Leietakers bruk av bygg etterlater seg en rekke data som utleier kan ha behov for å behandle. Dette omfatter blant annet personopplysninger (som for eksempel videopptak med bilde av en person) samt andre data som ikke er personopplysninger (stordata), som for eksempel informasjon om strømforbruk fra tekniske installasjoner. Utleier kan blant annet ha behov for å behandle slike data for å levere tjenester knyttet til adgangskontroll og kameraovervåkning, for å gjøre bygget mer bærekraftig, eller for å overholde offentlige- og privatrettslige krav til merking og sertifisering etc.
I de nye versjonene av meglerstandarden for næringslokaler og bygg som ble lansert 5. mai 2022 er det inntatt to nye bestemmelser som presiserer utleiers plikter og rettigheter ved behandling av personopplysninger og stordata. I tillegg er punktet om utleiers adgang til eksklusivt areal endret, for å sikre at utleier får tilgang til stordata både i og utenfor bygget.
Vi tar utgangspunkt i brukte/»som de er»-avtalen i denne artikkelen, der de nye reguleringene følger av punkt 13, 28 og 29. Tilsvarende reguleringer følger også av de øvrige reviderte avtalene.
Utleiers behandling av personopplysninger
I Norge stiller personopplysningsloven, som implementerer EUs personvernforordning (GDPR), krav til enhver som behandler personopplysninger. Personopplysninger kan for eksempel være navn, tidspunkt og sted for adgang til eiendommen og videopptak med bilde av en person. Videre omfatter behandling alt man gjør med personopplysninger, for eksempel innsamling, lagring, analyse eller utlevering.
Som ledd i utleie av eiendommen vil utleier kunne behandle en rekke personopplysninger både for egne formål og på vegne av leietaker, og dermed måtte forholde seg til kravene i GDPR. For å øke bevisstheten rundt disse kravene er det inntatt en egen bestemmelse om personvern i punkt 28 i meglerstandarden.
Punkt 28.1 fastslår at utleier, som ledd i utleie av eiendommen, vil kunne behandle personopplysninger som behandlingsansvarlig. Som behandlingsansvarlig har utleier det overordnede ansvaret for å oppfylle kravene i GDPR. Utleier opptrer som behandlingsansvarlig i de tilfeller der utleier selv, og ikke leietaker, bestemmer formålet og midlene med behandlingen. Videre presiseres det i punkt 28.2 at utleier også vil kunne behandle personopplysninger på vegne av leietaker om leietakers ansatte, besøkende, innleid personale eller øvrige brukere. Utleier opptrer da som en databehandler på vegne av leietaker (som i disse tilfellene er behandlingsansvarlig), og skal behandle opplysningene kun etter instruks fra leietaker.
Det er viktig å være oppmerksom på at hvorvidt utleier opptrer som behandlingsansvarlig eller databehandler vil kunne variere ut fra omstendighetene rundt den enkelte leieavtale. Hvilken rolle utleier tillegges vil også ha stor betydning for hvilke krav som stilles til utleier og hva utleier kan gjøre med personopplysningene i praksis. Det må derfor vurderes konkret om det er utleier eller leietaker (eller begge) som i realiteten bestemmer formålet og midlene med behandlingen av personopplysninger som samles inn i forbindelse med drift av bygget (som for eksempel drift av adgangskontroll, resepsjonstjenester, parkeringstjenester, kameraovervåkning mv.), og derav opptrer som behandlingsansvarlig. I vurderingen er det blant annet relevant å se hen til hvem av utleier og leietaker som har tatt initiativet til behandlingen, hvem som bestemmer hvordan opplysningene skal behandles og når de skal slettes.
I den grad utleier opptrer som behandlingsansvarlig, plikter utleier å ha på plass en personvernerklæring med utfyllende informasjon om behandlingen og de registrertes rettigheter etter personvernregelverket. Punkt 28.1 forutsetter at utleier har en slik erklæring. Før leieavtalen inngås bør derfor utleier sørge for å ha på plass en personvernerklæring som oppfyller kravene i GDPR og gjøre denne tilgjengelig for de registrerte (typisk ved publisering på utleiers nettside). Utleier må i tillegg sørge for å oppfylle alle de øvrige kravene som stilles til behandlingsansvarlige i GDPR, herunder kravet om behandlingsgrunnlag.
Der utleier opptrer som databehandler på vegne av leietaker, plikter partene å inngå en databehandleravtale som pålegger utleier en rekke forpliktelser overfor leietaker. Det er tidligere utarbeidet en standard databehandleravtale som også har blitt revidert. Den reviderte versjonen er noe forenklet sammenlignet med tidligere, men danner fremdeles et godt utgangspunkt for å sikre overholdelse av kravene i GDPR med nødvendige tilpasninger. Det er inntatt kommentarer til de enkelte bestemmelsene i bilag 3 til databehandleravtalen som det er greit å kjenne til. Når databehandleravtalen er ferdig utfylt av partene skal den vedlegges selve leieavtalen i tråd med punkt 28.2.
Vi gjør oppmerksom på at det også finnes en standard databehandleravtale for de tilfeller der utleier engasjerer en underleverandør til å utføre visse tjenester på vegne av leietaker og i den forbindelse må gi leverandøren tilgang til visse personopplysninger som behandles på vegne av leietaker.
Utleiers behandling av data som ikke er personopplysninger (stordata)
Som nevnt innledningsvis kan utleier i forbindelse med leieforholdet også ha behov for å behandle data som ikke er å anse som personopplysninger (såkalte stordata). Punkt 29 i den reviderte meglerstandarden sikrer utleiers rett til å samle inn og råde over slike data som utleier samler inn i forbindelse med bruk og drift av eiendommen, som for eksempel måle- og forbruksdata. Utleiers råderett omfatter, men er ikke begrenset til, kopiering, tilgjengeliggjøring, bearbeiding, analyse mv.
Det fremgår av bestemmelsen at utleier «vil anonymisere data slik at ikke enkeltpersoner kan identifiseres, og bruke slike anonymiserte data i aggregert form under og etter leieforholdet for å tilby og videreutvikle tjenester relatert til utleie og bruk av næringseiendom». GDPR gjelder ikke ved behandling av personopplysninger som er anonymiserte og utleier trenger følgelig ikke å forholde seg til kravene i GDPR ved behandling av anonymiserte data.
Det er imidlertid verdt å merke seg at det skal mye til før personopplysninger anses «anonymiserte» i GDPRs forstand. I den grad det er relevant bør derfor utleier vurdere om personopplysningene faktisk har blitt anonymisert, og ikke bare pseudonymisert*, før de tas i bruk i henhold til bestemmelsen. Dersom opplysningene ikke er tilstrekkelig anonymisert vil utleier måtte forholde seg til kravene i GDPR ved behandlingen av opplysningene, herunder kravet om behandlingsgrunnlag. I alle tilfeller må utleier forholde seg til disse kravene frem til opplysningene er anonymisert og for selve anonymiseringen.
Utvidet adgang til eksklusivt areal mv. for utleier
For å sikre utleier tilgang til stordata, er det gjort enkelte tilføyelser i punkt 13 i meglerstandarden om utleiers adgang til eksklusivt areal mv. Det er for det første inntatt en presisering i punkt 13.1 om at leietaker plikter å gi utleier adgang til leieobjektet for gjennomføring av miljøtiltak, herunder for eksempel ved undersøkelse/måling av energiforbruk. For det andre er det inntatt et nytt punkt 13.2 som fastslår at leietaker plikter å medvirke til innhenting av måle- og forbruksdata fra leietakers leverandører av energi, vann, avløp, avfall, mv. Dersom utleier etterspør slike data som nevnt i punkt 13.2, skal leietaker innen 14 dager gi nødvendige fullmakter til å innhente dataen.
Samlet tydeliggjør de nye bestemmelsene utleiers rettigheter og plikter knyttet til behandling av data i forbindelse med leieforholdet, og gir partene en oppfordring til å tenke gjennom partenes roller og ansvar ved behandling av personopplysninger som samles inn gjennom drift av eiendommen.
* Datatilsynet forklarer på sin hjemmeside «pseudonymisering» slik: «Å avidentifisere personopplysninger slik at de ikke kan knyttes til en bestemt person uten bruk av tilleggsopplysninger (for eksempel en koblingsnøkkel) som lagres adskilt og tilstrekkelig sikkert. Pseudonymiserte personopplysninger er ikke anonyme».