Persondata

Afdelingsbestyrelsen i en almen boligafdeling har en begrænset kompetence, idet lovgivningen kun foreskriver nogle få meget begrænsede selvstændige ansvarsområder, og afdelingsbestyrelsen er hverken juridisk eller økonomisk ansvarlig.

Dog følger det af lov om almene boliger § 35 og normalvedtægterne for en almen boligorganisation med boligafdelinger § 19 stk. 1, at afdelingsbestyrelsen godkender driftsbudget og årsregnskab for boligafdelingen, og at afdelingsbestyrelsen i den forbindelse har ret til at se ethvert bilag vedrørende boligafdelingens budget og regnskab.

Der er dermed hjemmel til, at afdelingsbestyrelsen i forbindelse med godkendelse af årsregnskabet har ret til at se de underliggende bilag til regnskabet.

Disse hjemmelsbestemmelser tager imidlertid ikke højde for de krav, der fulgte med persondataforordningens ikrafttrædelse den 25. maj 2018 – og spørgsmålet er derfor om boligorganisationen må videregive de underliggende bilag med eventuelle personoplysninger til afdelingsbestyrelsen, eller om sådanne bilag skal anonymiseres inden videregivelse.

Af databeskyttelsesforordningen art. 6 fremgår det, at personoplysninger kan behandles, hvis der er et lovligt behandlingsgrundlag herfor.

Det følger af databeskyttelsesforordningens art. 6, stk. 1 litra c, at behandling, der er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, er lovlig.

Som det fremgår af ovenstående, er der hjemmel i den almene lovgivning til, at afdelingsbestyrelserne godkender afdelingens regnskab og dermed modtager de underliggende bilag til brug for godkendelse af det pågældende årsregnskab.

Der er således et behandlingsgrundlag, og databeskyttelsesreglerne forhindrer ikke, at en afdelingsbestyrelse får adgang til de underliggende regnskabsbilag. Det giver således boligorganisationerne en overordnet pligt til at videregive oplysninger, men det skal ske under iagttagelse af kravene i databeskyttelseslovgivningen, og det juridiske dataansvar flytter ikke fra boligorganisationen over på afdelingsbestyrelsen. Boligorganisationen forbliver dataansvarlig for den persondata, der er indeholdt i regnskaberne og de underliggende bilag.

Boligorganisationen skal som dataansvarlig sikre, at principperne i databeskyttelsesforordningens artikel 5 overholdes – det vil sige principperne om lovlighed, rimelighed og gennemsigtighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning, integritet og fortrolighed.

Det gør den dataansvarlige ved at vurdere risikoen for de registrerede ved de behandlinger, der foretages (artikel 24 og artikel 35), og på grundlag heraf fastlægge arbejdsgange og processer (artikel 25), herunder også sikkerhedskrav til de anvendte it-systemer (artikel 32).   

Den dataansvarlige er forpligtet til at dokumentere dette i sin fortegnelse (artikel 30).    

Principperne skal også overholdes, når afdelingsbestyrelsen gives adgang til bilag med persondataoplysninger.

Dataminimering

Princippet om dataminimering betyder, at unødvendige personoplysninger ikke må opbevares og ikke må videregives.

Princippet om dataminimering er ikke alene tilstrækkeligt til at undtage regnskabsbilag for udlevering til afdelingsbestyrelsen. Det kan således ikke konkluderes, at allerede fordi bilagene indeholder unødvendige personoplysninger, må de ikke videregives til afdelingsbestyrelsen.

Kravet om dataminimering gør det nødvendigt for boligorganisationen at forholde sig konkret til, om personoplysninger der fremgår af rekvisition og faktura, kan udleveres. Oplysningerne skal således være nødvendige for afdelingsbestyrelsens vurdering af regnskabet. Hvis oplysningerne ikke er nødvendige, skal de fjernes.

