Mäklarens ansvar för personuppgifter i sin marknadsföring - och effekten av den nya dataskyddsförordningen

Examensarbete i fastighetsvetenskap Malmö universitet 15hp Kultur och samhälle

Mäklarens ansvar för personuppgifter i sin marknadsföring

– och effekten av den nya dataskyddsförordningen

The real estate agents responsibility for personal data in

marketing

– and the effect of the new general data protection regulation

Författare

Charlotte Andersson Sara Ehde

Handledare

Sammanfattning

Som fastighetsmäklare finns det en rad lagar och regler att ta hänsyn till i sitt yrkesutförande. I den här uppsatsen ligger fokus på mäklarens skyldigheter när det gäller kundernas

personuppgifter, främst i samband med marknadsföring. Frågan berör den nya

dataskyddsförordningen som träder i kraft den 25 maj 2018, och huruvida fastighetsmäklarens arbete kommer att försvåras i samband med denna. I Sverige kommer förordningen att ersätta den nuvarande personuppgiftslagen. Sedan förut regleras fastighetsmäklarens

marknadsföringsarbete av bland annat marknadsföringslagen och personuppgiftslagen. Vi har funnit att behandling av personuppgifter redan nu varit så pass reglerat i Sveriges lagstiftning att det inte kommer medföra några större förändringar i detta avseendet. I stora drag kommer dataskyddsförordningen förstärka de registrerades rättigheter samt öka de

personuppgiftsansvarigas skyldigheter. De största förändringarna i samband med införandet är att tiden för hur länge man får lagra personuppgifter kommer begränsas samt att den

registrerade kommer ha möjlighet att begära ut vilka uppgifter som finns noterade. Om en mäklarbyrå bryter mot bestämmelserna riskerar de inte endast skadestånd utan även höga sanktionskostnader. Det är därför av största vikt att ha fungerande system som ser till att kundernas personuppgifter hanteras korrekt.

Abstract

As a real estate broker there are a lot of laws and regulations to adhere to within the profession. The focus in this essay is the real estate brokers obligations with respect to personal data, mainly associated to marketing. The reflection concerns the new general data protection regulation which enters into force 25 of May 2018, and whether a brokers work will become more difficult because of this. The new general data protection regulation which will replace the national law on personal data. Laws regulating the real estate brokers

marketing since before is the national law on processing personal data and the national law on marketing. The process of personal data have already before been very regulated. Because of the already hard restrictions this new regulation won’t bring any big changes in the matter. The general data protection regulation will largely strengthen the rights of the registered and increase the obligation for the data manager. The biggest changes will be concerning the amount of time which data managers are allowed to save the personal data and the registereds rights to request to see the information. Consequences of violations for the firm will be indemnity or high penalty costs, it is therefore essential to have functioning systems which ensures that the personal information is handled correctly.

Förkortningslista

FMI- Fastighetsmäklarinspektionen

FML, Fastighetsmäklarlagen - Fastighetsmäklarlag (2011:666) MFL, Marknadsföringslagen - Marknadsföringslag (2008:486) PUL, Personuppgiftslagen - Personuppgiftslag (1998:204)

PTL, Penningtvättslagen - Lag (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism

Dataskyddslagen - Lag med kompletterande bestämmelser till EU:s dataskyddsförordning 2018:218

Definitioner

• Personuppgifter - All sorts information som direkt eller indirekt kan kopplas samman till en nu levande fysisk person.

• Behandling (av personuppgifter) - Varenda handling som företas i fråga om personuppgifter. Insamling, registrering, lagring, bearbetning eller ändring. Även återvinning, användning eller spridning, antingen per automatik och manuellt.

• Mottagare - Den som personuppgifter lämnas ut till.

• Den registrerade - Den som personuppgifterna avser.

