Datatilsynet har i 2024 særligt fokus på boligorganisationer, -foreninger og -administratorer. Udlejere behandler løbende personoplysninger om lejere og skal kunne dokumentere lovlig hjemmel, passende sikkerhed og effektive procedurer for at efterleve GDPR, især ved tv-overvågning og håndtering af rettighedsanmodninger.
Tv-overvågning
Opsætning og drift af kameraer kræver et behandlingsgrundlag efter GDPR og skal være nødvendig og proportional i forhold til et legitimt formål, typisk kriminalitetsforebyggelse. Reglerne i tv-overvågningsloven skal samtidig overholdes. Boligorganisationer, der repræsenterer husstande i et område, skal som udgangspunkt have politiets tilladelse til overvågning af boligområder og tilknyttede arealer. Lydoptagelse er som udgangspunkt forbudt, da det vil stride mod straffelovens regler om aflytning.
Formålsbegrænsning betyder, at optagelser ikke må anvendes til andre formål, der ligger væsentligt uden for det oprindelige, fx brug af optagelser til husordenskontrol, hvis formålet var indbrudsforebyggelse. Der skal være klar skiltning, og oplysningspligten efter GDPR skal opfyldes, typisk via en privatlivspolitik målrettet tv-overvågning. Sikkerheden skal være passende, herunder adgangsbegrænsning til relevante personer, logning og procedurer for sletning. Som udgangspunkt må optagelser kun opbevares i en kort, fastsat periode, med forlængelse kun for konkrete sekvenser, der er nødvendige i en tvist eller efter anmeldelse af et strafbart forhold.
Videregivelse af optagelser er snævert begrænset og kan som udgangspunkt kun ske med udtrykkeligt samtykke, når det følger af lov, eller til politiet med henblik på opklaring. Det er også videregivelse at lade andre gennemse optagelser. Skriftlige beskrivelser af hændelser, der indeholder oplysninger om fysiske personer, er fortsat omfattet af GDPR.
Rettighedsanmodninger
Lejere har ret til indsigt i og kopi af de personoplysninger, udlejer behandler, herunder relevante tv-optagelser. Udlejer bør straks sikre de ønskede optagelser, inden automatisk sletning indtræffer, og kan bede om oplysninger som tid og sted for at finde materialet. Andre personer på billederne skal anonymiseres eller sløres, da indsigt kun vedrører den registrerede selv. Åbenbart grundløse eller overdrevne anmodninger kan afvises.
Ved behandling af anmodninger gælder følgende hovedpunkter:
- Udlejer skal som udgangspunkt besvare uden unødig forsinkelse og senest inden en måned.
- Anmodninger er som udgangspunkt gebyrfri.
- Efterlevelse må ikke kompromittere andres personoplysninger.
- Der er ingen formkrav; medarbejdere skal kunne identificere og håndtere anmodninger korrekt.
Udlejer bør have skriftlige procedurer og skabeloner for rettighedsanmodninger samt klare roller og eskalationsveje.
Praktiske tiltag
Udlejere kan styrke compliance ved at gennemgå behandlingsaktiviteter, opdatere privatlivspolitikker og skiltning, og sikre, at systemer kan udtrække, sløre og slette optagelser selektivt. Leverandørforhold bør afklares i databehandleraftaler, og adgang til optagelser begrænses teknisk og organisatorisk.
Det anbefales at etablere et fast kontrolspor med fortegnelser, slettepolitikker og træning af medarbejdere. En samlet, dokumenteret governance-ramme gør det lettere at demonstrere efterlevelse ved tilsyn og reducerer risikoen for brud og ulovlig brug af overvågningsdata.
