3. PERSONOPPLYSNINGER – PERSONVERN

3.1  GENERELLE PRINSIPPER FOR BEHANDLING AV PERSONOPPLYSNINGER

Et boligselskap er ansvarlig for behandling av de personopplysninger det har tilgang til. Boligselskapet er «behandlingsansvarlig» etter reglene om personvern. Dette gjelder selv om noen opptrer som databehandler på boligselskapets vegne, for eksempel en forretningsfører eller et vaktselskap.

Alle virksomheter, herunder boligselskaper, skal ha innrettet sin virksomhet til å være i samsvar med lovregler om personvern, herunder personvernforordningen GDPR (General Data Protection Regulation).

Det følger av personopplysningsloven at personvernforordninger gjelder som norsk lov.

Boligselskapet  skal  ikke samle inn og ta vare på flere personopplysninger enn det som er nødvendig for å ivareta et lovlig formål.

Lovlige formål er alle formål som er lovbestemte eller som er nødvendige for å gjennomføre forsvarlig vedlikehold og drift av et boligselskap. Innberetning av ligningsopplysninger er et lovbestemt formål.
For å oppnå det formålet må boligselskapet få vite eiernes navn, fysiske adresse og fødselsnummer. Kontroll med at regler om utleie overholdes er et driftsformål. Av hensyn til dette formålet må boligselskapet kunne få vite om eierens telefonnummer og e-postadresse.

Kontroll med at regler om utleie overholdes er et driftsformål. Av hensyn til dette formålet må boligselskapet kunne få vite om eierens telefonnummer og e-postadresse.

Opplysningene kan i tillegg bare benyttes så langt det er nødvendig for det formålet de er innhentet.
Ved bruk av et elektronisk låssystem kan styret ta vare på trafikkdata som lagres i loggen til adgangssystemet for å opprettholde sikkerheten og avdekke feil i løsningen. Det er derimot ulovlig å bruke slike data til å overvåke beboerne med tanke på hvem som kommer og går, hvor, og til hvilke tider. Boligselskapet skal ikke oppbevare opplysninger lenger enn det som er nødvendig for å ivareta formålet. Deretter skal de slettes. Hvor lenge som er «nødvendig» vil variere med hva slags opplysninger det gjelder og hvilket formål de skal ivareta.

FAKTA

Behandling av personopplysninger har fått en betydelig større oppmerksomhet etter at de internasjonale General Data Protection Regulations (GDPR) ble vedtatt som lovtekst i Norge. Nå er det ikke bare anbefalt at reglene etterfølges, men de skal etterfølges. Den gyldne hovedregel er at enhver opplysning som kan tilbakeføres til en bestemte fysisk person er en personopplysning.

Gir styret en opplysning om en egenskap om en person i boligselskapet som bare kan passe på en eller noen få bestemte personer, skal vi behandle det som en personopplysning. Bedre før var enn etter anmeldt.

Saker om personvern kan behandles i et eget tvisteorgan; personvernnemnda.

3.2  HVA ER PERSONOPPLYSNINGER

Personopplysninger er opplysninger og vurderinger som direkte eller indirekte kan knyttes til en fysisk person. I praksis er det personopplysninger som er viktigst. Det omfatter opplysninger om helsetilstanden til beboere, psykiske problemer, sykdom, sosiale forhold, herunder familiære og økonomiske forhold. Personopplysninger omfatter også pseudonyme data så lenge disse kan spores tilbake til en fysisk person. Det kan for eksempel gjelde opplysning om at sosialkontoret betaler felleskostnadene for en bestemt eier. Opplysninger om hvem som tilhører den enkelte husstand, samt persondata om disse personer, herunder personnummer, er neppe opplysninger som det er knyttet taushetsplikt til, jf nedenfor.

Etter GDPR art. 9, nr. 1 skal det tas særskilte hensyn til såkalte sensitive personopplysninger.

Det omfatter opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
I utgangspunktet er det forbudt å innhente eller benytte slike personopplysninger.

For enkelte typer personopplysninger er det fastsatt særlige regler, for eksempel for fødselsnummer. Fødselsnummer (elleve siffer) er ikke en sensitiv personopplysning, men det er likevel en opplysning som det gjelder særlige regler for. Fødselsnummer skal ikke sendes i ukryptert e-post eller på annen måte som gjør at uvedkommende lett kan få tilgang til det.

3.3  HVA ER PERSONREGISTER

Med personregister menes et register eller en fortegnelse der personopplysninger er lagret slik at opplysninger om en registrert kan finnes igjen. Enhver bruk av personopplysninger, blant annet innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

En «registrert» er den eller de identifiserte eller identifiserbare fysiske personer hvis personopplysninger behandles.

