Datahåndtering i forbindelse med tilbudspligt ved overdragelse af fast ejendom 

I forbindelse med en tilbudsproces efter tilbudspligtsreglerne i lejelovens kapitel XVI er der en række krav til behandling af personoplysninger, som skal være opfyldt. Her er det afgørende, at der er styr på procedurer og foranstaltninger, når ejendommens lejere skal have adgang til materiale, som kan indeholde fortrolige og personfølsomme oplysninger. Det sætter vi derfor fokus på i denne artikel, som tager udgangspunkt i en sag, hvor Datatilsynet retter alvorlig kritik af et administrationsselskabs håndtering af persondatareglerne i forbindelse med en tilbudsproces. 

Tilbudspligten i korte træk
Tilbudspligten er lovfæstet i lejelovens kapitel XVI og medfører en pligt for en ejendomsejer til at tilbyde ejendommens lejere at overtage ejendommen på andelsbasis.

Reglerne om tilbudspligt finder anvendelse på ejendomme, der udelukkende anvendes til beboelse, og som indeholder mindst seks beboelseslejligheder. Reglerne finder endvidere anvendelse på andre ejendomme med mindst 13 beboelseslejligheder. Som undtagelse hertil gælder, at reglerne om tilbudspligt ikke finder anvendelse på ejendomme, der er opdelt i ejerlejligheder i henhold til lov om ejerlejligheder. Til dette gælder der yderligere visse modifikationer vedrørende ejendomme med udnyttede tagetager.

Tilbudspligten falder bort, når ejendommen er opdelt i ejerlejligheder, medmindre ejendommen omfattes af de nævnte modifikationer hertil.

I det følgende ser vi nærmere på en specifik sag, som udgør et eksempel på vigtigheden af, at have styr på på procedurer og foranstaltninger når ejendommens lejere skal have adgang til materiale.

Sagen vedrører et administrationsselskabs behandling af personoplysninger i forbindelse med efterlevelse af reglerne om tilbudspligt ved salg af tre ejendomme. I sagen sker der to sikkerhedsbrud på databeskyttelsesforordningens artikel 32 samt på forordningens artikel 33. Datatilsynet vurderer at administrationsselskabet ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen og udtaler alvorlig kritik af administrationsselskabet, som ydermere indstilles til en bøde på DKK 150.000. 

Sagens faktiske omstændigheder

Administrationsselskabet udarbejdede som led i administrationen af en boligfond i 2018 materialet til en tilbudsproces efter reglerne i lejelovens kapitel XVI om tilbudspligt til ejendommens lejere.

I forbindelse hermed blev oplysninger om lejerne lagret på USB-nøgler og i et virtuelt due-diligence datarum. USB-nøglerne blev uddelt til beboerne omfattet af tilbudspligten, og ved en fejl blev fortrolige og personfølsomme oplysninger, herunder personnumre på en række lejere og en helbredsoplysning, derved videregivet.

Administrationsselskabet udleverede efterfølgende – i forbindelse med samme tilbudspligt – en oversigt der indeholdt oplysninger om adresse, deposita, forudbetalt leje, udlæg og lån fordelt på lejemålenes adresse til beboere i en anden ejendom end den, som var omfattet af den pågældende tilbudspligt. Denne utilsigtede videregivelse af disse oplysninger skete til trods for, at administrationsselsskabet havde antaget et eksternt revisionsselskab med henblik på at kvalitetssikre materialet.

Administrationsselskabet anmeldte sikkerhedsbruddet til Datatilsynet d. 23. december 2018. Anmeldelsen blev fulgt op den 8. januar 2019 med informationer om underretning og håndtering af sikkerhedsbruddet.

Administrationsselskabet antog herefter et revisionsselskab som ekstern kvalitetskontrol.

