Vanliga frågor om dataskydd för boende och husbolag
Personuppgifter är alla uppgifter som anknyter till en identifierbar person. Med hjälp av personuppgifter kan en person identifieras direkt eller indirekt. Vid behandling av personuppgifter ska kraven i dataskyddsförordningen alltid iakttas.
Personuppgifter som kopplas direkt till en person är till exempel namn, telefonnummer, e-postadress, hemadress, personbeteckning samt fotografier och videor där personen syns. Indirekt kan en person också kopplas exempelvis till uppgifter om bostadens nummer, fotografier av bostaden och andra uppgifter om bostaden.
Att enbart radera namn och andra identifieringsuppgifter innebär alltså inte alltid att den boende inte kan identifieras i andra uppgifter. Om personuppgifterna inte kan särskiljas från dessa uppgifter eller om personen på annat sätt kan identifieras i materialet, ska uppgifterna behandlas i enlighet med dataskyddslagstiftningen.
Om de tekniska uppgifter eller bilder av bostaden som samlas in i samband med en renovering kan kopplas till en person, kan de betraktas som personuppgifter (till exempel indelning av renoveringsuppgifterna enligt bostadens nummer). Exakta och omfattande mätningsuppgifter från en privat bostad, såsom avläsningar av vattenmätare eller temperaturmätningar, kan berätta mycket om en enskild boendes liv om uppgifterna kan kopplas till personen.
Det kan vara möjligt att behandla personuppgifter tekniskt så att de inte längre kan kopplas till en viss person utan tilläggsuppgifter (pseudonymisering) eller så att personen inte längre alls kan identifieras utifrån dem (anonymisering). Så länge uppgifterna kan återställas till identifierbar form är de fortfarande personuppgifter och ska behandlas i enlighet med dataskyddslagstiftningen. Huruvida pseudonymiserade uppgifter fortfarande är personuppgifter ska alltid bedömas ur varje aktörs synvinkel (se exempel nedan).
Om uppgifterna har kombinerats med en större datamängd och uppgifter om enskilda personer inte längre kan särskiljas från den, är det inte fråga om behandling av personuppgifter och dataskyddslagstiftningen tillämpas inte. Om uppgifterna på allmän nivå är tillräckliga rekommenderas att använda dem. Personuppgifter ska behandlas endast när det är nödvändigt.
Exempel
I tre av bostadsaktiebolagets bostäder har det framkommit reparationsbehov i våtrum för vilka bostadsaktiebolaget ansvarar. Det har gjorts en preliminär kartläggning av reparationsbehoven och fotografier har tagits i lokalerna. Reparationsbehoven har fotograferats på nära håll och fotografierna visar inte bilder på de boende, deras namn eller personliga tillhörigheter. Fotografierna är på grund av renoveringen ändå indelade enligt bostädernas nummer och kan därför kopplas till den boende. Därför ska fotografierna behandlas som personuppgifter i bostadsaktiebolaget.
Bostadsaktiebolaget begär anbud på reparationsarbeten av tre renoveringsföretag. Till anbudsförfrågan bifogas bilder på våtrummen så att företagen kan lämna anbud på arbetet. Bilderna skickas till företagen utan uppgifter om bostädernas nummer, de boendes namn eller annan identifierbar information om de boende. Utifrån fotografierna har renoveringsföretagen ingen möjlighet att identifiera de boende. Fotografierna är därför inte personuppgifter för det mottagande företaget i anbudsförfrågan.
Bostadsaktiebolaget ingår ett avtal om reparationsarbeten med renoveringsföretaget A. Till renoveringsföretaget A överlåts närmare uppgifter om de bostäder som ska renoveras och deras boende för att ordna renoveringen. Med dessa tilläggsuppgifter kan renoveringsföretaget A kombinera fotografierna av bostäderna med boendena. Fotografierna ska då behandlas som personuppgifter i renoveringsföretaget A.
Se också:
Läs mer om kraven i dataskyddslagstiftningen vid behandling av personuppgifter
För att fullgöra boendeskyldigheterna är det nödvändigt att behandla personbeteckningen för många ändamål. Personbeteckningen kan behandlas till exempel för uthyrningsverksamhet, fakturering, indrivning av fordringar och för sådana ändamål där det är viktigt att identifiera människor. Personbeteckningen får dock inte antecknas till exempel på fakturor eller meddelanden eller skrivas ut på dokument, om det inte finns ett tydligt behov av det.
Att behandla hyresgästens personbeteckning är motiverat för att fullgöra skyldigheterna i hyresförhållandet. Det finns dock ingen grund för systematisk insamling av barnens personbeteckningar i samband med uthyrning av bostaden.
Personbeteckningen är inte avsedd för identifiering utan endast för att särskilja personer från varandra. En personuppgiftsansvarig, såsom ett bostadsaktiebolag, får inte bygga sin identifieringspraxis enbart på begäran om personbeteckning och namn. Personbeteckningen får dock efterfrågas som en uppgift bland andra för att identifiera en person, om den kan jämföras med information som redan finns.
Noggranna bestämmelser om behandlingen av personbeteckningar finns i dataskyddslagen (1050/2018, 29 §). En personbeteckning får behandlas med personens samtycke eller om det föreskrivs om det i lag.
Se också:
Vanliga frågor om personbeteckningen
Biträdande dataombudsmannens beslut 7089/152/19 i Finlex-tjänsten (på finska)
Vilka uppgifter bostadsaktiebolaget, servicebolaget eller disponenten har rätt att behandla beror till exempel på för vilket ändamål personuppgifterna behövs och vilken typ av uppgifter det är fråga om. Ofta är behandlingen av personuppgifter nödvändig till exempel för att sköta bostadsaktiebolagets tjänster eller förvaltning, för disponentbyråns servicetjänster eller på grund av skyldigheterna i hyresavtalet.
Behandlingen av personuppgifter kräver inte alltid personens samtycke, utan de kan också behandlas på andra grunder, exempelvis med stöd av en lagstadgad skyldighet eller ett berättigat intresse.
Om bostadsaktiebolaget, servicebolaget eller disponenten ber dig om uppgifter vars betydelse eller användningsändamål du inte förstår, kan du be om mer information direkt av dem. Om du vill har du rätt att kontrollera vilka personuppgifter om dig som behandlas och för vilka ändamål. Framför en begäran om granskning direkt till den personuppgiftsansvarige, till exempel bostadsaktiebolagets styrelse eller disponentföretaget.
Om du inte får svar på din begäran inom en månad eller om du utifrån svaret anser att dina rättigheter har kränkts, kan du kontakta dataombudsmannen. Skicka begäran som du lämnat till den personuppgiftsansvarige till dataombudsmannen och svaret som du fått på begäran.
Se också:
Läs mer om utövandet av rätten till tillgång till uppgifter om dig själv
Vid sändningen av personuppgifter ska man alltid vara noggrann. När man använder vanlig e-post ska uppmärksamhet fästas vid hur känsliga eller riskfyllda uppgifter som skickas via e-post. Den personuppgiftsansvarige, såsom bostadsaktiebolagets styrelse, disponenten eller hyresbolaget, ska alltid på förhand bedöma riskerna i anslutning till behandlingen av personuppgifter. Teknisk utrustning, såsom den tjänst som används för att skicka uppgifterna samt den skyddsnivå som krävs, ska väljas utgående från riskerna. Ju känsligare uppgifter det är fråga om, desto bättre måste de skyddas.
Den personuppgiftsansvarige ansvarar för att säkerställa att de verktyg som används är tillräckligt säkra och garanterar ett tillräckligt dataskydd. Man kan inte avvika från denna skyldighet genom att be en person om samtycke till att använda en sådan plattform eller ett sådant kommunikationsmedel som inte uppfyller dessa krav.
Dataombudsmannen har ansett att om sådana uppgifter som inte innehåller något känsligt, riskfyllt eller sekretessbelagt skickas per e-post kan användningen av vanlig e-post vara tillräcklig. Sådana uppgifter kan till exempel vara vanlig kundservicekommunikation.
Däremot rekommenderas inte att man använder okrypterad e-post för att skicka känsliga och sekretessbelagda uppgifter, såsom uppgifter om social- och hälsovårdstjänster. Det rekommenderas inte heller att en personbeteckning skickas med vanlig e-post. Bostadsaktiebolaget, disponenten eller hyresbolaget ansvarar dock inte för vilken kommunikationskanal den boende eller delägaren själv har beslutat att använda för att skicka sina egna uppgifter.
Bostadsaktiebolag
För att bostadsaktiebolaget ska kunna behandla personuppgifter måste det alltid finnas en laglig behandlingsgrund. Grunden ska fastställas innan behandlingen av personuppgifter inleds och den kan inte längre bytas ut mitt under behandlingen. Behandlingsgrunden påverkar vilka rättigheter de boende och delägarna har i förhållande till bostadsaktiebolaget.
Dataskyddsförordningen innehåller sex olika grunder för behandling av personuppgifter:
- ett samtycke av den registrerade
- ett avtal
- en rättslig förpliktelse för den personuppgiftsansvarige
- skydd av vitala intressen
- en uppgift som gäller ett allmänt intresse eller offentlig makt
- ett berättigat intresse hos den personuppgiftsansvarige eller en tredje part.
Läs mer om behandlingsgrunderna
Det ska också finnas ett motiverat behov av behandlingen av personuppgifter. Behandlingen av personuppgifter är ofta nödvändig för att genomföra vissa tjänster. Bostadsaktiebolaget kan också ha flera lagstadgade skyldigheter som förutsätter behandling av personuppgifter.
Exempel: Att hålla namntavlan synlig i trappuppgången
I den etablerade myndighetstolkningen har man ansett att man kan motivera att en namntavla hålls synlig bland annat för att underlätta räddningsverksamheten. I vissa kommuner finns bestämmelser i byggnadsordningen om skyldigheten att ha en namntavla i fastighetens trappuppgång.
Exempel: Bokningslistor för bastu och listor över innehavare av parkeringsplatser
I praktiken är det nödvändigt att upprätthålla en bokningslista för bastun och en lista över innehavare av parkeringsplatser för att bostadsaktiebolaget ska kunna erbjuda sådana tjänster. Bostadsaktiebolaget ska dock överväga med vilken noggrannhet anteckningarna på listorna ska göras och vem som behöver ha tillgång till listorna. På olika turlistor ska man inte i onödan anteckna personuppgifter som inte behövs för att syftet med listan ska uppnås. På bokningslistan för bastun eller på listan över parkeringsplatsinnehavare som finns i allmänna utrymmen kan man alltså använda till exempel beteckningen "reserverad" eller lägenhetens nummer, om en sådan uppgift räcker till för att upprätthålla listan.
I regel får personuppgifter behandlas i bostadsaktiebolaget av dem som har rätt att behandla uppgifterna på grund av sin uppgift eller ställning. De ska ha ett motiverat behov av att behandla uppgifterna. Bostadsaktiebolaget ska se till att det finns tillräckliga anvisningar för behandlingen av personuppgifter och säkerställa att endast de som har rätt till uppgifterna har tillgång till dem. Personuppgifter får inte heller delas med aktörer som inte har grundad anledning att behandla dem.
Exempel: Vem har rätt att få en rapport om konditionskartläggningen?
Det kan finnas ett motiverat behov av att få en rapport om konditionskartläggningen av en enskild lägenhet till exempel för bostadsaktiebolagets styrelse, det servicebolag som ansvarar för servicen och underhållet av bostadsaktiebolaget, lägenhetens aktieägare, en förmedlingsrörelse som har ett gällande förmedlingsuppdrag eller delägarna, när rapporten behövs för att besluta om bostadsaktiebolagets reparationer. Personuppgifter ska dock inte delas till fler eller i större omfattning än vad som är nödvändigt. Om det inte är nödvändigt att lämna ut personuppgifterna i rapporten till någon instans är det skäl att dölja eller radera dem från den version som lämnas ut.
De boende och delägarna har rätt att få information om behandlingen av sina personuppgifter, och bostadsaktiebolaget ska informera dem om detta öppet och i rätt tid.
Informationen om behandlingen av personuppgifter sker vanligtvis med en dataskyddsbeskrivning, som ska vara en kortfattad redogörelse i lättbegriplig form över bostadsaktiebolagets behandling av personuppgifter, det vill säga bland annat vilka personuppgifter, för vilka ändamål och på vilket sätt bostadsaktiebolaget behandlar dem. Dataskyddsbeskrivningen ska vara lätt att se till exempel på bostadsaktiebolagets webbplats eller på anslagstavlan i trappuppgången.
Se också:
Innan en elektronisk flyttanmälan tas i bruk ska bostadsaktiebolaget försäkra sig om att webblanketten är tillräckligt datasäker och att den uppfyller dataskyddskraven. De uppgifter som ska fyllas i på blanketten får inte förmedlas till utomstående eller till en sådan aktör vars verksamhet bostadsaktiebolaget inte kan övervaka på behörigt sätt.
Bostadsaktiebolaget ska också se till att onödiga uppgifter inte samlas in via blanketten. Detta innebär till exempel att det inte är obligatoriskt för alla att lämna sådana uppgifter på blanketten som endast behövs i undantagsfall. Sådana uppgifter ska begäras separat endast av de berörda personerna.
De uppgifter som samlas in med den elektroniska blanketten ska förstöras när de inte längre behövs.
Se också:
När bostadsaktiebolaget väljer kommunikationskanaler är det skäl att noggrant bekanta sig med tjänsternas användarvillkor, säkerhet och dataskyddsbeskrivningar innan tjänsten tas i bruk.
Sociala medier rekommenderas i allmänhet inte för behandling av bostadsaktiebolagets personuppgifter, eftersom deras användarvillkor ofta är standardiserade och bostadsaktiebolaget inte har möjlighet att påverka dem. Tjänster i sociala medier behandlar vanligtvis användarnas personuppgifter även för egna ändamål. Bostadsaktiebolaget kan inte kräva att de boende använder sociala medier för att få väsentlig information om boendet.
Om bostadsaktiebolaget bildar en grupp för informell kommunikation ska rollerna och ansvaren i anslutning till behandlingen av personuppgifter beaktas. Bostadsaktiebolaget kan vara personuppgiftsansvarig för de personuppgifter som behandlas i gruppen eller fungera som gemensam personuppgiftsansvarig med plattformen för sociala medier. Detta beror på plattformen och dess villkor.
I båda situationerna ansvarar bostadsaktiebolaget för behandlingen av personuppgifter i gruppen och ska följa den personuppgiftsansvariges skyldigheter. Bostadsaktiebolaget ska bland annat fastställa för vilka ändamål uppgifterna behandlas och informera gruppmedlemmarna om det.
De boende kan också själva bilda informella grupper. Bostadsaktiebolaget ansvarar inte för behandlingen av personuppgifter i anslutning till en sådan grupp om bolaget inte administrerar gruppen, använder den för information, modererar diskussionen eller på annat sätt definierar gruppens villkor och hur personuppgifterna behandlas och de boende har en genuin möjlighet att sköta ärenden i anslutning till boendet utan att höra till gruppen.
Se också:
I dataskyddsförordningen föreskrivs om rätten till insyn, på basis av vilken en person har rätt att få veta vilka uppgifter som behandlas om honom eller henne.
Att kontrollera de egna personuppgifterna är i regel avgiftsfritt. Endast i undantagsfall, det vill säga när begäran om uppgifter är kontinuerlig, oskälig eller uppenbart ogrundad, kan bostadsaktiebolaget ta ut skäliga administrativa kostnader för utövandet av rätten till insyn.
Med stöd av lagen om bostadsaktiebolag kan skälig ersättning krävas för sändande av disponentintyg.
När en boende eller delägare vill ta del av personuppgifter som gäller honom eller henne själv, ska bostadsaktiebolaget skicka en kopia av de uppgifter som behandlas till honom eller henne. Om personen framställer begäran elektroniskt, ska uppgifterna lämnas i en allmänt använd elektronisk form, om personen inte begär något annat. Det finns inga formkrav för begäran om kontroll av uppgifter och för att framställa begäran kan man inte kräva endast en viss kontaktkanal, såsom att använda en viss blankett eller uträtta ärenden på plats.
Bostadsaktiebolaget ska svara på den boendes begäran utan obefogat dröjsmål och senast inom en månad. Om begärandena är många eller komplicerade kan tidsfristen förlängas med högst två månader. Den som framställt begäran ska underrättas om att tidsfristen förlängts och detta ska motiveras.
Det ska finnas en lagenlig grund för vägran att svara på begäran. Till exempel:
- Rätten att få en kopia av uppgifterna skulle ha en negativ inverkan på andra människors rättigheter och friheter.
- Begärandena är uppenbart ogrundade eller oskäliga, särskilt om de framställs upprepade gånger. Bostadsaktiebolaget ska visa att det är ogrundat eller oskäligt, eller alternativt kan det ta ut en skälig avgift för att genomföra begäran.
- Lämnandet av informationen kan försvåra förebyggandet eller utredningen av brott eller skada den allmänna ordningen och säkerheten.
- Lämnandet av informationen kan medföra allvarlig fara för individens hälsa eller vård eller för individens eller någon annans rättigheter.
Bestämmelser om grunderna för vägran finns i artikel 12 och 15.4 i dataskyddsförordningen samt i 31 och 34 § i dataskyddslagen.
Till exempel disponentföretag, servicebolag eller entreprenörsföretag kan behandla personuppgifter för bostadsaktiebolagets räkning. Då är de personuppgiftsbiträden och bostadsaktiebolaget är personuppgiftsansvarig. Den personuppgiftsansvarige beslutar på vilka sätt och för vilka ändamål personuppgifterna behandlas och är skyldig att ge personuppgiftsbiträdena anvisningar för behandlingen.
Behandlingen av personuppgifter ska avtalas skriftligen. Avsaknaden av ett avtal för behandling strider mot dataskyddsförordningen. I behandlingsavtalet ska anges
- Föremålet för och varaktigheten av behandlingen av personuppgifter på husbolagets vägnar
- På vilka sätt personuppgifterna behandlas och för vilka ändamål
- Vilka personuppgifter behandlas (t.ex. kontaktuppgifter eller betalningsuppgifter) och vem som berörs av dem (t.ex. delägare eller hyresgäster)
- Den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter och rättigheter
I behandlingsavtalet ska det dessutom fastställas att personuppgiftsbiträdet
- Behandlar personuppgifter endast enligt bostadsaktiebolagets skriftliga anvisningar
- Säkerställer att personer som verkar under personuppgiftsbiträdet och som har rätt att behandla personuppgifter har förbundit sig till konfidentialitet eller omfattas av sekretessplikt
- Genomför alla nödvändiga åtgärder för att säkerställa behandlingens säkerhet
- Följer skyldigheterna i anslutning till användningen av ett annat personuppgiftsbiträde (s.k. underbiträde). Ett underbiträde får inte användas utan att bostadsaktiebolaget på förhand gett ett skriftligt tillstånd till det.
- Hjälper bostadsaktiebolaget att i mån av möjlighet svara på individers begäranden som gäller dataskyddsrättigheter. Skyldigheterna och ansvaren ska definieras tydligt i avtalet. Bostadsaktiebolaget har själv huvudansvaret för att rättigheterna tillgodoses.
- Hjälper bostadsaktiebolaget att säkerställa behandlingens säkerhet, anmäla personuppgiftsincidenter och göra konsekvensbedömningar av dataskyddet
- Raderar eller returnerar enligt bostadsaktiebolagets anvisningar alla personuppgifter till bostadsaktiebolaget efter att tillhandahållandet av tjänsten har upphört. Eventuella kopior ska förstöras om det inte finns en lagstadgad skyldighet att bevara dem.
- Gör alla uppgifter tillgängliga för bostadsaktiebolaget med vilka man kan påvisa att skyldigheterna i den allmänna dataskyddsförordningen iakttas
- Möjliggör auditeringar, såsom inspektioner, och deltar i dem. Auditeringarna kan utföras av den personuppgiftsansvarige eller någon annan aktör som den personuppgiftsansvarige befullmäktigat.
Exempel:
I behandlingsavtalet kan bostadsaktiebolaget komma överens med servicebolaget om en praxis där servicebolaget har rätt att få uppgifterna i boenderegistret, så att dörren endast öppnas för en boende som antecknats i boenderegistret och vars identitet kan styrkas till exempel med ett identitetsbevis.
Se också:
När bostadsaktiebolaget fungerar som personuppgiftsansvarig ansvarar det också för behandlingen av personuppgifter som utförs för dess räkning. Till exempel kan ett disponentföretag, ett servicebolag, en entreprenör eller en webbtjänstleverantör (såsom en elektronisk lagringstjänst för handlingar eller en tjänst för webblanketter) som bostadsaktiebolaget använder behandla personuppgifter för bostadsaktiebolaget.
Om till exempel ett servicebolag eller en webbtjänstleverantör inte följer dataskyddsbestämmelserna när det behandlar personuppgifter för bostadsaktiebolagets räkning i rollen som personuppgiftsbiträde, kan påföljderna för brott mot dataskyddsregleringen riktas till bostadsaktiebolaget som är personuppgiftsansvarig.
Servicebolaget, disponentföretaget och andra personuppgiftsbiträden ansvarar också själva för att dataskyddsförordningen och bostadsaktiebolagets anvisningar om behandling av personuppgifter iakttas i deras verksamhet. Dessutom kan de vara ansvariga inför bostadsaktiebolaget för brott mot avtalet om behandling av personuppgifter.
