Övervakningskamera på gul tegelbyggnad

Första GDPR-boten för fastighetsbranschen

Hantering av personuppgifter och data har blivit heta ämnen sedan införandet av GDPR i maj förra året, något som fick många bolag att oroa sig. Nyligen bötfälldes ett franskt fastighetsbolag av CNIL (franska datainspektionen) för att ha exponerat personlig data och inte vidtagit tillräckliga åtgärder för att eliminera säkerhetsrisken.

Sedan införandet av GDPR har den svenska Datainspektionen mottagit runt 3000 klagomål, varav mål rörande kamerabevakning och direktmarknadsföring är vanligast. I ett tidigt skede granskade myndigheten ett hundratal verksamheter och ett femtiotal gavs reprimander. Samtliga aktörer slapp denna gång sanktioner då regelverket vid tillfället fortfarande var nytt samt innebar enorma och omfattande förändringar.

Men fällande domar och sanktioner förekommer. En av de mer kända domarna i Europa är domen gentemot Google där franska datainspektionen CNIL bötfällde företaget med 50 miljoner euro (cirka 512 miljoner kronor). Orsaken var att Google inte hade varit tillräckligt tydliga i sin personuppgiftshantering.

Franska CNIL utfärdar sanktioner mot fastighetsbolag

Franska CNIL utfärdade även nyligen en bot på 400 000 euro (drygt 4 miljoner kronor) till ett företag specialiserade på fastighetsutveckling och -förvaltning. Företaget i fråga driver en webbsida där privatpersoner kan ansöka om att hyra bostäder samt ladda upp nödvändiga dokument. I augusti 2018 mottog CNIL ett klagomål från en användare som fått tillgång till andra användares dokument genom att göra en mindre ändring av webbadressen som visas i webbläsaren. Vidare undersökning visade att dokument som laddats upp av sökande var fritt tillgängliga utan vidare autentisering av användaren. Dokumenten som gick att komma åt var bland annat kopior av ID-kort, socialförsäkringskort, skattedeklarationer, intyg utfärdade av familjebidragsfonden, äktenskapsdomar, kontoutdrag och bankkontouppgifter.

Efter en inspektion visade sig att företaget varit medveten om bristerna sedan mars 2018, men inte vidtagit åtgärder förrän september samma år.

Tre av fyra svenskar oroar sig

Samtidigt rapporterade Datainspektionen tidigare i år att tre av fyra svenskar oroar sig för hur deras personuppgifter används. Minst förtroende fanns för sociala medier och appar. Datainspektionen rapporterar även att var sjätte svensk medborgare någon gång har använt sig av de nya rättigheterna, något som tyder på att många tycker att det är viktigt att veta hur deras personuppgifter behandlas.

Trots relativt få svenska reprimander rörande GDPR, kan (och kanske till och med bör) CNIL:s bot mot det franska fastighetsbolaget ses som en varning för framtiden.

Så anpassar sig Metry till GDPR

Metry lagrar och hanterar data på uppdrag av av majoriteten av de största fastighetsbolagen och -förvaltarna i Sverige. Därmed agerar vi personuppgiftsbiträde för de personuppgifter vi hanterar. Kontakta support@metry.io om ni vill upprätta ett personuppgiftsbiträdesavtal med Metry – vi har även mallar!

Innan GDPR trädde i kraft gjorde vi en översyn av vilken data som lagras och genom vilka system och länder datan överförs. Vi uppdaterade även vår integritetspolicy. Majoriteten av den data vi hanterar, det vill säga mätvärden, har alltid lagrats inom EU. För personuppgifter som lagras utanför EU, till exempel i USA, behövs särskilda avtal upprättas eller att aktören följer Privacy Shield. I de fall där vi hanterar data utanför EU har vi alltid säkerställt att leverantören lever upp till GDPR-standard.

Från och med september 2019 kommer vi att hantera alla supportärenden inom EU. Det innebär att alla våra kunders personuppgifter hanteras inom EU och gör att fastighetsbolagen får det GDPR-mässigt enklare att använda Metry.

Lagrar vi då framöver någon data utanför EU? Ja, vi kommer fortfarande lagra vår kodbas utanför EU och även mejllistor för våra nyhetsbrev.