Mange udlejere er ikke opmærksomme på, at indgåelse og håndtering af boliglejekontrakter udgør behandling af personoplysninger. De fleste er mætte, når de hører udtrykket databeskyttelse eller mere mundret, GDPR. Men det er alt andet lige bedre at bøje end at briste, og hvor valget står mellem to onde kår, bør man vælge det bedste. Det bedste er at være forberedt; prisen for både tilsigtede og utilsigtede tilsidesættelser af reglerne kan give store bøder – så hvad skal du som udlejer være opmærksom på?
Personoplysninger i lejeretlig sammenhæng
Personoplysninger er oplysninger, der kan bruges til at identificere en fysisk person. Billedligt kan man forestille sig en person bag et tæppe; en personoplysning er her alle oplysninger, som kan afsløre hvem personen bag tæppet er. Når en udlejer indgår en lejeaftale, behandler udlejeren derfor personoplysninger, når lejerens navn i kontrakten kobles sammen med en specifik adresse.
En behandling er enhver form for kontakt med personoplysninger. Fra modtagelse til sletning. Hvis en udlejer modtager en henvendelse fra en lejer via e-mail vedrørende et ledigt lejemål er selv den blotte modtagelse henholdsvis sletning af lejerens e-mail en behandling. De fleste behandler derfor personoplysninger i et langt større omfang, end de er klar over.
Hvad skal udlejeren holde sig for øje?
Som udlejer skal man holde flere ting for øje. Først og fremmest skal udlejer overholde de såkaldte ”behandlingsprincipper” (hvordan personoplysninger håndteres) og have en ”behandlingshjemmel” (grunden til at personoplysninger håndteres). Dertil kommer at udlejer skal oplyse lejeren om, at personoplysninger behandles, og hvilke rettigheder det giver lejeren.
Udlejeren skal opfylde sin oplysningspligt enten skriftligt eller elektronisk. I forbindelse med indgåelse af en boliglejekontrakt gøres det mest hensigtsmæssigt ved at vedlægge en databeskyttelsespolitik. Databeskyttelsespolitikken skaber gennemsigtighed og dokumenterer, at udlejer har gjort sig databeskyttelsesretlige overvejelser inden behandlingen af personoplysninger første gang finder sted.
Hvis udlejeren benytter sig af en ejendomsadministrator, skal der som hovedregel indgås en databehandleraftale mellem udlejer og ejendomsadministratoren. Udlejeren skal derfor vælge sin administrator med omhu, da udlejeren kan ende med at være ansvarlig for en fejl, der i udlejerens
bevidsthed var uden for hans kontrol.
Bøder i milliardklassen
I databeskyttelsesforordningen er der mulighed for at pålægge bøder på op til 4% af virksomhedens globale bruttoomsætning. Derved bliver nettovirkningen højere end 4%, og det kan – særligt i virksomheder med høj gældsfaktor – være ødelæggende.
I en ny sag blev den tyske udlejningsvirksomhed, Deutsche Wohnen, pålagt en bøde på 14,5 millioner € for at opbevare oplysninger om lejerne, som ikke kunne slettes. Under et tilsynsbesøg i 2017 blev Deutsche Wohnen pålagt at rette op på manglen ved at kunne slette unødvendige oplysninger. Ved et senere tilsyn var fejlen ikke udbedret, og det udløste en bøde. En tysk byret annullerede senere bøden, og sagen verserer nu for en tysk landsret. Hvordan det hele falder ud, har vi til gode at se – men det er sikkert, at den indtil videre usikre retsstilling er noget, den professionelle udlejer bør holde in mente.
Så hvad skal man som udlejer gøre? Udlejer skal være særdeles agtpågivende i forhold til hvilke oplysninger der behandles og hvorfor. Overvejelserne skal nedfældes skriftligt eller elektronisk i form af en personpolitik, som vedlægges lejekontrakten. Endvidere bør der tilføjelsen klausul til § 11, hvori det anføres at lejeren bekræfter at have modtaget personpolitikken. Dernæst skal udlejer naturligvis sikre, at databeskyttelsespolitikken rent faktisk efterleves.
