Datatilsynet har udpeget boligorganisationer og professionelle boligadministratorer som prioritert tilsynsområde i 2024 med fokus på to spor: registreredes rettigheder og brugen af tv overvågning. For udlejere betyder det et skærpet krav om dokumenteret GDPR compliance på tværs af processer og leverandører.
Datatilsynets rolle og tilsynsfokus
Datatilsynet fører uafhængigt tilsyn med efterlevelsen af databeskyttelsesforordningen og databeskyttelsesloven hos både myndigheder og private aktører. Tilsynet kan ske på baggrund af klager eller som led i generelle, risikobaserede kontroller uden konkret mistanke.
I år retter myndigheden en særlig opmærksomhed mod boligsektoren, hvor store mængder personoplysninger behandles om beboere, ansøgere og besøgende. Fokus er dels på håndteringen af de registreredes rettigheder hos boligorganisationer og administratorer, dels på lovligheden af tv overvågning i og omkring ejendomme.
Rettigheder og tv overvågning i boligorganisationer
Udlejere skal sikre, at anmodninger om indsigt, berigtigelse, sletning og begrænsning håndteres rettidigt og korrekt. Som udgangspunkt skal der gives svar inden en måned. Typiske datasæt omfatter lejeadministration, forbrugsmålinger, restancer og drift, herunder smart metering og energiforbrugsmålinger. Den fortsatte behandling kan være berettiget ved f.eks. inddrivelse af udeståender eller verserende sager i huslejenævnet.
Tv overvågning kræver dobbelt hjemmel: overholdelse af databeskyttelsesreglerne og tv overvågningsloven. Det indebærer klart behandlingsgrundlag, sagligt formål, skiltning, begrænsede adgangsforhold, slettefrister og kontrolleret videregivelse, når optagelser indeholder personoplysninger som personer eller nummerplader. Datatilsynet har offentliggjort en målrettet vejledning til boligorganisationer om tv overvågning, som bør indarbejdes i praksis. Se vejledningen hos Datatilsynet.
Myndigheden har tidligere understreget, at private boligorganisationer er forpligtet til at give indsigt efter databeskyttelsesreglerne, uanset at reglerne om aktindsigt i offentlighedslov og forvaltningslov ikke gælder. Det fremgår bl.a. af en afgørelse, hvor en boligforening fik alvorlig kritik for at afvise en beboers indsigt, jf. Datatilsynets afgørelse fra juli 2023.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →Sanktioner og praktiske anbefalinger
Overtrædelser kan medføre advarsler, offentlig kritik, påbud om at opfylde rettigheder eller i grovere tilfælde politianmeldelse med henblik på bøde. Bødestørrelsen afhænger bl.a. af karakter, omfang, antal berørte samt selskabets omsætning, i overensstemmelse med Datatilsynets bødevejledning for virksomheder.
Boligorganisationer bør forberede sig systematisk og styrke dokumentationen for efterlevelse. Følgende tiltag er centrale og kan gennemføres hurtigt:
- Opdater behandlingsfortegnelser, privatlivspolitikker og slettepolitikker med klare formål, retsgrundlag og retention.
- Indfør standardiserede procedurer og interne frister for at besvare rettighedsanmodninger, herunder identitetskontrol og beslutningslog.
- Gennemgå tv overvågning: formålsbeskrivelse, skiltning, adgangsstyring, slettefrister, databehandleraftaler og test af nødvendighed og proportionalitet.
- Validér behandlingsgrundlag for almindelige processer som restancehåndtering, energimålinger og håndtering af klagesager.
- Træn medarbejdere og dokumentér kontroller, hændelsesrespons og sikkerhedsforanstaltninger.
En risikobaseret tilgang og løbende kontrol er afgørende for at stå stærkt ved et eventuelt tilsyn og for at reducere risikoen for sanktioner.
Læs Datatilsynets vejledning om tv overvågning for boligorganisationer på datatilsynet.dk.
Se Datatilsynets afgørelse om alvorlig kritik ved afslag på indsigt på datatilsynet.dk.