Uthyrningsverksamhet och bostadsvisningar
Säljaren och förmedlingsrörelsen är skyldiga att ge den som överväger ett köpeanbud all information som är viktig för att fatta köpbeslutet. Bestämmelser om informationsskyldigheten finns i lagen om förmedling av fastigheter och hyreslägenheter (1074/2000, den s.k. förmedlingslagen).
När bostaden säljs uthyrd får den som överväger att lämna ett anbud informeras om frågor som gäller hyresförhållandet (t.ex. villkoren i hyresavtalet, hyresförhållandets längd, hyresbetalning eller eventuella problem). Förmedlingsrörelsen ska dock säkerställa att de handlingar som ges till en potentiell köpare inte innehåller sådana personuppgifter som är onödiga med tanke på köpbeslutet. Onödiga personuppgifter ska döljas eller raderas. Hyresgästens kontaktuppgifter får inte lämnas ut utan dennes tillstånd.
Hela hyresavtalet får inte visas för de potentiella köparna till exempel vid bostadsvisningen, om inte hyresgästen har gett sitt samtycke till detta. Hyresavtalet kan presenteras för den som överväger att lämna ett köpeanbud så att hyresgästens personuppgifter täcks över. Hela hyresavtalet kan visas för den potentiella köparen av bostaden i samband med att denna ger sitt anbud.
I 10 § förmedlingslagen finns särskilda bestämmelser om de uppgifter som förmedlingsrörelsen ska visa upp innan ett avtal om köp eller arrende av en fastighet ingås. Den potentiella köparen ska bland annat få en kopia av arrendeavtalet samt ett bevis över inskrivning av arrenderätten och ett gravationsbevis som gäller arrenderätten, om föremålet för köpet är en arrenderätt jämte byggnader.
Förmedlingsverksamheten övervakas från och med den 1 januari 2026 av Tillstånds- och tillsynsverket.
Se också:
Tillsyn över förmedlingsrörelser på Tillstånds- och tillsynsverkets webbplats (lvv.fi)
Dataombudsmannens beslut 7221/163/18 i Finlex-tjänsten (på finska)
Man kan inte kräva att den som flyttar bort från en bostad lämnar ut sina personuppgifter till en framtida boende. Arrangemang i anslutning till flytten till exempel vid byte av hyresgäst förutsätter inte direkt kontakt mellan den nya och den gamla hyresgästen.
Om bostadsaktiebolaget använder en elektronisk flyttanmälan får man inte i de obligatoriska fälten på blanketten kräva att en boende som flyttar bort ger sina kontaktuppgifter till utomstående, såsom dem som är intresserade av att hyra bostaden. Den boende kan dock frivilligt ge sina kontaktuppgifter.
Förmedlingsrörelsen kan samla in namn på och kontaktuppgifter till dem som deltar i bostadsvisningen antingen före eller under visningen. Detta kan vara motiverat särskilt om någon fortfarande bor i bostaden eller om ett stort antal deltagare förväntas delta i visningen.
Förmedlingsrörelsen är skyldig att skydda den boendes och ägarens egendom mot skadegörelse och stölder. Därför kan det vara motiverat att säkerställa att de som deltar i visningen kan nås och identifieras vid eventuella problemsituationer.
Även vid insamling av personuppgifter i anslutning till bostadsvisning ska man säkerställa att onödiga uppgifter inte samlas in.
Förmedlingsrörelsen är också skyldig att informera besökarna på bostadsvisningen tillräckligt om behandlingen av personuppgifter och bland annat berätta om uppgifternas användningsändamål och lagringstider.
Se också:
Om personuppgifterna har samlats in endast för deltagandet i bostadsvisningen, kan de lagras endast så länge som de behövs för detta ändamål. Uppgifterna får inte lagras endast för säkerhets skull, utan det måste finnas ett tydligt behov av dem.
Om en person som deltagit i visningen av en hyresbostad har gjort en ansökan om bostad, ska uppgifterna i ansökan lagras i fem år efter att uthyrningsuppdraget har upphört. Bestämmelser om denna lagstadgade lagringstid finns i 10 § 3 mom. i förmedlingslagen.
Kontaktuppgifter till besökare på en bostadsvisning får inte användas för elektronisk direktmarknadsföring, om de inte separat har ombetts ge sitt samtycke till direktmarknadsföring.
Se också:
Registrerande passerkontroll, dvs. elektroniskt lås
De uppgifter om passerkontrollen som samlas in av de elektroniska låssystemen är personuppgifter, och vid behandlingen av dem ska dataskyddslagstiftningen iakttas.
