Journalnummer: 2025-41-0139.
Resumé
Datatilsynet har gennemført tilsyn med, om ejendomsadministratorerne overholder reglerne om de registreredes rettigheder, herunder retten til indsigt, retten til sletning og oplysningspligten. Som led i tilsynet har Datatilsynet gennemgået selskabernes interne retningslinjer og procedurer for disse sagstyper.
Derudover har Datatilsynet vurderet en række konkrete afgørelser om indsigt og sletning, som de fem ejendomsadministratorer har truffet.
Det gennemgåede materiale viser generelt, at ejendomsadministratorerne har godt styr på reglerne. Tilsynet er nu afsluttet med et samlet brev til de fem ejendomsadministratorer, og Datatilsynet har i den forbindelse udarbejdet et notat med de generelle observationer og bemærkninger.
Tilsynene er en del af Datatilsynets planlagte tilsynsaktiviteter og har omfattet ejendomsadministratorerne DAB, KAB, DAB-Lejerbo, DEAS og Boligexperten.
Notat
Notatet tager udgangspunkt i Datatilsynets generelle observationer og bemærkninger vedrørende ejendomsadministratorers håndtering af registreredes ret til indsigt, ret til sletning og oplysningspligten, når oplysninger indsamles fra tredjeparter.
1. Baggrunden for notatet
Som en del af Datatilsynets planlagte tilsynsaktiviteter har Datatilsynet gennemført tilsyn med boligadministrationsselskaber, der administrerer boliger på vegne af andre, og boligselskaber, der selv administrerer sine boliger (herefter samlet betegnet ”ejendomsadministratorer”), herunder disse selskabers håndtering af de registreredes – primært deres beboeres – rettigheder.
Formålet med tilsynet har været overordnet at undersøge, hvorledes ejendomsadministratorer sikrer sig, at de registrerede kan gøre brug af deres rettigheder med særligt fokus på retten til indsigt, retten til sletning og oplysningspligten, når oplysninger indsamles fra tredjeparter.
Datatilsynet har konkret ført tilsyn med følgende fem ejendomsadministratorer:
- DAB – Dansk Almennyttigt Boligselskab
- KAB – Københavns Almindelige Boligselskab
- DAB-Lejerbo
- DEAS
- Boligexperten
I forbindelse med tilsynet har Datatilsynet gennemset selskabernes retningslinjer og procedurer for håndtering af anmodninger om indsigt og sletning efter databeskyttelsesforordningens[1] artikel 15 og 17, ligesom tilsynet har gennemgået deres retningslinjer og procedurer for iagttagelse af oplysningspligten efter databeskyttelsesforordningens artikel 14.
Datatilsynet har også gennemgået en række konkrete afgørelser om indsigt og sletning, som ejendomsadministratorerne har truffet.
Dette notat indeholder Datatilsynets generelle observationer og bemærkninger om de undersøgte emner.
2. Retningslinjer og procedurer for håndtering af rettighedsanmodninger og iagttagelsen af oplysningspligten, når oplysninger indsamles fra tredjeparter
De undersøgte ejendomsadministratorer havde alle udarbejdet interne retningslinjer vedrørende håndtering af retten til indsigt, sletning og om oplysningspligten, når personoplysninger ikke er indsamlet hos den registrerede selv.
Datatilsynet finder det meget positivt, at de undersøgte ejendomsadministratorer alle havde udarbejdet retningslinjer herom, fordi interne retningslinjer efter tilsynets opfattelse kan være et godt redskab til at sikre iagttagelsen af reglerne i den dataansvarliges organisation.
Generelt kan Datatilsynet oplyse, at interne retningslinjer bør udarbejdes på en sådan måde, at de kan være en hjælp for den dataansvarlige og gøre det nemt for medarbejderne at iagttage reglerne, herunder f.eks. reglerne om de registreredes rettigheder.
Datatilsynet bemærker i den forbindelse, at de fremsendte retningslinjer generelt ses at være udarbejdet i et klart, enkelt og letforståeligt sprog, hvilket er væsentligt for, at medarbejderne i den dataansvarliges organisation forstår dem og kan handle i overensstemmelse med dem.