Innehållsförteckning

1. Inledning

Från och med den 25 maj 2018 kommer dataskyddsförordningen att träda i kraft. Dataskyddsförordningen är en ny gemensam lagstiftning EU lagt fram som bland annat reglerar hur företag ska hantera och skydda personuppgifter. Dataskyddsförordningen ska tillämpas direkt på den svenska lagstiftningen, men det finns även utrymme för nationella kompletteringar av olika slag. Det har fastslagit att personuppgiftslagen och

personuppgiftsförordningen ska upphävas och de nya bestämmelserna ska skapa en ny övergripande lag och förordning om dataskydd.1 _{De nya reglerna kommer utöka}

fastighetsmäklarens och mäklarbyråns ansvar för personuppgifter, som redan tidigare är reglerat i bland annat marknadsföringslagen och den nuvarande personuppgiftslagen. Vi har valt att undersöka vilka begränsningar som finns för mäklare i sin marknadsföring, och hur förutsättningarna förändras i samband med införandet av den nya dataskyddsförordningen 2016:15.

1.2 Problemområde

Det är reglerat i lagen hur en fastighetsmäklare ska agera i sin roll som näringsidkare i samband med marknadsföring. Det finns även doktrin som berör ämnet närmare. Vad som saknas är närmare beskrivet hur mäklarens ansvar för sina kunders personuppgifter förändras i samband med införandet av den nya dataskyddsförordningen. Fastighetsmäklaren har tillgång till personlig information om såväl köpare och säljare som spekulanter. Det finns

begränsningar i hur mäklaren får använda sig av informationen i sin marknadsföring. Med de nya lagändringarna kommer personuppgiftsansvariges skyldigheter utökas och

privatpersoners rättigheter stärkas. Problematiken ligger i var gränsen går för att mäklaren ska kunna anses hantera personuppgifter på ett respektfullt sätt, och hur dessa kan komma att förändras i samband med den nya dataskyddsförordningen.

1 _{Regeringskansliet, “Ny dataskyddslag. Kompletterande bestämmelser till EU:s}

dataskyddsförordning”, Tillgänglig http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/2017/05/sou-201739/, 2017, (hämtad 2018-02-23)

1.1

Syfte och frågeställningar

Arbetet kommer innefatta en undersökning av vilka regler som finns för mäklare i

marknadsföringslagen, personuppgiftslagen, och lagen om namn och bild i reklam vad gäller marknadsföring. Arbetet kommer även innehålla en granskning av hur begränsningarna förändras i samband med införandet av den nya dataskyddsförordningen.

• Hur ser fastighetsmäklarens ansvar ut idag när det gäller individers personliga information vid marknadsföring och hur kommer det förändras i och med den nya

dataskyddsförordningen?

• Vilka regler begränsar fastighetsmäklarens möjlighet att använda sig av marknadsföring idag och kommer mäklare kunna använda sig av reklam i samma utsträckning vid införandet av den nya dataskyddsförordningen?

• Försvåras mäklarens arbete i samband med den nya dataskyddsförordningen?

1.2

Avgränsningar

Vi har valt att avgränsa oss till fastighetsmäklarens ansvar för personuppgifter vid

marknadsföring. Främst har vi valt att fokusera på obeställd reklam, såsom post i brevlådan eller elektronisk post, och i vilken utsträckning fastighetsmäklare får använda sig av detta i sin marknadsföring.

1.3

Metod

Då syftet med arbetet är att reda ut vad som är gällande rätt har vi valt en juridisk metod på en handlingsorienterad nivå, då uppsatsens syfte är att diskutera mer än de konkreta reglerna.2 Metoden kommer inte att kompletteras med annat empiriskt material såsom kvantitativa eller kvalitativa undersökningar då vi vill få en klar bild av vad lagen säger utan att blanda in mäklarföretagens egna riktlinjer och policys. En juridisk metod används genom att tillämpa

2 _{Kjellgren, J, Holm, A., Att skriva uppsats i rättsvetenskap. 1 uppl. Författarna och}

rättskälleläran på ett faktiskt förhållande.3 Rättskälleläran innebär granskning av fyra huvuddelar: lag, lagförarbeten, rättspraxis och doktrin.4 Då vår frågeställning berör fastighetsmäklarens arbete med marknadsföring samt hur mäklarföretag hanterar

personuppgifter har vi valt att behandla marknadsföringslagen, personuppgiftslagen, lagen om namn och bild i reklam samt dataskyddsförordningen som träder i kraft den 25 maj 2018. Förutom att studera lagar och förarbeten ska vi ta del av doktrin och rättspraxis angående de nu gällande lagarna. Vi kommer samla kunskap från läroböcker inom fastighetsförmedling och lagtexten i sin helhet. När det gäller de nya reglerna ska EU:s förordning studeras. Datainspektionens information om ämnet kommer att användas för att tydliggöra hur förändringarna ser ut i praktiken. Utifrån detta ska vi jämföra hur mäklarens arbete med personuppgifter begränsas idag med hur det kommer se ut efter införandet av den nya dataskyddsförordningen. För att begränsa omfånget har vi valt att fokusera på mäklarens arbete med marknadsföring, och hur det kopplas till lagstiftningen.