Datatilsynet fremsendte d. 10. januar 2019 et høringsbrev, hvori administrationsselskabet blev bedt om yderligere at redegøre for sikkerhedsbruddet samt oplyse om, hvilke tekniske og organisatoriske foranstaltninger selskabet havde gennemført forud for sikkerhedsbruddet.

Den 12. og 13. januar 2019 modtog Datatilsynet to klager over, at administrationsselskabet den 10. januar 2019 havde udleveret USB-nøgler til lejerne i Ejendom A indeholdende en liste med personoplysninger (oplysninger om adresse, deposita, forudbetalt leje, udlæg og lån) om lejerne i Ejendom B.

Den 31. januar 2019 fremsendte administrationsselskabets advokat en redegørelse vedrørende sikkerhedsbruddet af 23. december 2018.

Den 19. februar 2019 bad Datatilsynet administrationsselskabet om at redegøre nærmere for det påståede sikkerhedsbrud af 10. januar 2019. Administrationsselskabets advokat henviste i den forbindelse til sin redegørelse af 31. januar 2019.

Den 14. maj 2019 bad Datatilsynet om yderligere oplysninger i sagen, herunder en forklaring på, at listen vedrørende lejerne i Ejendom B var udleveret til lejerne i Ejendom A. Herefter anmeldte administrationsselskabet den 28. maj 2019 sikkerhedsbrud på persondatabeskyttelsesreglerne angående sikkerhedsbruddet af 10. januar 2019 og administrationsselskabets advokat fremsendte den 31. maj 2019 yderligere oplysninger til Datatilsynet til brug for sagsbehandlingen.

Lovgrundlaget: Databeskyttelsesforordningen (GDPR)
Efter Databeskyttelsesforordingen artikel 32, skal den dataansvarlige - under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder - gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de nævnte risici, herunder i det omfang det er relevant: 

• Pseudonymisering og kryptering af personoplysninger
• Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
• Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
• En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed

Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandlingen udgør, særligt ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Det følger videre af Databeskyttelsesforordningens artikel 33, at den dataansvarlige ved sikkerhedsbrud på persondatasikkerheden uden unødig forsinkelse og om muligt senest 72 timer efter at denne er blevet bekendt dermed, skal anmelde sikkerhedsbruddet på persondatasikkerheden til Datatilsynet.

Den dataansvarlige kan alene undlade at foretage anmeldelse, hvis det er usandsynligt, at sikkerhedsbruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, skal den dataansvarlige begrunde forsinkelsen.

Artikel 33 indeholder endvidere minimumskravene til indholdet af anmeldelsen af sikkerhedsbruddet på persondatasikkerheden. Dertil giver bestemmelsen mulighed for, at oplysningerne gives trinvist til Datatilsynet, såfremt det ikke er muligt at give alle oplysningerne på én gang. Datatilsynet vurderer dels de tekniske og organisatoriske foranstaltninger og dels sikkerhedsbruddet og anmeldelsen deraf.

Datatilsynets vurdering af de tekniske og organisatoriske foranstaltninger
Datatilsynet lægger i sin afgørelse til grund, at:

1. Administrationsselskabet er dataansvarlig;
2. Administrationsselskabet udleverede USB-nøgler til beboerne i Ejendom A, hvorpå der ved en fejl var personoplysninger om beboerne i Ejendom B;
3. Administrationsselskabet som teknisk og organisatorisk foranstaltning foretog en persondatabeskyttelsesbaseret tilgang, og anonymiserede en række dokumenter, hvor der var forhøjet risiko for den registrerede, før disse blev videregivet;
4. Administrationsselskabet antog et eksternt revisionsselskab til kvalitetskontrol.

Herefter slår Datatilsynet fast, at administrationsselskabet som dataansvarlig i henhold til databeskyttelsesforordningens artikel 32 var forpligtet til at gennemføre tekniske og organisatoriske foranstaltninger, som passede til de risici, der var for de registrerede i forbindelse med den konkrete behandling af personoplysninger.