Tilrettelæggelse af processer og arbejdsgange – og fortrolighed

Boligorganisationen er desuden som dataansvarlig forpligtet til at tilrettelægge processerne i forbindelse med bestilling af arbejder m.v., så personoplysninger kun fremgår og anvendes, hvor oplysningerne er nødvendige for arbejdets udførelse.

Når man tilrettelægger sine arbejdsgange og processer (artikel 25), så gælder det, at når overvejelserne skal omsættes til virkelighed, så omfatter det også de it-systemer, der understøtter den konkrete behandling, herunder at;

• der laves interne regler for, hvor længe data skal og må gemmes.
• boligorganisationen stiller krav til, at it-løsningerne automatisk sletter data, når der ikke længere er behov for disse.
• adgangsbegrænsninger understøttes af standardindstillinger.
• boligorganisationen ligeledes stiller krav til it-leverandøren om, at alene visse brugerprofiler, kan tilgå fortrolige personoplysninger.

I forlængelse af tilrettelæggelse af arbejdsgange skal der også stilles konkrete krav til både interne arbejdsinstrukser og krav til de it-løsninger, der understøtter en given behandling (artikel 32). Det kan være en udfordring, især, hvis man benytter ældre it-systemer. Med afsæt i databeskyttelsesforordningen er leverandøren (databehandleren) dog ansvarlig for, at deres it-løsning overholder databeskyttelsesforordningens krav.   

Boligorganisationen skal altså vurdere risikoen ved de behandlinger, der foretages for at tilsikre processerne og forhindre videregivelse af unødvendige personoplysninger. Boligorganisationens arbejdsgange og processer skal således sikre, at der ikke videregives personoplysninger, som reelt set kan undgås. Herunder skal der stilles sikkerhedskrav til de it-systemer, der benyttes af boligorganisationerne.

Udfordringen i ovenstående kan være, at der er personoplysninger (almindelige såvel som følsomme), som ved udarbejdelse af rekvisitioner på arbejder og fakturering er nødvendige – for at sikre korrekt udførelse af arbejdet, samt efterfølgende korrekt fakturering. Men samme personoplysninger behøver ikke at være ikke nødvendige for, at afdelingsbestyrelsen kan godkende pågældende årsregnskab.

Udfordringen i ovenstående kan ligeledes være, at de tilgængelige systemer som f.eks. Eg-Bolig, Unik m.v. for nuværende ikke kan håndtere og ikke kan ændres til at ”hjælpe” boligorganisationerne med sortering af oplysningerne.

Det vil reelt betyde, at de underliggende bilag skal underlægges ekstrahering forinden udlevering til pågældende afdelingsbestyrelse. Det betyder, at administrationen manuelt fjerner de følsomme personoplysninger.

Dermed opstår en opgave, der – afhængigt af omfanget af underliggende bilag - kan kræve væsentlige manuelle ressourcer i forbindelse med nødvendig ekstrahering.

I de situationer, hvor det ressourcemæssige forbrug til ekstrahering bliver uforholdsmæssigt stort, kan boligorganisationen blive nødt til at overveje andre muligheder for at imødekomme afdelingsbestyrelsens ret til at modtage de underliggende bilag.

Uanset om videregivelse sker, fordi det ikke er muligt at ekstrahere, eller fordi personoplysningerne er nødvendige, vil det være hensigtsmæssigt, at de pågældende afdelingsbestyrelsesmedlemmer modtager adgang til de underliggende bilag mod at underskrive en tro og love-erklæring, der oplyser dem om, hvordan personoplysninger skal behandles med oplysning om den generelle tavshedspligt.

Der skal være en særlig opmærksomhed på, at følsomme personoplysninger kræver et højere sikkerhedsniveau, og bør derfor alene være tilgængelige via et IT-system, der er godkendt hertil. Adgangen bør således ske elektronisk.

Opbevaringsbegrænsning

Adgangen til de underliggende bilag bør begrænses til den periode for det pågældende regnskab, der skal godkendes. Når regnskaberne er godkendt, bør adgangen til de underliggende bilag ligeledes lukkes. Det er boligorganisationens ansvar at sørge for, at dette sker.