1.4

Disposition

Vi har valt att först studera gällande lagstiftning, sedan gå in på reglerna i den nya dataskyddsförordningen. Avslutningen på litteraturöversikten ger en jämförelse mellan personuppgiftslagen och dataskyddsförordningen.

3 _{Sandgren, C., Rättsvetenskap för uppsatsförfattare. 2 uppl. Nordstedts Juridik AB 2013. s.}

43

2. Nu gällande lagstiftning

En fastighetsmäklare är precis som andra näringsidkare skyldig att följa marknadsrättsliga regler. De upplysningar som lämnas skall vara riktiga och ge en korrekt bild av bostaden samt förmedlingstjänsten.5 I direktreklam får man inte använda sig av till exempel säljarens namn och bild utan dennes tillstånd, detta strider emot namnlagen (1978:800). Att identifiera en person med artistnamn, titel, yrkesbeteckning eller dylikt likställs med att uppge namn, och kan således också vara i strid med lagen. Genom att beskriva personen tillräckligt tydligt för att denne ska kunna identifieras gör att lagen blir tillämplig.6 _{Den som bryter mot}

bestämmelserna riskerar att få böta, och eventuellt betala skadestånd (2-3§).

I ett FMI-fall skickade mäklaren ut lappar i brevlådan efter det att han förmedlat en

bostadsrättslägenhet. I “efterlapparna” uppgav han vilken lägenhet som sålts samt säljarnas namn, utan deras samtycke. Mäklaren menar på att han bara ska ha skickat ut

marknadsföringen i den aktuella föreningen, och att mottagarna således ändå kunnat få fram informationen. Säljarna kritiserade agerandet och mäklaren blev föremål för granskning.7 I FMI:s beslut 2009-08-26:3 har inspektionen särskilt yttrat att det direkt strider mot god fastighetsmäklarsed att utan samtycke från säljare använda uppgifter om dem eller det förmedlade objektet. Att använda sig av sådana uppgifter strider även mot 10 § personuppgiftslagen.8

2.1

Personuppgiftslagen

Syftet med personuppgiftslagen är att skydda människor från att deras personliga integritet kränks genom hantering av personuppgifter (1§). Lagen är subsidiär och innebär att om annan lagstiftning avviker från personuppgiftslagen är det den bestämmelsen som gäller (2§).

5 _{Melin, M., s. 77}

6 _{Zacharias, C., 2011 års fastighetsmäklarlag - en kommentar. 2 uppl. Zacharias Advokatbyrå}

2013. s.264–265

7 _{Ibid s. 263-264}

8 _{Grauers, P H, et al., Fastighetsmäklaren – en vägledning. 4 uppl. Wolters Kluwer 2016. s.}

10 § personuppgiftslagen anger detaljerat när det anses vara tillåtet att nyttja personuppgifter. Det är tillåtet av personuppgiftsansvariga att behandla personuppgifter om samtycke har lämnats av den registrerade. Samtycke definieras som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne (3§).

Om samtycke inte finns är behandling av personuppgifter tillåtet om behandlingen är nödvändigt för följande; att ett avtal ska kunna fullgöras, att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, att vitala intressen för den registrerade skall kunna skyddas, en arbetsuppgift av allmänt intresse ska kunna utföras, att den

personuppgiftsansvarige eller tredje man till den uppgiften lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning eller för ett ändamål som rör ett berättigat intresse hos personuppgiftsansvarige eller tredje man till den uppgifts utdelats, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.9

David Törngren har genom sin lagkommentar förtydligat att för att personuppgifter ska få behandlas måste något av förutsättningarna i 10§ PUL vara uppfyllt. Om man på ett enkelt och överkomligt vis kan tillgodose ändamålet på annat sätt anses det inte som nödvändigt att behandla personuppgifterna. Vid fullgörelse av avtal krävs att den registrerade är en av parterna i avtalet. Vad beträffar berättigat intresse ska den registrerades intresse väga mer än personuppgiftsansvariges intresse i det fall då den registrerade önskar att behandlingen avslutas. Om behandling avslutas då man inte längre har berättigat intresse måste

personuppgiftsansvarige förstöra eller avidentifiera uppgifterna om de så vidare inte är tillåtna med stöd av annan paragraf. 10

Intresset av att marknadsföra produkter och tjänster är ofta ett berättigat intresse enligt PUL. Dock kan man inte ta detta för givet utan det måste avgöras efter en helhetsbedömning. Det finns godkända branschöverenskommelser för hantering av personuppgifter när de är berättigade genom intresse. Antingen kan personuppgiftsansvarige samla in dem från annan källa där den registrerade kan antas vara medveten om att personuppgifter kan användas

9 _{SFS 1998:204} 10 _{Törngren, D.}

och/eller lämnas ut för liknande ändamål, i det fall de inte har motsatt sig det. Eller så kan man få insamlade uppgifter av den registrerade. Genom intresseavvägning kan det bli lagligt att behandla uppgifter för att framställa adressbärare för utskick av adresserat reklammaterial, att upprätta listor över telefonnummer för telefonförsäljning, att genom register i branschen skicka ut reklam samt att använda statistiskt arbete för en uppföljning.11

Registrering av personnummer får ske utan samtycke endast när det finns motiverade skäl för det, såsom vid säker identifiering eller annat betydelsefullt ändamål, 22§ PUL. För en

fastighetsmäklare är det således nödvändigt vid upprättande av förmedlingsuppdrag eller överlåtelseavtal där penningtvättslagen kräver ID-kontroll. Personnummer anses som en viktig aspekt i det personliga integritetsskyddet då numret ger en säker identifiering och innebär undvikande av förväxling eller misstag. Vikten av de orsaker som gör att behandling av personnummer är nödvändigt måste ställas i relation till behovet av att den personliga integriteten skyddas. Verksamheter som har tillåtits behandla personnummer är bland annat sjukvård, äldreomsorg, banker, försäkringsbolag, advokatverksamhet och fackliga

organisationer.12

I ett beslut av Datainspektionen fick ett företag inte tillstånd att registrera personnummer i tillfälliga personregister för att framställa direktadresserat material för egna reklamkampanjer. Deras skäl för att få göra detta var för att kunna sålla bort sina egna kunder som sedan tidigare fått reklamutskicken, vilket inte ansågs tillräckligt skäl för att få registrera personnumren.13

Personuppgifter får nyttjas för direkt marknadsföring om personen i fråga inte motsatt sig detta enligt 11§ PUL. Det förutsätter även att nyttjandet är tillåtet enligt 10 § i samma lag. I det fall man vill frånsäga sig direktmarknadsföring skall anmälan ske skriftligt men kan antas i elektronisk form (11§). Om en insänd text ska anses vara en anmälan avgörs av sedvanliga regler och tolkning av det specifika fallet. Anmälan ska skickas till den som ansvarar för personuppgifterna, när detta gjorts kan uppgifterna inte längre nyttjas för direkt

marknadsföring. Paragrafen nämner inget om att det ska kunna medföra en kostnad för

11 _{Datainspektionen, ”Intresseavvägning, marknadsföring och direktreklam”, Tillgänglig}

https://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/intresseavvagning/, (hämtad 2018-04-26)

12 _{Öman, S., Lindblom H-O., Personuppgiftslagen, en kommentar. 2 uppl. Nordstedts juridik}

2001. s. 161–164

personen i fråga att avstå direkt marknadsföring, man ska således kunna göra det utan att riskera betalningsskyldighet. Individen kan dock inte heller begära ersättning för utlägg för att skicka in en skriftlig anmälan. Har en anmälan skett i tidigare skede och den ansvarige senare fått ett godkännande ska anmälan anses vara återkallad. Vid en tvist är det den person som gjort anmälan som har bevisbördan för att den gjorts samt för tiden den gjorts.14

