GDPR – også for byggebransjen

Illustrasjonsbilde: Getty Images

KRONIKK: I likhet med de fleste andre sektorer behandler aktører innen bygge- og eiendomsbransjen personopplysninger. Dette aktualiserer GDPR-relaterte problemstillinger.

30 Okt 2019

Av Bjørn Sondre Saltvik,
advokatfirmaet Glittertind AS

En problemstilling som har vært aktualisert i praksis, er kravet til formålsbegrensing ved behandling av personopplysninger. I dette innlegget vil det derfor gis en overordnet presentasjon av hva kravet til formålsbegrensing innebærer. EUs personvernregler, General Data Protection Regulation (GDPR), ble gjort til norsk rett i 2018. Reglene bygger på såkalte grunnleggende personvernprinsipper, som fremgår av GDPR artikkel 5. Personvernprinsippene danner bakteppet for de øvrige, mer finmaskede reglene i personvernregelverket.

For å danne seg et inntrykk av hva som kreves for å være «GDPR-compliant», bør derfor alle som behandler personopplysninger sette seg inn i denne bestemmelsen. Ved å behandle personopplysninger i tråd med prinsippene, vil bedrifter langt på vei ivareta retten til den enkeltes personopplysningsvern og dermed potensielt også skaffe seg et konkurransefortrinn ved å vekke tillitt hos kunden, ansatte og andre samarbeidspartnere. Praksis i tråd med prinsippene vil videre minske risikoen for å bli ilagt overtredelsesgebyrer, noe som i tillegg til å kunne bli dyrt, kan skade bedriftens omdømme.

I denne sammenheng bemerkes det at Datatilsynet kan ilegge overtredelsesgebyrer på opptil 20 millioner euro, eller 4 prosent av global omsetning. Formålsbegrensningsprinsippet går enkelt forklart ut på at alle personopplysninger må 1) samles inn til spesifikke, uttrykkelig angitte og berettigede formål, og 2) kun viderebehandles (dvs. brukes) på en måte som er forenlig med disse formålene, med mindre behandlingen bygger på den registrerte personens samtykke eller hjemmel i lov. Prinsippet følger nå av GDPR artikkel 5 nr. 1 bokstav b, men gjaldt langt på vei tilsvarende etter EUs gamle personvernregler.

I praksis innebærer prinsippet at de som behandler personopplysninger må vite hvorfor opplysningene samles inn og ha kontroll over hvordan opplysningene senere brukes. I denne sammenheng er det verdt å merke seg at nærmest enhver befatning med personopplysninger vil være å regne som «behandling» etter GDPR. I praksis har eksempelvis oppbevaring av ansattes personalmapper etter endt arbeidsforhold blitt ansett som «behandling». Videre er alle opplysninger som direkte eller indirekte kan kobles til personer, regnet som «personopplysninger».

I bygge- og eiendomsbransjen må man derfor være seg bevisst at også opplysninger man ikke umiddelbart anser som personopplysninger, regnes som personopplysninger etter GDPR. Eksempelvis kan nevnes GPS-data fra anleggsmaskiner, lastebiler eller firmabiler. Praksis fra personvernnemda viser at personvernrettens grunnleggende prinsipper håndheves. Så langt har sakene som omhandler formålsbegrensingsprinsippet vært knyttet til arbeidsgivers bruk av innsamlede personopplysninger om egne ansatte. Én av disse sakene gikk helt til Høyesterett og omtales gjerne som «Avfallsservice-dommen» (Rt.2013.143).

Avfallsservice-dommen gjaldt adgangen til å bruke allerede innsamlede personopplysninger til nye formål. I driften av et renovasjonsfirma hadde arbeidsgiver brukt et dataprogram til å kartlegge tidsbruk for rutene og optimalisere renovasjonsdriften. Programmet produserte opplysninger om blant annet hvor bilen befant seg og klokkeslett for ulike handlinger som f.eks. tømming av søppeldunker. Arbeidsgiver sammenholdt senere disse opplysningene med en ansatt sine timelister, for å avdekke og bekrefte mistanken om at den ansatte førte for mange arbeidstimer. Høyesterett slo i dommen fast at bruken var uforenlig med det opprinnelige formålet om å kartlegge tidsbruk for rutene og optimalisere renovasjonsdriften.

Dommen synliggjør at behandling i tråd med formålsbegrensingsprinsippet er et reelt krav til de som behandler personopplysninger, samt at reglen praktiseres nokså strengt.
Den 20. juli 2019 var det nøyaktig ett år siden GDPR ble inkorporert i norsk rett. Datatilsynet har brukt året på å veilede og gi informasjon, men har varslet at tilsynsvirksomheten gradvis vil intensiveres. Dette betyr at risikoen for å bli ilagt overtredelsesgebyrer øker for de som ikke har innarbeidet gode rutiner for å ivareta personopplysningsvernet.

Andre europeiske tilsynsmyndigheter har allerede ilagt store bøter; i januar ble Google ilagt en bot på 50 millioner euro av det franske datatilsynet (CNIL), mens det britiske datatilsynet (ICO) den 9. og 10. juli varslet at British Airways og hotellkjeden Marriott, vil bli ilagt overtredelsesgebyrer på henholdsvis drøyt 183 millioner pund og 99 millioner pund.

Dette synliggjør at brudd på GDPR potensielt kan få store konsekvenser. For å ivareta personvernet og unngå overtredelsesgebyrer, bør aktører innen bygge- og eiendomsbransjen derfor innarbeide gode rutiner for behandling av personopplysninger omgående, dersom de ikke allerede har gjort det.

Et godt sted å starte er i personvernprinsippene i GDPR artikkel 5.