Personuppgiftshantering vid användande av intelligenta lösningar inom fastighetsdrift

Publicerat:29 november, 2017
Fastighetsbranschen går mot en utveckling där allt fler intelligenta lösningar används i fastighetsdriften. Genom att automatisera funktioner som tidigare hanterats manuellt kan man öka servicenivån och samtidigt minska både kostnader och miljöpåverkan. Utvecklingen mot intelligent fastighetsdrift innebär att fastighetsbolag och bostadsrättsföreningar i många fall kommer att behöva integrera godkännande av personuppgiftshantering i sina avtal.

Exempel på intelligenta system som används inom fastighetsdrift är bland annat olika inpasseringsfunktioner och system för bokning av resurser såsom tvättstuga och garageplatser. Fastighetsägare kan också installera funktioner för fjärravläsning, övervakning och styrning av temperatur, vatten, ventilation, luftfuktighet m.m. genom intelligenta system. Vidare kan en fastighetsägare tillhandahålla ett gemensamt el-abonnemang där hyresgästerna debiteras efter faktiskt förbrukning och kan få individuella elförbrukningsanalyser där förbrukning jämförs med till exempel grannar eller historisk förbrukning. Ytterligare ett exempel är bostadsrättsföreningar som installerar solpaneler med intelligenta funktioner för lagring och lastbalansering av den el som produceras.

Samtliga ovan nämnda lösningar innebär att uppgifter om de boende i fastigheten samlas in och behandlas och i vissa fall överförs. En förutsättning för att de intelligenta lösningarna ska kunna användas är att informationen kan sorteras utifrån unika identifierare som kan länkas till fysiska personer. Exempelvis måste en elektronisk bricka som används för bokning av resurser kunna hänföras till en specifik lägenhet som innehas av en eller flera fysiska personer. Den behandling av uppgifter som sker inom intelligent fastighetsdrift faller därmed normalt sett under reglerna för personuppgiftshantering.

Om det är fastighetsägaren som installerar systemen, samlar in informationen och bestämmer ändamålen är fastighetsägaren personuppgiftsansvarig. Den personuppgiftsansvarige kan drabbas av hårda sanktioner om personuppgiftslagstiftningen inte följs.

Det som är viktigt att tänka på för den som är personuppgiftsansvarig är att all behandling av personuppgifter måste ske med laglig grund. Laglig grund för behandling av personuppgifter finns om behandlingen är nödvändig. Personuppgifter får behandlas för ett berättigat intresse om den personuppgiftsansvariges intresse av behandlingen väger tyngre än den registrerades intresse av skydd mot kränkningar av den personliga integriteten (intresseavvägning). Personuppgiftsbehandling inom intelligent fastighetsdrift kan ofta ske med stöd av en sådan intresseavvägning. Ju känsligare behandlingen är desto svårare är det dock att hävda denna grund. Eftersom de aktuella lösningarna används i anslutning till hyresgästernas eller bostadsrättsinnehavarnas privata sfär, det vill säga bostaden, finns det anledning att i särskilt hög grad beakta de boendes integritetsintresse. Det innebär att fastighetsägaren inte alltid kan förlita sig på intresseavvägning som laglig grund för behandling av personuppgifter.

I de fall fastighetsägaren, förslagsvis i samråd med en jurist, bedömer att intresseavvägning inte kan användas som laglig grund måste samtycke inhämtas inför att intelligenta lösningar börjar användas i fastighetsdriften. Fastighetsägaren kan passa på att samla in samtycke i samband med att nya hyresgäster flyttar in, och bostadsrättsföreningar då nya bostadsrättsinnehavare beviljas inträde i föreningen. När sedan nya lösningar installeras måste samtycke hämtas in på nytt för den specifika behandlingen.

För att vara giltigt måste samtycket utgöras av en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått tillräcklig information, godtar behandlingen av personuppgifter som rör denne. Samtyckesdelen ska vara klart och tydligt avskild från andra frågor om samtycket lämnas i en skriftlig förklaring som också rör andra angelägenheter (till exempel ett hyresavtal). Det är den personuppgiftsansvarige som har bevisbördan för att ett giltigt samtycke har lämnats. Ett lämnat samtycke måste vidare kunna tas tillbaka utan att den vars personuppgifter behandlas ska behöva avsluta den tjänst som tillhandahålls. Detta kan innebära problem eftersom en fastighetsägare som har investerat i en intelligent lösning för till exempel bokningssystem inte kommer att vilja tillhandahålla ett alternativt system för boende som återkallar sitt samtycke. Fastighetsägare bör därför i den mån det är möjligt använda intresseavvägning som grund och inte inhämta samtycke när det inte är nödvändigt.

Det är också viktigt för fastighetsägaren att tänka på att de insamlade uppgifterna bara får användas i det syfte de samlades in för. Datainspektionen har slagit ner på ett antal fall av otillåten användning av personuppgifter hos bostadsbolag, såsom till exempel registrering av passageloggar för att utreda vem som har misskött städningen av den gemensamma tvättstugan, eller att kontrollera passageloggar för att kunna avgöra om en lägenhet är övergiven och kan återtas av hyresvärden enligt hyreslagen. Uppgifterna får inte heller sparas under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Det anses tillåtet att spara passageloggar hänförliga till gemensamma utrymmen i fastigheten under maximalt två veckor för tekniskt underhåll och felsökning om det krävs för att systemet ska fungera tillfredsställande.

Om fastighetsägaren överlåter ansvaret för förvaltningen på en extern part, till exempel en fastighetsförvaltare, eller om en teknisk lösning används som innebär att informationen hanteras av en extern part, måste ett skriftligt personuppgiftsbiträdesavtal upprättas.

Sammanfattningsvis är det många frågor om personuppgiftshantering som aktualiseras vid intelligent fastighetsdrift, inte minst i samband med att GDPR träder i kraft den 25 maj 2018.

Har Du frågor om personuppgiftshantering i samband med intelligent fastighetsdrift eller vill ha hjälp med att upprätta eller granska avtal? Kontakta:

Tomas Rudenstam, advokat och delägare på Foyen Advokatfirma
tomas.rudenstam@foyen.se

Elinor Pejryd, biträdande jurist på Foyen Advokatfirma
elinor.pejryd@foyen.se