som sikrer gode rutiner for behandling av personopplysninger, samt fremgangsmåte ved eventuelle sikkerhetsbrudd.
Det er all grunn til å anta at fokus på personvern vil være en vesentlig faktor ved valg av kontraktspartner for mange aktører i fremtiden. At kontraktsmotparten er «compliant» tillegges allerede større og større vekt. I tillegg er det bare et spørsmål om tid før leietakerne vil bli bevisst på dette, og hvilke rettigheter de har. Også hos potensielle kjøpere vil dette trolig i løpet av kort tid bli fokus. Og om ikke det er motivasjon nok, så burde i alle fall frykten for bøter være motivasjon. Datatilsynet har blant annet kompetanse til å ilegge selskaper som bryter personvernreglene bøter på inntil 4 % av årlig omsetning, hvilket kan være en lei pris å betale.
Det er derfor all grunn til å sørge for at selskapet er forberedt på hva som må være på plass innen mai 2018.
Denne artikkelen er skrevet i samarbeid med Emilie Mora, tidligere trainee på Føyen Torkildsens avdeling for fast eiendom.