Denne forpligtelse indebærer en pligt til at sikre, at de behandlede personoplysninger ikke kommer til uvedkommendes kendskab.

Som følge af at administrationsselskabet ved en fejl videregav personoplysninger om beboerne i Ejendom B til beboerne i Ejendom A, iagttog administrationsselskabet ikke den forpligtelse, der påhvilede dem i forbindelse med behandlingen.

Datatilsynet tillægger det betydning i skærpende retning, at fejlen uden noget nærmere fagkundskab let kunne være undgået og alene bunder i manglende grundighed. Datatilsynet tillægger det endvidere betydning i skærpende retning, at oplysningerne kunne påvirke de registreredes omdømme, herunder antagelsen om dårlig økonomi.

Datatilsynet tillægger det vægt i formildende retning, at administrationsselskabet havde antaget ekstern bistand til kvalitetskontrol. Derudover tillægger Datatilsynet det betydning i formildende retning, at administrationsselskabet havde generelt fokus på dataminimering.

Efter en samlet vurdering udtalte Datatilsynet alvorlig kritik af administrationsselskabets tekniske og organisatoriske foranstaltninger.

Datatilsynets vurdering af anmeldelsen af sikkerhedsbruddet
Datatilsynet bemærker i sin afgørelse, at administrationsselskabet i perioden 10. januar 2019 til 14. maj 2019 var i en vildfarelse om, at der ikke var sket videregivelse af personoplysninger. Datatilsynet finder imidlertid, at det efter almindelige retsprincipper og idet vildfarelsen ikke var undskyldelig ikke kan føre til et andet resultat. Idet der er gået over 72 timer fra administrationsselskabet var (eller i hvert fald burde være) bekendt med sikkerhedsbruddet, er der sket en overtrædelse af databeskyttelsesforordningens artikel 33.

Datatilsynet tillægger i den forbindelse den tid, der er gået fra administrationsselskabet blev bekendt med (eller burde være blevet bekendt med) sikkerhedsbruddet til anmeldelsen skete vægt i skærpende retning. Derudover tillægger Datatilsynet det vægt, at der er tale om det andet sikkerhedsbrud i forbindelse med tilbudspligten.

Datatilsynet udtaler alvorlig kritik af forholdet.

Vurdering og anbefaling
Afgørelsen viser, at dataansvarlige i forbindelse med opfyldelse af tilbudspligtsreglerne skal være særligt opmærksomme på implementeringen af de tekniske og organisatoriske foranstaltninger. Det skal sikres, at der ikke sker udlevering af data til lejere, som ikke har nogen berettiget interesse i at modtage disse oplysninger. Den dataansvarlige bør lave en risikoanalyse hvori de persondata, der indgår i materialet, gradueres i forhold til hvor stor grad af væsentlighed oplysningerne har for den enkelte lejer for vurderingen af, hvorvidt et erhvervelsestilbud bør udnyttes. En sådan graduering kan medvirke til, at helt simple fejl, som alene skyldes manglende grundighed, undgås, hvilket ifølge afgørelsen også tillægges betydning ved vurdering af et sikkerhedsbruds grovhed.

Ansvaret ligger klart hos den dataansvarlige - ejendommens ejer eller ejendomsadministrator - uanset at denne har antaget ekstern rådgiver til at hjælpe med overholdelse af databeskyttelsesreglerne. De økonomiske konsekvenser er et ansvar, der efter omstændighederne kan videreføres til den eksterne rådgiver.

På baggrund af afgørelsen anbefales det yderligere, at den dataansvarlige hurtigst muligt anmelder et muligt sikkerhedsbrud ved blot den mindste tvivl om, hvorvidt sikkerhedsbruddet falder indenfor databeskyttelsesreglernes beskyttelsesområde.

Har du spørgsmål til ovenstående er du altid velkommen til at kontakte vores specialister på området. Henvendelse kan ske til: