Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09)

Policy för behandling av personuppgifter vid uthyrning av bostäder

(Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09)

1. En gemensam god sed

I ett bostadsföretags uthyrningsverksamhet förekommer i olika sammanhang uppgifter som är knutna till enskilda fysiska personer. Det kan vara fråga om uppgifter som tas in i hyresavtal eller som i övrigt lämnas i samband med kontraktstecknandet eller senare under hyresförhållandet.

Ibland är det nödvändigt att behandla personuppgifter utan att det finns något hyresförhållande. Detta är fallet när en person söker en bostad hos hyresvärden, men även sedan ett hyresförhållande har upphört. En effektiv och ändamålsenlig förvaltning förutsätter att hyresvärden kan behandla uppgifterna på ett systematiskt sätt.

Behandlingen sker oftast i automatiska datasystem.

För all sådan behandling gäller bestämmelserna i personuppgiftslagen (PuL). Lagen har till syfte att skydda människor mot att deras personliga integritet kränks genom registrering av personuppgifter. För vidare information om PuL hänvisas till xxx.xxxxxxxxxxxxxxxx.xx och inspektionens skriftserie Datainspektionen informerar.

I syfte att skapa en gemensam god sed för behandlingen av personuppgifter på bostadshyresmarknaden har Fastighetsägarna och SABO tagit fram denna branschöverenskommelse. Arbetet har skett i samverkan med Hyresgästföreningen Riksförbundet. Överenskommelsen är i första hand tillämplig på Fastighetsägarnas och SABO:s medlemmar. Ingenting hindrar dock att överenskommelsen tillämpas även av andra bostadsföretag.

2. Vissa centrala begrepp

För alla inom en fastighetsförvaltning som handlägger frågor som rör enskilda hyresgäster och bostadssökande är det viktigt att känna till innebörden av vissa centrala begrepp i PuL.

Med personuppgifter menas all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Som exempel på direkt hänförliga personuppgifter kan nämnas namn och personnummer. En indirekt hänförlig uppgift är t.ex. lägenhetsnummer.

Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte. Det kan vara fråga om att till exempel ta in, registrera, lagra, komplettera eller ändra uppgifter.

Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen. I detta sammanhang är det alltså hyresvärden.

Med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning, t.ex. en extern störningsjour.

3. Information till den registrerade

En betydelsefull del för skyddet av den enskildes integritet är att han eller hon känner till vilka uppgifter som behandlas. Den registrerade, en bostadssökande eller en hyresgäst, ska därför alltid informeras om vilken behandling som görs. Denna information ska lämnas självmant av hyresvärden. Exempel på hur informationen kan utformas finns i bilaga 1 och 2.

Den registrerade har även alltid rätt att efter ansökan få ett registerutdrag över den information om honom eller henne som hyresvärden har och dessutom rätt att få ett sådant utdrag gratis en gång om året. Om uppgifterna är felaktiga har den registrerade rätt att få de felaktiga uppgifterna ändrade.

4. Riktlinjer för behandling av personuppgifter

4.1 Inledning

Grundläggande för all behandling är att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt.

En viktig aspekt är också att lämpliga säkerhetsåtgärder vidtas. Särskilda inskränkningar gäller därtill generellt för behandling av känsliga uppgifter och brottsuppgifter. Riktlinjerna inleds därför med ett återgivande av PuL:s föreskrifter om säkerhetsåtgärder och med en framställning om hur ett bostadsföretag bör hantera känsliga uppgifter och brottsuppgifter. Därefter ges riktlinjer om hur personuppgifter bör hanteras i olika skeden av uthyrningsverksamheten.

4.2 Säkerhetsåtgärder

Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av

a) de tekniska möjligheter som finns,

b) vad det skulle kosta att genomföra åtgärderna,

c) de särskilda risker som finns med behandlingen av personuppgifterna, och

d) hur pass känsliga de behandlade personuppgifterna är.

När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, ska den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Datainspektionen har gett ut allmänna råd om säkerhet för personuppgifter.

4.3 Känsliga uppgifter

4.3.1 Principiellt förbud

Det är enligt PuL i princip förbjudet att behandla känsliga uppgifter. I PuL definieras vissa slag av uppgifter som känsliga. Det är uppgifter som avslöjar

• ras eller etniskt ursprung

• politiska åsikter

• religiös eller filosofisk övertygelse

• medlemskap i fackförening och frågor som rör

• hälsa eller

• sexualliv

Det är viktigt att komma ihåg att förbudet inte bara gäller behandling som direkt avslöjar eller rör något av de angivna förhållandena utan även behandling som innebär att sådana förhållanden indirekt kan utläsas. T.ex. kan en uppgift om att en hyresgäst har en tillfällig adress till ett behandlingshem indikera att hyresgästen har missbruksproblem. Det kan även avse en så pass enkel uppgift som önskan om anpassat boende, eftersom detta kan vara en indirekt uppgift om hälsa.

4.3.2 Undantag endast med uttryckligt samtycke

Undantag från förbudet får enligt XxX bland annat göras om behandlingen sker med samtycke från den som uppgiften avser. Endast den omständigheten att den registrerade har lämnat en uppgift innebär inte att samtycke finns. Samtycket ska vara uttryckligt. I en fastighetsförvaltning bör generellt tillämpas den ordningen att en känslig uppgift aldrig registreras utan skriftligt samtycke.

Lämnas samtycke, ska uppgiften hållas skild från övriga uppgifter om den registrerade på det sätt att den är tillgänglig endast för den som behöver ha tillgång till uppgiften för att kunna fullgöra sin arbetsuppgift. Exempel på anteckningar som normalt bara ska vara tillgängliga för sådana handläggare är att en hyresgästs bostad är handikappanpassad eller att anstånd med betalning av hyra medgetts av hälsoskäl.

Denna policy är godkänd av styrelsen i AB Framtiden vid styrelsemöte 2011-05-17.

4.4 Brottsuppgifter

4.4.1 Principiellt förbud

Uppgifter om brott, även enkla anteckningar, får enligt XxX inte behandlas av andra än myndigheter. Med brott avses inte bara att någon är dömd i ett brottmål utan även en misstanke om brott omfattas av förbudet. Det räcker med att misstanken om brott finns hos hyresvärden eller någon som representerar hyresvärden, t.ex. en anställd. Den registrerade behöver inte ha blivit föremål för polisanmälan, åtal eller rättegång. Ett kommunalt bostadsföretag är i detta sammanhang inte att betrakta som en myndighet.

4.4.2 Undantag för tillvaratagande av rättsliga anspråk

Trots förbudet får enstaka brottsuppgifter behandlas, om det behövs för att ta tillvara ett rättsligt anspråk, till exempel när brottsligheten utgör grund för uppsägning av ett hyresavtal. Uppgifterna ska hållas skilda från övriga uppgifter om den registrerade på det sätt att de är tillgängliga endast för den som behöver tillgång till uppgiften för att kunna fullgöra sin arbetsuppgift, t.ex. den som arbetar med uppsägningsärenden. När uppgifterna inte längre behövs för sitt ändamål ska de raderas.

Hyresvärden måste fortlöpande göra en bedömning av hur länge brottsuppgifter behöver sparas. Uppgifter som behandlas för att senare kunna användas i ett uppsägningsärende ska omgående raderas när de inte längre kan göras gällande rättsligt. Har t.ex. hyresgästen genom en laga kraft ägande dom frikänts för ett brott som annars skulle ha kunnat leda till uppsägning, ska tidigare gjorda anteckningar om brottsmisstanken raderas. Uppgift om den frikännande domen får inte antecknas.

Det förekommer ibland att hyresgäster uppträder hotfullt och även utövar våld mot hyresvärdens anställda utan att detta behöver föranleda en uppsägning av hyresavtalet eller annat rättsligt anspråk. Brottsuppgifterna får då inte antecknas, men detta hindrar inte att man gör en anteckning t.ex. om att en anställd inte bör vara ensam vid besök hos hyresgästen.

4.5 Behandling av personuppgifter vid uthyrning

I det följande ges riktlinjer om hur personuppgifter bör hanteras i olika skeden av en uthyrning. Dessa skeden är:

• När bostad söks

• När hyresförhållandet börjar

• När hyresförhållandet pågår

• När hyresförhållandet har upphört

4.6 När bostad söks

Personuppgifter får behandlas för att ge bostadssökande möjlighet att göra en ansökan eller en intresseanmälan om bostad hos hyresvärden.

4.6.1 Behandling av personuppgifter vid ansökan/intresseanmälan om bostad

Endast uppgifter som är nödvändiga för att hyresvärden ska kunna ta ställning till bostadssökandens önskemål om bostad får behandlas. Flertalet uppgifter kan inhämtas från den sökande själv. Normalt kan sökanden/medsökanden lämna uppgifterna i särskilt formulär som tillhandahålls av hyresvärden, antingen på papper eller elektroniskt, t.ex. via en hemsida. Formulären ska innehålla en informationstext om den behandling av personuppgifter som kommer att ske. Exempel på hur texten kan utformas finns i bilaga 1.

Följande personuppgifter får normalt anses vara nödvändiga att behandla i samband med ansökan eller anmälan om intresse för bostad:

Sökandes/medsökandes

• Namn

• Födelsedatum (födelseår, -månad och -dag)

• Adress

• Telefonnummer

• E-postadress

• Ekonomiska förhållanden

• Önskat boende (lägenhetsstorlek, anpassat boende, t.ex. äldreboende eller studentlägenhet, eller annat önskemål)

• Boendeförhållanden vid tidpunkten för ansökan/intresseanmälan i form av

- hyresrätt, med uppgift om hyresvärdens namn, adress och telefonnummer samt referensperson hos hyresvärden

- bostadsrätt, med uppgift om kontaktperson i bostadsrättsföreningens styrelse

- egnahem, med uppgift om fastighetsbeteckning

- annat boende, med uppgift om referenser

• Arbetsgivares namn, adress och telefonnummer samt uppgift om referensperson hos arbetsgivaren

4.6.2 Behandling av personuppgifter när sökanden står i tur för ett erbjudande om bostad

När behandlingen av ansökan/intresseanmälan kommit så långt att sökanden/medsökanden kan komma i fråga för en bostad behöver hyresvärden normalt göra en kontroll av om sökanden(a) uppfyller de krav som hyresvärden ställer på en hyresgäst. För detta ändamål kan hyresvärden utöver tidigare lämnade uppgifter också behöva registrera uppgift om personnummer eller samordningsnummer (för ej folkbokförd), om inte sökanden(a) redan i ansökan/intresseanmälan frivilligt lämnat denna uppgift. Uppgift om personnummer behövs t.ex. för att kunna ta en kreditupplysning på sökanden. Undantagsvis kan uppgifter från domstol, kronofogdemyndighet eller annan myndighet behövas. Observera dock förbudet mot registrering av känsliga uppgifter och brottsuppgifter.

För att hyresmarknaden ska fungera effektivt för bostadssökande, hyresgäster och hyresvärdar förutsätts att utbyte av uppgifter om bostadssökande kan ske på ett smidigt sätt mellan hyresvärdarna. Hyresvärden får inhämta uppgifter från referenspersoner som anges i ansökan/anmälan. Den hyresvärd som i egenskap av referensperson får en förfrågan om en bostadssökande bör före ett utlämnande av uppgifter ha förvissat sig om att han eller hon också har angetts som referensperson i ansökan/intresseanmälan. I övrigt får uppgifter från andra fysiska personer inhämtas endast med uttryckligt samtycke från sökanden(a).

Exempel på uppgifter som kan inhämtas och registreras är uppgifter om hur sökanden(a) skött sitt boende såväl vad gäller hyresbetalningar som i övrigt. Anteckningar om eventuell tidigare misskötsamhet bör vara kortfattade och får inte innehålla brottsuppgifter eller värderande, kränkande eller i övrigt diskriminerande omdömen och formuleringar.

Vad som nu har sagts gäller på motsvarande sätt i fråga om inhämtande av uppgifter från andra referens- personer än hyresvärdar, t.ex. en arbetsgivare när det gäller uppgifter om anställning och lön.

4.6.3 Gallring, bevarande samt förbud mot utlämnande i visst fall

Personuppgifter får bara behandlas under den tid som ansökan är aktuell. Detta innebär att samtliga personuppgifter ska gallras när den bostadssökande har meddelat att han eller hon inte längre önskar kvarstå som sökande. Detsamma gäller om ansökan om bostad avslås.

Grundas ett avslagsbeslut på att sökanden inte kunnat godtas som hyresgäst på grund av misskötsamhet i ett tidigare boende, får dock uppgift om sökandens namn, födelsedatum, beslut om avslag samt kortfattad uppgift om arten av misskötsamheten, utom brottsuppgifter, bevaras under en tid av tre månader.

För offentligt ägda bostadsföretag kan bestämmelser i författning, t.ex. tryckfrihetsförordningen eller arkivlagen, eller beslut från arkivmyndighet innebära att uppgifterna inte får gallras eller att de ska bevaras under längre tid än tre månader. Då tillämpas inte riktlinjerna i föregående stycke.

4.7 När hyresförhållandet börjar

4.7.1 Behandling av personuppgifter vid tecknande av hyresavtal

Tecknas hyresavtal med den bostadssökande och eventuell medsökande ska i princip samtliga inhämtade uppgifter som inte längre behövs gallras. Uppgifter som normalt inte behövs efter avtalstecknandet är sådana som rör tidigare boendeförhållanden, arbetsgivare och uppgifter i övrigt som inhämtats för att kunna bedöma sökandens kvalifikationer som hyresgäst, t.ex. inkomstuppgifter och kreditupplysningsuppgifter. En hyresvärd har rätt att i hyresavtalet registrera följande uppgifter om hyresgästen/medhyresgästen:

• Namn

• Personnummer eller samordningsnummer (för ej folkbokförd)

• Adress

• c/o adress, i vissa fall endast med uttryckligt samtycke, se nedan

• Telefonnummer

• E-postadress

• Förekomst av säkerhet (t.ex. borgensman)

• Förekomst av förvaltare/god man

• Autogiro

• Boendeform/-kategori

Uppgift om c/o adress som kan avslöja en känslig uppgift om hyresgästen, t.ex. anstaltsvistelse, får inte antecknas utan uttryckligt samtycke. Motsvarande gäller i fråga om boendeform eller boendekategori.

4.7.2 Information

Vid upprättande av ett hyresavtal ska hyresgästen upplysas om vilka behandlingar av dennes personuppgifter som kommer att göras under hyresförhållandet. Informationen kan vara skriftlig eller muntlig, men eftersom hyresvärden har bevisbördan för att information har lämnats är det lämpligt med skriftlig information.

Den som ansvarar för behandlingen, dvs. hyresvärden, är skyldig att självmant lämna sådan information.

Information till hyresgästen i samband med kontraktstecknandet kan utformas som en bilaga till kontraktet. Exempel på hur texten kan utformas finns i bilaga 2.

4.8 När hyresförhållandet pågår

4.8.1 Personuppgifter som får behandlas

En hyresvärd har rätt att under hyresförhållandet behandla dels uppgifter som registrerats vid tecknandet av hyresavtalet, dels ytterligare uppgifter som är relevanta för hyresförhållandet. Exempel på ytterligare uppgifter är sådana som avser

• betalningsförsummelser

• störningar i boendet

• åsidosättande av sundhet, ordning och gott skick.

• meddelande till socialnämnd i anledning av betalningsförsummelser

• eller störningar

Behandling av sådana uppgifter är tillåten, om det sker för att tillvarata eventuella rättsliga anspråk, till exempel för att kunna göra eller fullfölja en uppsägning eller driva in en hyresfordran. Uppgifterna ska dock hållas skild från övriga uppgifter om hyresgästen på det sätt att åtkomsten till uppgifterna ska begränsas till de anställda som behöver ha tillgång till uppgifterna för att kunna fullgöra sina arbetsuppgifter, till exempel de som arbetar med uppsägnings- och indrivningsärenden eller den som annars har till särskild uppgift att ta personlig kontakt med hyresgästen i anledning av betalningsförsummelser eller störningar.

Observera de restriktioner som gäller för behandling av känsliga uppgifter och brottsuppgifter, se avsnitten 4.3 och 4.4.

4.8.2 Särskilt om behandling av uppgifter om störningar i boendet

Registrering av störningar får innehålla beskrivning av händelser och iakttagelser som gjorts. Värderande, kränkande eller i övrigt diskriminerande omdömen och formuleringar får inte under några omständigheter förekomma. Namnet på den som gjort en anmälan om störning får registreras endast med anmälarens samtycke. Vill anmälaren inte uppge sitt namn får uppgift om påstådd störning registreras endast om hyresvärden bedömer att det finns fog för anmälan.

Uppgifter om störningar kan uppfattas som integritetskränkande. En uppgift om störning som inte inom viss tid från det att den antecknades föranlett hyresvärden att vidta någon åtgärd för att få hyresförhållandet att upphöra bör därför raderas. Som riktmärke bör gälla att störningsanteckningar äldre än två år inte bör förekomma.