Det må antas at et arkiv i et boligselskap oppfyller kravene til personregister. Forskriftene til loven gir nettopp uttrykk for at loven omfatter behandling av personopplysninger om leietakere i husleieforhold og sameie med videre i boligsameier. Dette gjelder selv om personopplysningene bare behandles som en del av styrets administrasjon og gjennomføring av forpliktelsene i boligselskapet.

3.4  PRAKTISK MULIG BRUK AV PERSONOPPLYSNINGER – GENERELLE REGLER

Fødselsnummer kan bare benyttes der det er nødvendig for sikker identifisering. En databehandler kan benytte personopplysninger for å gjennomføre arbeidsrettslige plikter, jf personopplysningsloven §6.

Oversikter over personopplysninger kan bare benyttes til det formålet oversikten er beregnet for, det formålet som en registrert har samtykket til eller til et lovbestemt nødvendig formål, jf loven § 8. På denne bakgrunn kan det gjøres gjeldende at styret ikke kan utlevere slike oversikter.

Personopplysninger kan altså benyttes til det formålet de er innhentet for, for eksempel til godkjenning av ny beboer, å inndrive krav eller begjære tvangssalg eller tvangsfravikelse. Opplysninger om rusmisbruk, prostitusjon og omsetning av narkotika må for eksempel kunne legges frem i en sak gjeldende vesentlig mislighold. Dette må også gjelde når et boligselskap ber om slike opplysninger overfor et boligselskap der en person tidligere har vært beboer. Opplysninger må også kunne gis til offentlige organ som har et berettiget behov for opplysningene. Styremedlemmer må kunne ta kontakt med barnevernet og politiet når det blir kjent med tilfeller av barnemishandling. Styret må også kunne sende bekymringsmelding til kommunale myndigheter når de mener at en beboer ikke er i stand til å ta vare på seg selv. I slike og lignende tilfeller kan ikke offentlige organ anses som uvedkommende.

3.5  KAMERAOVERVÅKNING

Etablering av kameraovervåking av fellesareal, slik som inngangsdører og portrom, krever melding til Datatilsynet. Personopplysningsloven har regler om adgangen til kameraovervåkning. Dette kan for eksempel også være aktuelt i heiser for å hindre hærverk. Det er opp til sameiet å vurdere og bestemme om det skal etableres en overvåkningsordning. Datatilsynet skal ikke godkjenne dette, men etablering av kameraovervåking av fellesareal krever melding til Datatilsynet og Datatilsynet kan nekte etablering og fjerne etablert system dersom tilsynet finner at det ikke er tilstrekkelig grunnlag for å etablere overvåking.

Kameraovervåkning er bare tillatt dersom formålet er:
å verne om liv eller helse eller forebygge gjentatte eller alvorlige straffbare handlinger,
virksomheten tilsier et behov for å forebygge at farlige situasjoner oppstår og ivareta hensynet til ansattes eller andres sikkerhet
og det for øvrig er et særskilt behov for overvåkingen.

Styret må altså redegjøre for og begrunne hvorfor sameiet har et særskilt behov for kameraovervåkning. Det er viktig å beskrive at det som blir filmet bare er relevant for formålet. Det er videre lettere å få samtykke dersom filmingen ikke vil krenke personvernhensyn. Det vil neppe være tilfelle i et søppelrom på same måte som for eksempel i en badstue eller oppgang (du ser hvem naboen tar med seg hjem etter fest). Datatilsynet har for øvrig uttalt at kameraovervåking for å sikre god kildesortering ikke vil bli tillatt. Personvernloven fastslår at det bare kan settes opp et kamera dersom det er nødvendig for å ivareta formålet, det vil i praksis si at styret må redegjøre for at formålet ikke kan oppnås ved noen alternative tiltak og at slik overvåking er et egnet tiltak for formålet.

Datatilsynet har uttalt at i boligselskap skal all form for kameraovervåking være forankret i et ønske blant beboerne, og det må være avklart at tiltaket har en sterk tilslutning. I praksis har vedtak med to tredjedels flertall på årsmøte blitt lagt til grunn som en grense, og det anbefales at overvåkingen vedtektsfestes. Det er altså ikke tilstrekkelig at et flertall i styret er for overvåkingen. Saken bør i tilfelle legges frem på slik måte at styremedlemmene fritas for ansvar dersom det rettes krav om økonomisk oppreisning eller annen erstatning mot styremedlemmer som følge av overvåkingen.