Det bemærkes desuden, at ejendomsadministratorernes interne retningslinjer og procedurer bl.a. indeholder et overblik over mulige steder, hvor der i ejendomsadministratorernes organisation opbevares personoplysninger, konkrete skabeloner til brug for besvarelser af rettighedsanmodninger samt angivelse af et kontaktpunkt i organisationen, som skal underrettes om modtagne rettighedsanmodninger. Dette er meget positivt.
I det fremsendte materiale er der endvidere udarbejdet skabeloner, som medarbejderne kan anvende, når de skal underrette registrerede efter databeskyttelsesforordningens artikel 14, og hos visse ejendomsadministratorer er der udarbejdet standardtekster og interne retningslinjer for håndteringen af oplysningspligten ved indsamlingen af oplysninger om registrerede i særlige situationer, som f.eks. husordensklager og ventelister til boliger i foreningen. Det ses også, at der, for så vidt angår de behandlinger, som foretages kontinuerligt hos ejendomsadministratorerne, er udarbejdet standardiserede tekster, som medarbejderne i organisationen kan anvende til iagttagelsen af oplysningspligten.
Datatilsynet finder det desuden positivt, at ejendomsadministratorerne efter det oplyste løbende sikrer medarbejdernes kendskab til og øger forståelsen for databeskyttelsesreglerne ved at gennemføre ”awareness-fremmende” tiltag, som f.eks. kampagner på fællesplatforme, krav om løbende e-learning samt kurser – både i forbindelse med oplæring af nye medarbejdere og løbende under ansættelsesforholdet.
Det er efter Datatilsynets opfattelse ikke altid tilstrækkeligt alene at introducere de relevante medarbejdere til organisationens retningslinjer og procedurer som led i oplæringen/introduktionen af medarbejderne. Det vil således normalt være nødvendigt også løbende at genopfriske medarbejdernes hukommelse om de interne retningslinjer og procedurer.
3. Håndtering af rettighedsanmodninger
3.1. Indledende bemærkninger
Datatilsynet har bedt ejendomsadministratorerne om at fremsende bl.a. deres tre seneste besvarelser af henholdsvis anmodninger om indsigt og sletning efter databeskyttelsesforordningen artikel 15, henholdsvis 17.
De konkrete besvarelser, som ejendomsadministratorerne har fremsendt til Datatilsynet, har givet Datatilsynet anledning til flere overordnede bemærkninger om den generelle håndtering af rettighedsanmodninger.
Databeskyttelsesforordningens artikel 12, stk. 1-4, har følgende ordlyd:
- "Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 13 og 14 og enhver meddelelse i henhold til artikel 15-22 og 34 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet godtgøres med andre midler.
- Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 15-22. I de tilfælde, der er omhandlet i artikel 11, stk. 2, må den dataansvarlige ikke afvise at efterkomme den registreredes anmodning om at udøve sine rettigheder i henhold til artikel 15-22, medmindre den dataansvarlige påviser, at vedkommende ikke er i stand til at identificere den registrerede.
- Den dataansvarlige oplyser uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til artikel 15-22. Denne periode kan forlænges med to måneder, hvis det er nødvendigt, under hensyntagen til anmodningernes kompleksitet og antal. Den dataansvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen. Hvis den registrerede indgiver en anmodning elektronisk, meddeles oplysningerne så vidt muligt elektronisk, medmindre den registrerede anmoder om andet.
- Hvis den dataansvarlige ikke træffer foranstaltninger i anledning af den registreredes anmodning, underretter den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen den registrerede om årsagen hertil og om muligheden for at indgive en klage til en tilsynsmyndighed og indbringe sagen for en retsinstans.”
Det er således en forudsætning for besvarelsen af en rettighedsanmodning, at der kommunikeres med den registrerede i et enkelt, tydeligt og letforståeligt sprog, som er tilpasset den enkelte registrerede, herunder bl.a. for så vidt angår den pågældende registreredes modenhedsniveau, generelle sproglige forudsætninger samt forståelse for eller kendskab til databeskyttelsesreglerne, jf. databeskyttelsesforordningens artikel 12, stk. 1.