4.8.3 Extern störnings- eller trygghetsjour

Om hyresvärden anlitar extern störnings- eller trygghetsjour ska ett skriftligt avtal (personuppgiftsbiträdesavtal) mellan hyresvärden och jouren upprättas. I det avtalet ska det särskilt föreskrivas att jouren får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de säkerhetsåtgärder som föreskrivs i PuL, se avsnitt 4.2, samt iaktta riktlinjerna i denna branschöverenskommelse.

4.9 När hyresförhållandet har upphört

4.9.1 Gallring11

Det grundläggande kravet i PuL är att personuppgifter bara får bevaras så länge det är nödvändigt med hänsyn till ändamålet med behandlingen. När ett hyresförhållande har upphört bör därför som huvudregel gälla att gallring av personuppgifterna ska ske. Undantag från huvudregeln får göras i följande fall:

• Uppgifter i hyresavtal med tillhörande handlingar får sparas så länge det är nödvändigt för att bevaka kvarstående fordringar som rör hyresförhållandet.

• Beträffande hyresgäst vars hyresförhållande upphört på grund av hans eller hennes misskötsamhet får uppgift om namn, personnummer, hyresobjektet, avflyttningstidpunkt samt kortfattad uppgift om avflyttningsorsak, utom brottsuppgifter, sparas i högst två år efter det att hyresförhållandet har upphört.

För offentligt ägda bostadsföretag kan bestämmelser i författning, t.ex. tryckfrihetsförordningen eller arkivlagen, eller beslut från arkivmyndighet innebära att uppgifterna inte får gallras eller att de ska bevaras under längre tid än två år. Då tillämpas inte riktlinjerna i föregående stycke.

1 Tillämpningsföreskrifter/rutiner utarbetas gemensamt av bolagen och ska vara skriftliga. Samråd ska ske med arkivmyndigheten. Utgångspunkten är att främst ta tillvara skyddsintressen i PuL.

Information om behandling av personuppgifter när bostad söks

De personuppgifter som du lämnar i ansökan/intresseanmälan kommer att behandlas i den utsträckning som behövs för att kunna göra en bedömning av om du kan godtas som hyresgäst. Därför behövs uppgifter från personer som kan uttala sig om dig. Genom att lämna uppgifter om referenspersoner medger du att uppgifter får inhämtas från dessa personer. Uppgifter kan också komma att inhämtas från kreditupplysningsinstitut och myndigheter.

Uppgifterna kommer endast att behandlas inom bostadsföretaget. Du har rätt att gratis en gång om året få besked om vilka personuppgifter om dig som behandlas och hur de behandlas. Du kan också begära rättelse av de personuppgifter som behandlas.

Personuppgifterna om dig kommer bara att behandlas under den tid som din ansökan är aktuell. Detta innebär att samtliga personuppgifter kommer att gallras när du har meddelat att du inte längre önskar kvarstå som bostadssökande. Detta gäller också om din ansökan om bostad avslås. Om skälet till att ansökan avslagits är att du inte kunnat godtas på grund av misskötsamhet i ett tidigare boende, bevaras dock uppgifterna under tre månader efter avslagsbeslutet.

Bilaga till hyresavtal

Information till hyresgäst om behandling av personuppgifter och skriftligt samtycke

De personuppgifter som du lämnar till hyresvärden i samband med att du tecknar hyresavtal kommer att behandlas i den utsträckning som behövs för att kunna fullgöra avtalet. Det kan gälla hyresaviseringar, hyresförhandlingar, information till hyresgästerna och annat som hör till den löpande förvaltningen. Även personuppgifter som inhämtats under hyresförhållandet kan komma att behandlas, såsom uppgifter om betalningsförsummelser och störningar i boendet.

Dina personuppgifter kan också komma att lämnas ut till organisation eller förening som hyresvärden är medlem i samt andra företag och organisationer som hyresvärden samarbetar med i sin fastighetsförvaltning, t.ex. organisation av hyresgäster.

Du har rätt att gratis en gång om året få besked om vilka personuppgifter om dig som behandlas och hur de behandlas. Du kan också begära rättelse av de personuppgifter som behandlas.

Jag samtycker till att hyresvärden behandlar personuppgifter om mig i enlighet med det ovanstående.

.................................................................................... ..................................................................................................

Ort och datum Namn

..................................................................................................

Namn