En näringsidkare får använda sig av individuell kommunikation på distans om inte den fysiska personen tydligt motsatt sig detta. Det är däremot inte tillåtet att som näringsidkare vid marknadsföringen använda automatiska system för individuell kommunikation som inte biträds av en enskild person, om inte den uppringde godkänt det på förhand. Det finns ingen generell rätt för en person att i förväg bli tillfrågad ifall dennes uppgifter får lämnas ut eller på annat sätt användas vid direkt marknadsföring.15 En anmälan om att frånsäga sig

direktmarknadsföring hindrar inte den personuppgiftsansvarige från att använda uppgifterna för andra godkända syften. Det finns så kallade NIX-register dit privatpersoner kan anmäla att de vill undgå marknadsföring i brevlådan alternativt via telefon. Näringsidkare såsom

fastighetsmäklare som följer god marknadsföringssed ska stämma av med dessa register innan marknadsföringsåtgärder utförs.16

2.2

Marknadsföringslagen

Marknadsföringslagens syfte är att främja konsumenternas och näringslivets intressen i samband med marknadsföring, samt motverka marknadsföring som är otillbörlig (1§ MFL). Enligt 5§ ska marknadsföring stämma överens med god marknadsföringssed, och är att anse som otillbörlig ifall den på felaktigt sätt påverkar mottagarens förmåga att fatta ett välgrundat affärsbeslut (6§ MFL). Marknadsföringen ska inte vilseleda mottagaren och skall även vara utformad på sådant sätt att det tydligt framgår att det handlar om just reklam (8-9§§ MFL). Det är inte tillåtet att ge felaktig information i marknadsföringen eller utelämna viktiga upplysningar.17

14 _{Prop. 1997/98, s. 121-122} 15 _{Ibid. s. 66, 122-123}

16 _{Öman, S, Lindblom H-O., s. 124} 17 _{SFS 2008:486}

Marknadsföringslagens (2008:486) reglering kring obeställd reklam har inte förändrats sedan den gamla marknadsföringslagen (1995:450), reglerna har endast fått uppdaterade

paragrafnummer.18 _{13b och 13d § SFS 1995:450 motsvarar 19§ SFS 2008:486 vilken innebär}

att marknadsföring som sker genom elektronisk post till en fysisk person endast får ske om samtycke sedan tidigare lämnats för detta.

Det finns särskilda undantag från samtyckeskravet. För marknadsföring med elektronisk post utan samtycke är tillåtet under förutsättningarna i tre givna punkter, vilka samtliga måste vara uppfyllda för att undantaget ska gällas. Enligt punkt ett får den fysiska personen ej ha motsatt sig att informationen om e-postadressen skall användas i marknadsföringssyfte. Punkt två tyder på att marknadsföringen ska vara näringsidkarens egna eller likartade produkter. Med ”egna” avses sådana produkter som näringsidkaren erbjuder. Bestämmelsen kan tydas så att det endast är de som ingått kundförhållande med den fysiska eller juridiska personen som har lov att skicka ut marknadsföring, men att produkten ska vara ”likartad” ger skäl till att

näringsidkare inom samma varu- respektive tjänstegrupp har tillåtelse till det. Tredje punktens lydelse innebär att kravet för samtycke ej krävs om personen i fråga har klar möjlighet att utan kostnad, enkelt kan motsätta sig att e post-uppgifterna används i marknadsföringssyfte, det ska ges när uppgifter samlas in samt vid varje nytt marknadsföringsmeddelande.

Bestämmelsen i 13 c§ SFS 1995:450 respektive 20a § SFS 2008:486 innebär att

marknadsföringsmeddelande som sker med elektronisk epost alltid måste innehålla en giltig adress dit den fysiska personen kan skicka in en begäran om att marknadsföringen ska upphöra. 19

Det finns som tidigare nämnt flera syften kopplade till marknadsföringslagen. Att gynna konsumenternas och näringslivets intressen vid marknadsföringen, samt förhindra otillbörlig marknadsföring och att försäkra sig om att marknadsföringen överensstämmer med god marknadsföringssed.20 En regel som inte sällan bryts är förbudet mot obeställd reklam. Erbjudanden av olika slags förmåner bör ges med försiktighet, att få det att verka som att en tjänst är kostnadsfri fastän så inte är fallet är ett vanligt misstag. Att som näringsidkare erbjuda en köpare ytterligare produkter utan kostnad eller till lägre ett lägre pris krävs att

18 _{Prop. 2007/08:155}

19 _{Prop. 2003/04:43, s. 17-18} 20 _{Zacharias, C., s. 250}

denne tydligt anger vilka villkor som gäller, prisavdragets verkliga värde, tidsgränser och andra eventuella begränsningar (19–21§§).21

Endast då en fysisk person har godkänt det får en näringsidkare skicka ut direktreklam med hjälp av automatiska system, såsom mail angående objekt till salu eller dylikt (19§).