Hjemlen i den almene lovgivning til at se de underliggende bilag der knytter sig til et regnskab, kan ikke udvides til tidligere års underliggende bilag.

BL anbefaler på baggrund af ovenstående, at boligorganisationerne retter en opmærksomhed på:

• Fremgår der personoplysninger ved udarbejdelse af rekvisitioner på arbejder og fakturering? Det skal sikres, at der ikke registreres oplysninger, der ikke er nødvendige. Unødvendige oplysninger skal enten slet ikke registreres eller slettes, inden de videregives til afdelingsbestyrelsen.
  
  
• Er det muligt for boligorganisationen at ændre systemerne og processer for at undgå, at der udleveres personoplysninger til f.eks. håndværkere, der videreføres i bilagene til regnskabet?
  
  
• Er afdelingsbestyrelsen opmærksom på, hvordan de skal omgås eventuelle personoplysninger?

Stk.1. Personoplysninger skal:

a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)

b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)

c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)

d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)

f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

Stk. 1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

BL’s vurdering: Et samtykke fra hver enkelt beboer til at videregive navne m.v. vil være stort set umuligt og ekstremt tidskrævende for boligorganisationerne at administrere, da den enkelte beboer kan tilbagekalde det til hver en tid. Denne er derfor ikke egnet som hjemmel til udlevering af personoplysninger.

b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

BL’s vurdering: Behandlingen (videregivelse af navn, adresse osv.) vurderes generelt ikke at være nødvendig for at overholde en retlig forpligtelse. Boligorganisationen har ikke en sådan pligt over for boligafdelingen. Det er boligorganisationen, som er overordnet ansvarlig for selskabet og afdelingerne – og afdelingsbestyrelsen har derfor generelt ingen rettigheder i denne henseende, jf. lov om almene boliger § 14 b.

d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

f) Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

BL’s vurdering: Behandlingen skal være nødvendig for at forfølge en legitim interesse og skal overstige hensynet til den registreredes interesser og grundlæggende rettigheder, før litra f kan bruges som hjemmel for udlevering af oplysninger.

Denne interesseafvejnings-hjemmel har stor betydning som behandlingsgrundlag i den private sektor, hvor man skal foretage en konkret vurdering af, hvorvidt hensynet den til registreredes interesser overstiger hensynet til de interesser, der ønskes forfulgt med behandlingen:

Behandling kan finde sted, hvis den er nødvendig for, at den dataansvarlige eller den tredjemand (afdelingsbestyrelsen), til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede (den enkelte beboer) ikke overstiger denne interesse.

En betingelse for at kunne anvende bestemmelsen er, at den dataansvarlige (boligorganisationen) konkret har vurderet, hvorvidt hensynet til den registreredes (beboerens) interesser overstiger hensynet til de interesser, der ønskes forfulgt med behandlingen, og at denne vurdering falder ud til fordel for de interesser, der ønskes forfulgt. Der skal derfor foretages en konkret interesseafvejning af på den ene side en legitim interesse og hensynet til den registrerede og dennes interesser eller grundlæggende rettigheder og frihedsrettigheder. Alle den registreredes (den enkelte beboers) relevante interesser skal tages i betragtning.

Må afdelingsbestyrelsen gerne have beboerlister over alle afdelingens beboere med navn og adresse samt telefon og mailadresse?
 
Afdelingsbestyrelsen må som udgangspunkt ikke have lister over samtlige beboere i en afdeling, hvoraf der fremgår navn og adresse samt eventuelt telefonnummer og mailadresse. BL vurderer, at der ikke findes noget generelt behov for at have en sådan oversigt over samtlige beboers personoplysninger, da der ikke er opgaver en afdelingsbestyrelse ikke kan løse uden at have disse oplysninger om beboerne. Der skal i den sammenhæng skelnes mellem, hvad der er nødvendigt at have, og hvad der blot er rart at have. BL anerkender, at det kan være rart for afdelingsbestyrelserne at have beboerlisterne, men generelt er det ikke en nødvendighed at have beboerlister for at varetage bestyrelsens arbejde. Det er et udtrykkeligt krav i databeskyttelsesreglerne, at personoplysningerne skal være nødvendige til formålet, hvortil de behandles, jf. databeskyttelsesforordningen art. 5, stk. 1, litra c.