Generalforsamlingen og årsmøtet kan begrense styrets fullmakt til å etablere overvåking under forutsetning av at det skjer etter tillatelse fra og i henhold til de vilkår som Datatilsynet fastsetter. Det må være mulig å søke om samtykke fra Datatilsynet med opplysning om at sameiet ikke vil iverksette overvåking før generalforsamlingen eller årsmøtet har vedtatt slik overvåking slik at man slipper å innkalle til et møte som uansett ikke vil få noen betydning fordi datatilsynet ikke vil gi samtykke.

Området som skal overvåkes skal være tilstrekkelig merket på slik måte at det gjøres tydelig oppmerksom på at stedet blir overvåket, om overvåkningen inkluderer lydopptak og hvem som er behandlingsansvarlig. Etablering av fast kamera ved siden av en ringeklokke anses ikke som overvåking. I henhold til personopplysningsloven skal det etableres rutiner for sletting av data i samsvar med reglene i loven.
Det skal etableres rutiner for hvem som skal ha tilgang på bilder, samt etablere rutiner for merking og innlåsing av minnebrikker, taper og lignende Det skal kun være en sikkerhetsansvarlig i boligselskapet som skal ha tilgang til materialet. Materialet skal altså ikke være tilgjengelig for alle og enhver.

Dersom styret får fullmakt til å etablere et slikt system må det følge av fullmakten at styret uten nytt samtykke fra generalforsamling og årsmøte kan velge å ta ned systemet på et senere tidspunkt.

Dersom det ikke skal være meningen at styret skal ha denne friheten må vilkårene for å ta ned systemet også vedtas særskilt.

3.6  SKILTREGLER

Styret kan benytte navn på dørskilt, skilt i oppgang og på postkasser. Dette gjelder likevel ikke der en person har en særskilt interesse i personvern som overstiger boligselskapets interesse. Det kan for eksempel være tilfelles der en voldsutsatt person har behov for å beskytte seg mot en overgriper.

3.7  REGLER OM INNSYNSRETT I BOLIGSELSKAPETS DOKUMENTER
PROTOKOLL FRA STYREMØTER

Styret må vurdere hvilke opplysninger og hvordan opplysninger fra styremøter skal meddeles til eierne og eventuelt andre beboere. Det er slett ikke gitt at protokollen kan gjøres tilgjengelig for alle. Den kan inneholde personsensitive opplysninger og andre opplysninger som er omfattet av personvernregler og dermed omfattet av regler om taushetsplikt. Det utdraget eller den informasjon styret velger å gi kan gis i rundskriv eller ved oppslag på faste steder.

Styreprotokollen er et internt arbeidsredskap for styret som andre ikke uten videre har innsynsrett i. For boligaksjeselskaper følger dette av aksjeloven § 5-15. For eierseksjonssameier er det i juridisk teori antatt at seksjonseier ikke har krav på å få gjennomlese protokollene. De samme regler må også gjelde i borettslag. Det må også kunne følge av at styremedlemmer i borettslag har taushetsplikt om de opplysninger de får i egenskap av å være styremedlemmer. Eiere har ikke noe krav på å få gjennomgå protokollen, men kan kreve å få utskrift av den del av protokollen som gjelder en nærmere angitt sak som gjelder vedkommende. Eiere har ikke uten videre rett til å få opplysninger i en sak mellom andre

parter, for eksempel opplysninger i en sak som gjelder en eiers leilighet, men hvor partene er en tidligere eier og styret.

Retten til å få utskrift eller innsyn i en bestemt sak kan derfor bare gjelde så langt dette kan skje uhindret av personopplysningsloven.

3.8  INTERNREGNSKAP ELLER REGNSKAPSBILAG

En eier har etter mitt skjønn heller ikke noe rett til innsyn i internregnskap eller regnskapsbilag og har følgelig heller ikke rett til å få utlevert noen slike bilag. Domstolene fastslår av og til at det er slik uten at dette blir begrunnet. En seksjonseier kan for eksempel ikke kreve å få utlevert kopi av alle regnskapsbilag for å vurdere om fellesutgiftene er fastsatt på riktig måte.

Den som er misfornøyd kan kreve gransking. En oppstilling av hvordan et felleskostnadselement er beregnet og hva hver eier har betalt i fellesutgifter kan ikke anses som regnskapsbilag. Det er også en oppstilling som må kunne utgis uten at det strider mot personopplysningsloven eller

styremedlemmenes taushetsplikt. De beste hensyn taler for at styret både kan og bør videreformidle slike oversikter til de eiere som ønsker det.

