Søgning

Databeskyttelse GDPR

14. august 2020

Persondatasikkerhed ved opfyldelse af tilbudspligt

Også ved overdragelse af fast ejendom skal persondatasikkerheden iagttages, særligt når de involverede parter udveksler oplysninger. En ny afgørelse fra Datatilsynet fremhæver den dataansvarliges ansvar for at implementere tilstrækkelige sikkerhedstiltag, herunder gennemgang og anonymisering af dokumenter indeholdende personoplysninger.

I den konkrete sag skete der inden for ganske kort tid to ensartede sikkerhedsbrud i forbindelse med salg af en fonds udlejningsejendomme og opfyldelse af tilbudspligten i den forbindelse. Bruddene skete på trods af, at den ejendomsadministrator, der havde forestået tilbudspligten, havde rådført sig med et eksternt revisionsselskab om netop håndteringen af personoplysninger.

Generelt om tilbudspligt

Ved visse overdragelser af fast ejendom er ejeren af ejendommen i henhold til lejelovens regler forpligtet til at tilbyde lejerne i ejendommen at købe denne på samme vilkår og til samme pris, som hvis ejeren har indgået aftale med en køber. En tilbudspligt kan omfatte flere ejendomme.

Tilbudspligten udløses, når ejeren har indgået bindende (betinget) aftale med en køber om købet af ejendommen eller f.eks. om køb af aktierne eller anparterne i det selskab, der ejer ejendommen. Hvis lejerne overtager ejendommen, skal det ske ved, at der stiftes en andelsboligforening.


I forbindelse med udbud af ejendommen får en potentiel køber udleveret alle relevante oplysninger om ejendommen til brug for vurdering af, om man ønsker at købe ejendommen, til hvilken pris og på hvilke vilkår. Det omfatter blandt andet en række oplysninger om lejeforholdene, herunder indbetalte deposita, restancer, forbrugsoplysninger, lejekontrakter mm.


Hvis lejerne skal tilbydes ejendommen, skal de have de samme oplysninger udleveret til brug for deres vurdering af, om de vil overtage ejendommen gennem en andelsboligforening.


Den, der er dataansvarlig – ejendommens ejer eller i nogle tilfælde administrator – er ansvarlig for, at der alene udleveres de nødvendige og tilstrækkelige oplysninger, hvilket indebærer behørig gennemgang og anonymisering.

Ejendomsadministrator politianmeldt for utilsigtet videregivelse af personoplysninger

Datatilsynet har i den konkrete sag politianmeldt en ejendomsadministrator for – i forbindelse med opfyldelse af tilbudspligten – utilsigtet at have videregivet fortrolige og følsomme oplysninger om beboerne i de omhandlende ejendomme. Tilsynet har indstillet til en bøde på kr. 150.000.

Politianmeldelsen vedrører administrators udlevering af 424 USB-nøgler med bl.a. lejekontrakter, som ved en fejl indeholdt dokumenter med en række personnumre og en enkelt helbredsoplysning, hvorved der skete et brud på persondatasikkerheden.

Herudover fik ejendomsadministrator udtalt alvorlig kritik for – i forbindelse med samme tilbudspligt – endnu en gang at have videregivet personoplysninger ved en fejl. Denne gang var der på de udleverede USB-nøgler til beboerne i én af de omhandlende ejendomme en liste med oplysninger om beboerne i en af de andre ejendomme. Listen indeholdt oplysninger om adresse, beløb på depositum, beløb på forudbetalt husleje og i nogle tilfælde oplysninger om, at der var foretaget udlæg eller ”lån i depositum”. Der var således – cirka 14 dage efter det første brud – endnu en gang sket et brud på persondatasikkerheden.

Begrundelsen for afgørelsen var, at ejendomsadministratoren ikke havde gjort nok for at sikre, at personoplysninger ikke blev videregivet til uvedkommende. Administratoren blev i den konkrete sag anset for at være selvstændig dataansvarlig for personoplysninger om beboerne og havde derfor pligt til at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger.