Idet boligorganisationernes systemer ikke altid kan skelne mellem beboere med navne- og/eller adressebeskyttelse, og idet afdelingsbestyrelsen umiddelbart godt kan varetage deres funktioner uden en liste med navne og telefonnumre på, er det BL’s vurdering, at det i sig selv er begrundelse nok til, at boligorganisationerne ikke bør udlevere beboerlisterne, hvorfor interesseafvejningen vejer tungest hen mod hensynet til den enkelte beboeres interesser end afdelingsbestyrelsen interesse i at følge med i, hvem der bor i lejemålene, jf. databeskyttelsesforordningens art. 5, stk. 1, litra b og c og art 6, stk. 1, litra c og f.

Må afdelingsbestyrelsen bruge beboerlister i forbindelse med vores afdelingsmøder, så afdelingsbestyrelsen kan krydse beboerne af forud for møderne for derved at sikre, at de rigtige beboere får adgang til møderne?

BL vurderer, at det ikke er nødvendigt hverken for gennemførelse eller kontrol forud for et afdelingsmøde, at afdelingsbestyrelsen har lister med beboernes navne og adresser. Dette følger af både databeskyttelsesforordningens art. 5, stk. 1, litra c og art. 6, stk. 1, litra c og f samt normalvedtægtens § 18, der lyder som følger: 
 
”Adgang til afdelingsmødet og stemmeret på dette har afdelingens boliglejere og disses myndige husstandsmedlemmer. Hver husstand har 2 stemmer uanset husstandens størrelse.”
 
Navnene er ikke nødvendige og siger i øvrigt ikke noget om, hvem der kan møde op til afdelingsmødet. Det vil alene være den registrerede lejer, der fremgår af kontrollisten. Myndige medlemmer af husstandene, som ikke fremgår af kontrollisten, kan også møde op og stemme på afdelingsmødet, selvom deres navne ikke står på en sådan liste. Det er derfor BL’s anbefaling, at der kun trækkes lister med adresser til brug for adgangskontrol ved afdelingsmøderne, da det er afgørende, at man bor i afdelingerne for at deltage, men ikke relevant hvad man hedder. Et sygesikringsbevis vil være tilstrækkelig dokumentation som adgangskontrol, da beboeres adresse fremgår af dette. Beboerne kan vælge at holde over deres CPR-nummer og eventuelt navn ved fremvisning.  
 
Dette understøttes ligeledes af en udtalelse fra Københavns Kommune, der giver en boligorganisation medhold i, at afdelingsbestyrelsen ikke kan få navne på listen – men kun adresser. I den konkrete sag blev navnene ikke vurderet nødvendige. 
 
Kommunen skriver således:
 
”Tilsynet er enig med boligorganisationen i, at navnet som udgangspunkt ikke er et fuldkommet redskab til adgangskontrol og som følge heraf er navnet ikke nødvendigt og kan dataminimeres. Begrænsningen kan undlades, hvis væsentlige forhold taler derfor som f.eks. ved øget risiko for snyd ved et afdelingsmøde.”

Må afdelingsbestyrelsen få udleveret en beboerliste, så afdelingsbestyrelsen kan se, hvem der bor i et bestemt lejemål, da der klages over denne beboer? Afdelingsbestyrelsen vil gerne kende beboeren navn, så det er nemmere at identificere vedkommende ved drøftelse på afdelingsbestyrelsens møder, da afdelingsbestyrelsen skal medvirke til god skik og orden i afdelingen.