En dataansvarlig kan ved modtagelsen af en rettighedsanmodning ikke umiddelbart kræve at de registreredes udøvelse af rettigheder skal ske på en særlig måde, f.eks. ved obligatorisk anvendelse af en særlig portal, platform eller blanket, eller gennem krav om, at den registrerede skal møde fysisk op hos ejendomsadministratoren for at udøve sine rettigheder. Dette vil udgøre indskrænkninger, der gør det besværligt for de registrerede at gøre brug af deres rettigheder, som ikke vil være i overensstemmelse med databeskyttelsesreglerne. En dataansvarlig kan dog godt opfordre eller tilskynde til at indgive rettighedsanmodninger ad sådanne særlige kanaler, men almindelige kommunikationsformer, herunder e-mail eller telefonopkald, kan ikke på forhånd afskrives, heller ikke når det handler om at indgive en rettighedsanmodning.
Datatilsynet skal desuden bemærke, at den dataansvarlige heller ikke kan stille krav om, at en registreret fremsender sin rettighedsanmodning skriftligt med den begrundelse, at den dataansvarlige skal kunne dokumentere anmodningen. Dette vil også være en indskrænkning, der gør det besværligt for den registrerede at gøre brug af sine rettigheder. Den dataansvarliges ønske om at dokumentere en rettighedsanmodning må efter Datatilsynets opfattelse søges løst på en måde, som letter udøvelsen af de registreredes rettigheder, jf. databeskyttelsesforordningens artikel 12, stk. 2.
Det følger som nævnt af databeskyttelsesforordningens artikel 12, stk. 4, at hvis den dataansvarlige ”ikke træffer foranstaltninger i anledning af den registreredes anmodning” – hvilket bl.a. indebærer, at en anmodning ikke imødekommes – skal den dataansvarlige underrette den registrerede om årsagen hertil, ligesom den dataansvarlige skal give klagevejledning. Datatilsynet har i forbindelse med gennemgangen af de konkrete afgørelser om indsigt og sletning fra de fem udvalgte ejendomsadministratorer bemærket, at der i enkelte afgørelser henvises til Datatilsynets tidligere adresse. Det er naturligvis vigtigt, at den givne klagevejledning er korrekt, og at der vejledes korrekt om kontaktmulighederne, herunder adresse.
3.2. Særligt vedrørende anmodninger om indsigt
I henhold til databeskyttelsesforordningens artikel 15, stk. 1, litra a-h, skal en besvarelse af en indsigtsanmodning – foruden en bekræftelse på, at der behandles personoplysninger – indeholde en række supplerende oplysninger, herunder bl.a. oplysninger om formålet med behandlingen, de berørte kategorier af personoplysninger, modtagere som personoplysningerne vil blive videregivet til, mv. Det fremgår af en af de konkrete afgørelser om indsigt, at en ejendomsadministrator blot har henvist til sin privatlivspolitik på sin hjemmeside, således at den pågældende registrerede selv kunne orientere sig heri om de behandlinger, ejendomsadministratoren foretager.
Datatilsynet skal hertil bemærke, at formålet med retten til indsigt er – udover at give den registrerede mulighed for at se hvilke personoplysninger, den dataansvarlige behandler om den pågældende – at den registrerede har ret til at modtage en række oplysninger om den eller de behandlinger, den dataansvarlige foretager, jf. netop bestemmelsens litra a-h.
Ved besvarelsen af en indsigtsanmodning bør en dataansvarlig således sikre sig, at de oplistede yderligere oplysninger, som den registrerede har krav på at få udleveret, rent faktisk udleveres.
Det vil derfor efter Datatilsynets opfattelse ikke være tilstrækkeligt, at der blot henvises til privatlivspolitikken på den dataansvarliges hjemmeside, hvor den registrerede selv skal udfinde de oplysninger, som den dataansvarlige er forpligtet til at give efter databeskyttelsesforordningens artikel 15, stk. 1, litra a-h.
Det er Datatilsynets opfattelse, at oplysningerne i stedet kan gives i et følgebrev eller lignende, som vedlægges afgørelsen på den konkrete anmodning om indsigt eller på anden måde i nær tilknytning til den fremsendte afgørelse, således at der rent faktisk sker en udlevering af de oplistede yderligere oplysninger, som den registrerede har krav på at få udleveret.