Datatilsynet lagde ved det andet sikkerhedsbrud vægt på, at der blev videregivet personoplysninger til en forkert ejendom ved en fejl, og at denne fejl let kunne have været undgået ved gennemsyn af USB-nøglernes indhold – også for en person uden særlig fagkundskab. Sidste bemærkning knytter sig til den omstændighed, at ejendomsadministratoren havde rådført sig med et eksternt revisionsselskab forud for anden udlevering af USB-nøglerne. Dette ændrede dog ikke ved afgørelsens udfald, da fejlen ifølge Datatilsynet havde været nem at opdage, men tilsynet bemærkede da, at det udgjorde en formildende omstændighed.

I formildende retning talte også, at administratoren havde haft fokus på dataminimering, idet man trods alt havde gennemgået en række af dokumenterne og i den forbindelse bl.a. havde anonymiseret retsbogsudskrifter, afgørelser fra huslejeankenævnet samt restancelister.

Endelig fik ejendomsadministratoren også alvorlig kritik for ikke have anmeldt det andet sikkerhedsbrud til Datatilsynet indenfor de 72 timer, som man efter GDPR er forpligtet til.

Hele afgørelsen kan læses på Datatilsynets hjemmeside, hvor pressemeddelelsen om politianmeldelsen også er offentliggjort.

Focus Advokaters anbefalinger

I forbindelse med udbud og salg af fast ejendom er det selvfølgelig væsentligt, at den potentielle køber får adgang til alle nødvendige og relevante oplysninger om den pågældende ejendom. Så længe det ikke er nødvendigt at videregive personoplysninger, skal sådanne slettes fra materialet, så det ikke længere kan henføres til en fysisk person. Det er den dataansvarliges ansvar, at der ikke sker ulovlig videregivelse af personoplysninger.


Særligt for den type af oplysninger, der videregives vedrørende lejeforhold, kan der være fortrolige oplysninger om lejeres økonomiske forhold og visse tilfælde helbredsoplysninger, hvorfor der stilles ekstra høje krav til, hvor meget den dataansvarlige gør for at passe på oplysningerne – herunder særligt at undgå disse videregives til uvedkommende.

Det kan altid være en god idé at rådføre sig med en ekstern rådgiver for at få ekstra øjne på materialet, men det vigtigt at huske, at det ikke frigør ejeren eller administratoren selv for ansvar. Som minimum bør det samlede materiale – efter det er anonymiseret – gennemgås, inden det sendes til den potentielle køber.

Særlige faldgruber – vi har vejledning og GDPR-arrangement

Uanset om du driver en stor eller lille udlejningsvirksomhed – eller er ejendomsadministrator – er du omfattet af reglerne om databeskyttelse, og der påhviler dig adskillige forpligtelser ud over dem, der er nævnt her i artiklen. Focus Advokater har udarbejdet en særskilt vejledning om særlige faldgruber i håndtering af personoplysninger inden for udlejning. Derudover holder vi i efteråret et arrangement om samme emne. Her vil vi bl.a. komme omkring de generelle forpligtelser inden for GDPR, men bruge mest tid på at dykke ned i de typiske udfordringer, der er inden for udlejningsbranchen. Vi hører derfor gerne fra dig, hvis du har interesse i at deltage, og hvis du har nogle problemstillinger, du ønsker, vi også tager op på dagen. Datoen vil blive meldt ud via hjemmesidenyhedsbrev og sociale medier, når den ligger fast.

Arbejder du med udlejning og ønsker vejledningen om særlige faldgruber i håndtering af personoplysninger inden for udlejning tilsendt, eller har du input til vores kommende GDPR-arrangement, kan du skrive til hm@focus.advokater.dk.

Sparring og rådgivning fra vores eksperter

Ved overdragelse af en fast ejendom er det væsentligt, at alle forhold – såvel relateret til ejendomsret og lejeret som til persondataret – er afdækket. Focus Advokaters specialister bl.a. inden for fast ejendom og persondataretten/GDPR står klar til at hjælpe. Kontakt os for en uforpligtende snak.

Kontakt os

I Odense, Kolding, Svendborg og København

Tilmeld nyhedsbrev

Bliv opdateret på ny lovgivning, aktuelle juridiske problemstillinger og få invitation til vores faglige arrangementer via e-mail.



    Vælg hvilke nyhedsbreve du vil modtage

    Giv samtykke til