Nyhet Juridik 28 juni 2018

En månad med GDPR – här är de vanligaste frågorna

GDPR, den nya dataskyddsförordningen, har nu varit i kraft under drygt en månad. Mäklarsamfundets jurister får fortfarande en hel del frågor om tillämpningen av förordningen och vägledningen. Mäklarsamfundet har tagit fram ett antal vägledningsdokument om hur du som mäklare bör tänka och agera i samband med att du anpassar din verksamhet i enlighet med kraven i Dataskyddsförordningen.

Du hittar vägledningen här (inloggning krävs).

Här redogörs för tre av de vanligaste frågorna:

1. När måste jag inhämta samtycke från kunden?
För att få behandla personuppgifter måste du kunna stödja dig på en rättslig grund. För dig som mäklare kan den rättsliga grunden vara ett avtal, en rättslig förpliktelse, en intresseavvägning eller ett samtycke. Eftersom det finns ett förmedlingsavtal med säljaren som ligger till grund för förmedlingsuppdraget är det möjligt att behandla säljarens personuppgifter för ett flertal olika ändamål för att förmedlingsuppdraget ska kunna fullgöras, såsom att publicera uppgifter och bilder rörande den förmedlade bostaden på mäklarföretagets hemsida, hantera deponerad handpenning och naturligtvis upprätta de handlingar som behövs för affären. Ett exempel på rättslig förpliktelse är vidare att mäklarföretag kan behandla budgivarnas personuppgifter på grund av att det finns en skyldighet att föra anbudsförteckning i enlighet med fastighetsmäklarlagen (2011:666).

Exempel på där behandlingen får anses vara tillåten med stöd av en intresseavvägning är behandling av personuppgifter som sker när kontaktuppgifter om spekulanter samlas in under visning i syfte att kunna kontakta spekulanterna och undersöka deras vidare intresse av objektet. Mäklarföretaget har då ett berättigat intresse av att kunna följa upp med spekulanter om de är intresserade av att lämna ett bud på objektet. Mäklarens intresse av att behandla personuppgifter kan i dessa fall anses väga tyngre än den registrerades integritetsintresse.

De budgivare som inte vinner en budgivning och de som har visat intresse för en bostad utan att delta i budgivningen, kan mäklaren vara intresserad av att ha med i ett spekulantregister för att kunna informera om andra liknande bostäder som mäklarföretaget förmedlar. Genomförs marknadsföringen elektroniskt (e-post eller sms) krävs ofta samtycke enligt marknadsföringslagen till sådan direktmarknadsföring. Vad däremot gäller den rättsliga grunden enligt Dataskyddsförordningen kan det beroende på omständigheterna finnas skäl för att anse att behandling av personuppgifter för detta ändamål avseende en person som aktivt tackat ja till att motta direktmarknadsföring via e-post och sms (enligt marknadsföringslagen) inte behöver samtycka till behandlingen, utan att den kan grundas på en intresseavvägning. Detsamma bör gälla sådana säljare som aktivt anmält sig till mäklarföretaget att de vill motta information om andra liknande bostäder.

Det är dock viktigt att notera att varje elektroniskt direktmarknadsföringsmeddelande måste innehålla en möjlighet för mottagaren att begära att vidare utskick inte ska ske (avregistreringslänk). En registrerad kan också motsätta sig behandling av personuppgifter för direktmarknadsföringsändamål.

Behandling av personuppgifter med kundens samtycke som rättslig grund ska endast ske i den utsträckning ingen annan rättslig grund är tillämplig på behandlingen. Detta beror bland annat på att samtycke aktualiserar ytterligare regler i Dataskyddsförordningen, bl.a. reglerna om hur ett giltigt samtycke inhämtas samt att ett samtycke alltid går att återkalla.

Ett uttryckligt samtycke krävs när behandlingen av personuppgifterna är särskilt integritetskrävande. Exempel på när uttryckligt samtycke krävs är när personuppgifterna skickas till ett land där Dataskyddsförordningen inte gäller. Ett annat exempel är om du ska fotografera eller filma ett förmedlingsobjekt. Då behövs det samtycken från personer som direkt eller indirekt kan identifieras, exempelvis via registreringsnumret på en parkerad bil som är synlig på bilden eller i filmen.