3.9  REGLER OM TAUSHETSPLIKT

Styremedlemmer, varamedlemmer, alle andre tillitsvalgte i boligselskaper, forretningsfører og ansatte i disse selskaper og hos forretningsfører, har taushetsplikt om det de får vite i egenskap av å opptre på vegne av boligselskapet. Taushetsplikten gjelder også for medlemmer av mer uformelle organ og komiteer boligselskapet oppretter. Dette kan gjelde opplysninger om personlige forhold, tekniske innretninger og fremgangsmåter, samt drifts- eller forretningsforhold som det er viktig å hemmeligholde av konkurransehensyn.

Det ovenstående gjelder bare i borettslag og boligaksjeselskaper. Uforståelig nok gjelder andre regler i eierseksjonssameier. I forarbeidene til eierseksjonsloven av 1997 fremheves det nemlig at det ikke er behov for regler om taushetsplikt i eierseksjonssameier. Det er ikke uttalt noe annet i forarbeidene til eierseksjonsloven av 2017. Etter dette må det legges til grunn at styremedlemmer i eierseksjonssameier ikke har formell taushetsplikt om de opplysninger de får i egenskap av å være styremedlemmer. Reglene om vern av personopplysninger må likevel gjelde og hensynet til god og ordentlig opptreden tilsier likevel at de ovenstående regler om taushetsplikt følges også i eierseksjonssameier.

Taushetsplikten gjelder bare i forhold til uvedkommende. Taushetsplikt innebærer å hindre at uvedkommende får tilgang til opplysninger. Det er i utgangspunktet den som har taushetsplikt som skal vurdere om vedkommende vil gi opplysninger til andre. Dette kan likevel ikke strekkes så langt at den som har taushetsplikt kan unnlate å legge vekt på opplysninger som er relevante der det er riktig at det tas hensyn til opplysningene. Ved avgjørelsen av om en ny beboer skal godkjennes må et styremedlem ta hensyn til opplysninger om vold mot andre beboere og etter beste skjønn å vektlegge betydningen av disse opplysningene.

Det foreligger ikke taushetsplikt når ingen har berettiget interesse av at opplysningene holdes hemmelige, for eksempel fordi opplysningene har blitt allment kjent eller at en part selv har gått ut med opplysningene.

Taushetsplikten gjelder også etter at man har fratrådt som styre- eller varamedlem.
Opplysningene kan ikke senere benyttes verken i egen virksomhet eller i tjeneste for andre.

Brudd eller medvirkning til forsettlig brudd på taushetsplikten kan straffes med bøter.
Dette gjelder med mindre bruddet er av en slik karakter at det også kan straffes etter andre og strengere straffebestemmelser. Medvirkning straffes ikke. Uaktsomhet er her som ellers ikke nok for straffansvar. Dette kan blant annet begrunnes i hensynet til at brudd oftest kan tilbakeføres til tillitsvalgte som tar på seg oppgaver uten at det er stillet krav om profesjonalitet eller særskilte kvalifikasjoner.

3.10  OVERSIKT OVER HVEM SOM HAR PERSONOPPLYSNINGER OG PERSONREGISTER

Styret må påse at avtalen mellom boligselskapet og den avtalepart som behandler personopplysninger oppfyller kravene til databehandler avtale. Det er boligselskapet som i siste hånd anses som behandlingsansvarlig.

Avtalen må sikre at databehandleren oppfylle kravene til boligselskapet som behandlingsansvarlig, avtaleparten som databehandler, samt beboere og eiere som registrerte. Dette gjelder for eksempel forretningsfører og de som drifter overvåkningssystemer eller elektroniske låse-systemer.

3.11  OVERSIKT OVER REGLER OM PERSONOPPLYSNINGER OG PERSONVERN

  • Lov om behandling av personopplysninger (personopplysningsloven) av 15 juni 2018 nr. 38,
    gjelder fra 1. Juli 2018.
  • Forskrift i medhold av personopplysningsloven.

3.12  PERSONVERNERKLÆRING

Styret skal informere eiere og beboere om hvordan boligselskapet behandler person opplysninger. Opplysningene kan gis ved henvisning til en egen side på boligselskapets hjemmeside.

Vedlagt følger en mal for utarbeidelsen av slik informasjon. Dersom boligselskapet benytter «cookies» i boligselskapets nettside må boligselskapet ha en egen cookie-policy som må være tilgjengelig og godt synlig på hjemmesiden.