Det måste finnas ett motiverat behov av passerkontroll, och passerkontrolluppgifter får inte samlas in endast för säkerhets skull. Behovet ska bedömas utifrån vad som eftersträvas med passerkontrollen. Innan systemet tas i bruk ska bostadsaktiebolaget bedöma om dessa mål kan uppnås med metoder som inkräktar mindre på skyddet för privatlivet. Denna bedömning ska dokumenteras.
Det elektroniska låssystemet ska installeras så att det inte samlar in för mycket uppgifter om passerkontrollen. Bostadsaktiebolaget ska säkerställa att det samlar in passerkontrolluppgifter endast i sådana lokaler där det är nödvändigt. Registrerande elektroniska lås kan till exempel monteras enbart på dörrar i vissa utrymmen. Om det alltså till exempel endast i bostadsaktiebolagets lösöresförråd finns behov av passerkontroll, kan passerkontroll inte installeras på alla dörrar i byggnaden på denna grund.
Vid anskaffning av anordningar och system för passerkontroll ska uppmärksamhet fästas vid deras säkerhet och tekniska egenskaper. Ett elektroniskt låssystem kan spara uppgifterna lokalt i en låskista eller till exempel i ett moln. Riskerna i anslutning till personuppgifter är ofta mindre om apparaten endast sparar uppgifterna lokalt.
Bostadsaktiebolaget bör bedöma eventuella risker med det elektroniska låssystemet innan det tas i bruk och vidta ändamålsenliga riskhanteringsåtgärder. Bolaget ska till exempel se till att man i avtalet som ingås med tjänsteleverantören av det elektroniska låssystemet tydligt definierar rollerna och ansvaren i anslutning till behandlingen av personuppgifter.
Bostadsaktiebolaget ska säkerställa att
- det är motiverat och nödvändigt att införa passerkontroll,
- det finns en grund enligt dataskyddsförordningen för behandling av de personuppgifter som uppkommer vid passerkontrollen,
- de boende informeras öppet och tydligt om behandlingen av passerkontrolluppgifter,
- endast personer som har rätt att behandla de personuppgifter som uppkommer vid passerkontrollen har tillgång till dem,
- passerkontrollanordningar och -system endast samlar in nödvändig information,
- det fastställs en lämplig lagringstid som grundar sig på ett behov enligt användningsändamålet för personuppgifter som uppkommer vid passerkontrollen och
- riskerna i anslutning till behandlingen av personuppgifter har bedömts på förhand och nödvändiga åtgärder har vidtagits för att hantera riskerna.
Se också:
Om bostadsaktiebolaget tar i bruk ett elektroniskt låssystem ska det redan på förhand planera en lämplig lagringstid för passerkontrolluppgifterna. Längden på uppgifternas lagringstid beror på för vilka ändamål passerkontrolluppgifterna lagras.
Bostadsaktiebolaget ska se till att det av misstag inte godkänner lagringstiden enligt standardinställningarna för de elektroniska låsen som sådan. Lagringstiden ska fastställas till den tidsperiod under vilken uppgifterna verkligen behövs för sitt användningsändamål.
Se också:
Kameraövervakning
Bostadsaktiebolaget ansvarar för att kameraövervakningen är säker och lagenlig. Beakta följande när du planerar och genomför kameraövervakning i bostadsaktiebolagets lokaler:
- Innan du tar i bruk kameraövervakningen ska du ta reda på om det finns andra metoder som ingriper mindre i integriteten. Dokumentera bedömningen.
- Definiera de områden som ska övervakas så att de motsvarar kameraövervakningens syften och behov. Se till att kamerorna inte filmar områden där det inte är nödvändigt.
- Beakta hemfridsskyddet när du placerar kamerorna. Se till att man inte genom kameraövervakning ingriper i de boendes eller andra människors integritet i större utsträckning än vad som är nödvändigt för ändamålet.
- Säkerställ att det finns en laglig behandlingsgrund för de personuppgifter som kameraövervakningen ger upphov till.
- Definiera hur de boendes dataskyddsrättigheter tillgodoses när det gäller inspelningar från kameraövervakningen.
- Gör en intern dokumentering av behandlingen av personuppgifter. Inkludera vid behov till exempel en beskrivning av behandlingsåtgärderna och en konsekvensbedömning av dataskyddet.
- Definiera vem i bostadsaktiebolaget eller till exempel på disponentkontoret eller servicebolaget som på grund av sina arbetsuppgifter eller sin ställning har rätt att titta på eller hantera inspelningarna.