Det er rigtigt, at afdelingsbestyrelsen skal medvirke til, at der er god skik og orden i en boligafdeling, men det er ifølge LAB § 39 og normalvedtægtens § 20, stk. 7 boligorganisationen, der skal varetage klagesager, hvorfor der ikke ses hjemmel til at afdelingsbestyrelsen kender navnet. Det er reelt boligorganisationen, der er pålagt den retlige forpligtelse og ikke afdelingsbestyrelsen. Der er således hverken hjemmel i databeskyttelsesforordningens art. 5, stk. 1, litra b og c og art. 6, stk. 1 litra c eller litra f. 

Må afdelingsbestyrelsen have en beboerliste med navn og adresse, så afdelingsbestyrelsen kan tilbyde indflyttere velkommen i afdelingen?
 
I forbindelse med indflytninger er det flere steder normal procedure, at afdelingsbestyrelsen byder nye lejere velkommen. For at kunne varetage denne opgave, vil det for afdelingsbestyrelsen være rart at have en liste over alle ind- og fraflytninger, men det vurderes ikke nødvendigt for varetagelsen af denne opgave at kende navnet på nye beboere. Udleveringen af beboernes navne, telefonnumre m.v. er derfor ikke nødvendigt for at forfølge en legitim interesse, jf. databeskyttelsesforordningens art. 5, stk. 1, litra b og c og art. 6, stk. 1, litra f. Det vurderes tilstrækkeligt, at boligorganisationen har oplysninger om tilflytterne, og at afdelingsbestyrelserne blot modtager oplysninger om, hvornår der sker ind- og fraflytninger i de enkelte lejemål. På den måde vil der fortsat være mulighed for at byde nye lejere velkommen.

Må afdelingsbestyrelsen have en liste med beboernes navne og adresser – altså navnet/navnene der fremgår af lejekontrakten – til sammenligningsgrundlag med de navne, der fremgår af beboernes postkasser, så afdelingsbestyrelsen har mulighed for at kontrollere og hindre ulovlig fremleje?
 
Hvis afdelingsbestyrelsen skal have en liste over samtlige navne, der fremgår af beboernes lejekontrakter i en afdeling, så skal det anses for at være en nødvendighed for at forfølge en legitim interesse, jf. databeskyttelsesforordningens art. 6, stk. 1, litra f. Da der ikke er noget, der taler for, at det er afdelingsbestyrelsens opgave at kontrollere beboerne og holde øje med ulovlig fremleje, vil der ikke være en legitim interesse, og afdelingsbestyrelsen kan derfor ikke få en sådan liste udleveret på det grundlag.

Hvis det er afdelingsbestyrelsen, der godkender hunde- og kattehold i afdelingen, må afdelingsbestyrelsen så få udleveret en liste over navne og adresser på afdelingens beboere? Ansøgningerne er ofte mangelfulde, og det dermed er svært at finde rette afsender, hvorfor en beboerliste vil være nyttig.
 
Det er som udgangspunkt ikke en opgave, der henhører under afdelingsbestyrelsen at godkende hunde- og kattehold, men under boligorganisationen.
 
Det vurderes i øvrigt ikke nødvendigt for at overholde en retligforpligtelse, jf. databeskyttelsesforordningens art 6, stk. 1, litra c, eller nødvendigt for at forfølge en legitim interesse, jf. databeskyttelsesforordningens art 6, stk. 1, litra f, at udlevere en liste over samtlige beboere grundet mangelfulde ansøgninger om hunde- og kattetilladelser. Der må findes alternative måder, hvorpå man som afdeling kan sikre sig, at ansøgningerne bliver udfyldt korrekt.
 
Når en beboer søger om tilladelse til enten hunde- eller kattehold, giver beboeren med sin ansøgning et samtykke til, at der må behandles personoplysninger om beboeren til dette specielle formål. Der er dermed hjemmel til, at afdelingsbestyrelsen kan behandle personoplysninger i forbindelse med vurderingen af en eventuel hunde- eller kattetilladelse, jf. databeskyttelsesforordningens art 6, stk. 1, litra a.