Det fremgår af en anden af de konkrete besvarelser, som er fremsendt til Datatilsynet, at en ejendomsadministrator har afvist en anmodning fra en registreret om ”aktindsigt” i de oplysninger, som behandles om den pågældende. Anmodningen blev afvist med henvisning til, at ejendomsadministratoren er en privat virksomhed og dermed ikke er omfattet af reglerne om aktindsigt.
Datatilsynet skal i den forbindelse bemærke, at en dataansvarlig – også private – efter omstændighederne bør overveje, om f.eks. en anmodning om ”aktindsigt” reelt skal opfattes som en anmodning om indsigt efter databeskyttelsesforordningen. Den registreredes manglende anvendelse af den rette terminologi eller henvisning til det retsgrundlag, som den dataansvarlige er omfattet af, må efter Datatilsynets opfattelse generelt set ikke medføre en begrænsning i de registreredes ret til at udøve sine rettigheder.
3.3. Særligt vedrørende anmodninger om sletning
Det fremgår af nogle af de konkrete afgørelser om sletning, at der er slettet nogle – men ikke alle – oplysninger om den registrerede. Det er Datatilsynets opfattelse, at dette har kunne give anledning til tvivl hos den registrerede om, hvilke oplysninger der så faktisk er blevet slettet, og hvilke oplysninger der er bibeholdt – og med hvilken begrundelse.
Dette ses bl.a. i nogle afgørelser, hvorved ikke alle personoplysninger slettes, idet der blot henvises til lovgivning generelt og ikke til den konkrete bestemmelse i den pågældende lovgivning, hvorefter sletning kan undlades mv.
Når en anmodning om sletning modtages, skal man som dataansvarlig gennemgå de oplysninger, man behandler om den registrerede, og vurdere, om der er pligt til at slette oplysningerne. Det følger af databeskyttelsesforordningens artikel 17, stk. 1, at man som dataansvarlig har pligt til at slette oplysninger, hvis et af seks forhold gør sig gældende, jf. artikel 17, stk. 1, litra a-f. I databeskyttelsesforordningens artikel 17, stk. 3, oplistes der en række undtagelser til retten til at få personoplysninger slettet.
Der kan således være en række tilfælde, hvor man som dataansvarlige ikke nødvendigvis skal slette personoplysninger, som man behandler om en registreret, som har anmodet om sletning. Dette er bl.a. tilfældet, hvis den fortsatte behandling af oplysninger om den registrerede er nødvendig for at overholde en retlig forpligtelse, som den dataansvarlig er blevet pålagt (artikel 17, stk. 3, litra b).
Sker der ikke fuld imødekommelse af en anmodning om sletning, f.eks. fordi nogle af oplysningerne ikke er omfattet af retten til sletning, skal det begrundes konkret over for den registrerede, jf. databeskyttelsesforordningens artikel 12, stk. 4, som er omtalt under afsnit 3.1 ovenfor. Dette skal ske på oplysningsniveau, og det vil således ikke være tilstrækkeligt alene at oplyse, at visse oplysninger ikke slettes, idet begrundelsen skal være konkret, også for så vidt angår den respektive lovgivning, som begrunder, at personoplysningerne ikke slettes.
Ved en gennemgang af de konkrete afgørelser har Datatilsynet noteret sig, nogle ejendomsadministratorer – ved en fuld imødekommelse af en sletteanmodning – sletter alle oplysninger, inklusive selve sletteanmodningen og afgørelsen herom. Andre ejendomsadministratorer fortsætter med at opbevare anmodningen og afgørelsen om sletning, også ved en fuld imødekommelse af sletningsanmodningen.
En dataansvarlig er efter Datatilsynets opfattelse ikke i almindelighed forpligtet til – ved behandlingen af en konkret sletteanmodning – også at slette selve anmodningen og afgørelsen herom.
4. Afsluttende bemærkninger
Udover ovenstående mere konkrete vejledning, kan Datatilsynet henvise ejendomsadministrationerne til tilsynets hjemmeside, www.datatilsynet.dk, som indeholder generel vejledning om en række forskellige emner inden for databeskyttelse, herunder også om registreredes rettigheder og dataansvarliges pligter.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)