- Ge anvisningar om behandlingen av kameraövervakningsuppgifter till de aktörer som fungerar som personuppgiftsbiträden, såsom disponenten, säkerhetstjänsten eller servicebolaget.
- Definiera hur inspelningen skyddas mot utomstående och vilka informationssäkerhetsåtgärder som används.
- Informera om när kameraövervakningen inleds och genomförs samt hur och i vilka situationer eventuella inspelningar används. Informera tydligt och transparent om bland annat vem som är personuppgiftsansvarig för de uppgifter som uppkommer vid kameraövervakningen, ändamålen med behandlingen av personuppgifter samt behandlingsgrunden, mottagarna av personuppgifter (alltså till vem uppgifterna lämnas ut), lagringstiderna och dataskyddsrättigheterna.
- Meddela om kameraövervakningen och hur den genomförs synligt i de lokaler där kameraövervakningen genomförs.
- Använd inspelningarna endast för de lagliga användningsändamål som du planerat och meddelat på förhand och för vilka kameraövervakningen har tagits i bruk.
- Ange lagringstiden för inspelningarna och förstör dem genast när de inte längre behövs.
Läs också svaret på frågan ”Får husbolaget installera en övervakningskamera i trappuppgången eller på gården?”
Se också:
Europeiska dataskyddsstyrelsens riktlinjer om kameraövervakning (pdf)
Det går inte att ge en allmängiltig anvisning som passar alla situationer för när man får ha kameraövervakning eller i fråga om var övervakningskamerorna får placeras. Bostadsaktiebolaget måste bedöma sin egen situation från fall till fall när det överväger att införa kameraövervakning.
Med tanke på kameraövervakningens laglighet är det väsentligt för vilka ändamål och på vilket sätt övervakningen genomförs, hur man informerar om den och hur inspelningarna behandlas. Bostadsaktiebolaget ska på förhand noggrant fastställa syftet med kameraövervakningen och grunderna för den.
Bostadsaktiebolaget ska också bedöma om det finns alternativa metoder som kunde användas i stället för kameraövervakning och som skulle ingripa i integritetsskyddet i mindre utsträckning än kameraövervakningen. Det är också bra att överväga om kameraövervakning kan utföras på sätt som inkräktar mindre på integriteten. Övervakningen kan till exempel begränsas till vissa klockslag. Kameraövervakning som endast sparar bilder ingriper mindre i integritetsskyddet än ett system som sparar både bild och ljud.
Vid placeringen av kameran ska särskilt syftet med övervakningen samt hemfridsskyddet beaktas. Hemfridsskyddet får inte kränkas genom att till exempel filma dörrar till privatbostäder eller trappuppgången som leder till privatbostäder utan de boendes samtycke.
Bostadsaktiebolaget ska säkerställa att kamerorna inte filmar sådana platser där det inte är nödvändigt med tanke på kameraövervakningens syfte. Om syftet till exempel är att skydda cykellagret mot eventuella stölder är det inte nödvändigt att filma sopskjulet för detta ändamål.
Läs också svaret på frågan ”Vad ska bostadsaktiebolaget beakta när det överväger att installera kameraövervakning i bostadshusets lokaler?”
Se också:
När en privatperson filmar sin gård med en övervakningskamera kan det så kallade undantaget för hushåll tillämpas. Det innebär att dataskyddslagstiftningen inte tillämpas om det endast är fråga om personlig verksamhet eller verksamhet som gäller hushållet.
Även privatpersoner ska se till att de inte gör sig skyldiga till exempelvis olovlig observation eller olovlig avlyssning eller kränker andras integritetsskydd. Detta ska särskilt beaktas vid placeringen och riktningen av kameror. Den som utför kameraövervakning ansvarar i regel själv för att verksamheten är lagenlig.
Till dataombudsmannens byrås behörighet hör inte utredning av brott, utan tillämpningen och tolkningen av strafflagen hör till polisen och i sista hand till domstolarna.
Exempel:
En boende i ett egnahemshus följer med och filmar sin egen trädgård med en övervakningskamera. Fastigheten är inhägnad och endast den boende och dennes familj besöker regelbundet trädgården. Om kameraövervakningen endast riktas mot den egna gården och inte ens delvis sträcker sig till ett allmänt utrymme, gatan eller grannfastigheten, är det fråga om undantag för hushåll och i detta fall tillämpas inte dataskyddslagstiftningen på kameraövervakningen.