Mer information om den lagliga grunden för behandling av personuppgifter finns i Mäklarsamfundets övergripande information om behandling av personuppgifter, som du hittar bland våra riktlinjer (inloggning krävs).

2. Vilka samarbetspartners måste jag ingå personuppgiftsbiträdesavtal med?
Personuppgiftsbiträde är den som behandlar personuppgifter för din räkning i din egenskap av personuppgiftsansvarig. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen och kan vara en fysisk eller juridisk person. De biträden som anlitas av dig ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från dig. Ett vanligt exempel på personuppgiftsbiträden till mäklare eller mäklarföretag är factoringbolag och systemleverantörer av mäklarsystem eller bokföringsprogram.

Du kan även ha andra parter som du överför dina kunders personuppgifter till, exempelvis banker och försäkringsbolag eller företag som tillhandahåller olika tilläggstjänster. Dessa företag behandlar i normalfallet inte personuppgifterna för din räkning, utan under eget personuppgiftsansvar och då behövs det inget personuppgiftbiträdesavtal er emellan.

Du måste dock se till att du informerat den registrerade om att du kommer överföra dennes personuppgifter till dina olika samarbetspartners, ändamålet med överföringen och den lagliga grund som du stödjer dig på.

Mer information om personuppgiftbiträdesavtal finns i Mäklarsamfundets vägledning avseende personuppgiftsbiträdesavtal, som du hittar bland våra riktlinjer (inloggning krävs).

3. Hur länge får jag bevara uppgifterna?
All behandling av personuppgifter måste vara föremål för fastslagna lagringstider, dvs. den tid under vilken personuppgifterna får behandlas och bevaras. Lagringstiden bestäms av ändamålet med den aktuella behandlingen av personuppgifter. Krav om bevarande av personuppgifter i lag (t.ex. penningtvättslagen eller bokföringslagen) utgör normalt sett grund för lagring under den i lag föreskrivna tiden. Uppgifter om kundkännedom som du har samlat in i enlighet med kraven i penningtvättslagen måste du till exempel spara i fem år. Uppgifter som har samlats in för direktmarknadsföring bör gallras efter ett år från att mäklarens uppdrag för säljaren är fullgjort om inte ett nytt samtycke inhämtas alternativt en ny intresseavvägning görs. För att fullgöra arkiveringsplikten enligt fastighetsmäklarlagen ska samtliga uppgifter som är nödvändiga för FMI:s tillsyn sparas i tio år från tillträdet.

Det är emellertid viktigt att komma ihåg att även om personuppgifterna får sparas i upp till tio år, så får uppgifterna endast behandlas för ändamål där gallringstiden inte har inträtt.

Kundkännedomsuppgifter som du har sparat i fem år får endast användas för att uppfylla kraven i penningtvättslagen och inte användas för exempelvis direktmarknadsföring

Mer information om gallringstider finns i Mäklarsamfundets vägledning avseende gallring av personuppgifter, som du hittar bland våra riktlinjer (inloggning krävs).

Emil Cargill-Ek
Bitr. förbundsjurist

Skapad 28 juni 2018

Uppdaterad 22 mars 2023

GDPR

Bostadsrättens indirekta nettoskuld

En månad med GDPR – här är de vanligaste frågorna

Relaterade nyheter

Svensk Mäklarstatistik uppdaterar sin personuppgiftspolicy – Så berörs du

Personuppgiftsincident– vad är det och hur ska den hanteras?

Du har väl inte glömt GDPR?

Dina personuppgifter som medlem i Mäklarsamfundet (GDPR)

Har du koll på GDPR?

Tambur nu säkrat för GDPR

Branschriktlinjer för tillämpning av Dataskyddsförordningen i fastighetsmäklarverksamhet

5 frågor och svar om GDPR

Branschriktlinjer för GDPR på gång!

Dataskyddsförordningen ersätter personuppgiftslagen