Anledningen till detta är att det är enkelt och billigt för sändaren att skicka ut denna typ av individuell reklam, vilket gör att det inte finns några direkta begränsningar för att använda detta i väldigt stor omfattning. Trots att det är ett väldigt snabbt och effektivt sätt att

marknadsföra sig kan det upplevas påträngande för mottagaren, och svårt att undgå ifrån. En mäklare får inte utan ett uppdragsavtal från ägaren marknadsföra ett objekt på internet, då det ska ske med uppdragsgivarens tillåtelse. Det är heller inte tillåtet att använda sig av

information rörande uppdragsgivaren i marknadsföring efter det att uppdraget är avslutat. Förbudet gäller trots att man tagit bort namn och bild (FMN:s beslut 1999-03-17, dnr 4-1974-98).

Direktreklam i brevlådan däremot är accepterat så länge inte mottagaren särskilt motsatt sig det. Det gäller dock att individens integritet respekteras och ett allmänt etiskt tillvägagångssätt tillämpas. Individuell kommunikation på distans anses som regel påträngande och bör brukas med försiktighet.22 Det är vanligt att mäklarfirmor använder sig av direktreklam för att marknadsföra sin verksamhet. Det är här viktigt att följa de regler som gäller vid reklam, och även att tydligt redovisa vem som gör vad, det vill säga vilken ställning de anställda har i företaget. En mäklarassistent får exempelvis inte framföras som ansvarig för ett objekt (kammarrättens dom 2006-04-18, mål nr 7808–05).23

Om en mäklare bryter mot marknadsföringslagens regler kan denne bli förbjuden att fortsätta använda marknadsföringen, eller andra liknande handlingar (23§ MFL). Påföljden kan enligt 29§ MFL även kombineras med vite, ett sådant beslut meddelas av marknadsdomstolen. Mäklare kan åläggas att betala marknadsstörningsavgift om denne bryter mot krav på reklamidentifiering och sändarangivelse. Sanktionerna är direktverkande och döms ut av allmän domstol (29§ MFL). Detta sker vanligtvis då det finns särskild anledning att skydda konsumenters och näringsidkares intressen. Straffavgiften har visat sig fungera avskräckande

21 _{Ibid. s. 153.}

22 _{Zacharias, C., s. 253-254} 23 _{Ibid. s. 263}

gentemot andra företag, och har således en förebyggande effekt.24 Den som uppsåtligen eller av oaktsamhet bryter mot ett förbud eller åläggande ska även ersätta den skada som

därigenom uppkommer motparten (37§ MFL).

3. Nya regler vid införandet av dataskyddsförordningen

Den 25 maj 2018 kommer dataskyddsförordningen att träda i kraft. Dataskyddsförordningen är en ny gemensam lagstiftning EU lagt fram som bland annat reglerar hur företag ska hantera och skydda personuppgifter. Dataskyddsförordningen ska tillämpas direkt på den svenska lagstiftningen vilket kommer innebära att den nu gällande personuppgiftslagen upphävs.25

All slags information som kan knytas till en nu levande fysisk person räknas som

personuppgifter. Personnummer, namn och adress är typiska personuppgifter. Foton, videor eller ljudupptagningar kan också klassas som personuppgift. I förordningen sägs att endast för “särskilda, uttryckligt angivna och berättigade ändamål” får personuppgifter samlas in och får “inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Uppgifter får således endast samlas in för visst syfte, och sedan inte användas för helt andra syften.26 Ändamålen får inte vara alltför generella och mängden uppgifter ska begränsas till vad som är nödvändigt, personuppgifterna får heller inte sparas längre än vad syftena kräver.27 Till

personuppgiftsbehandling räknas alla typer av åtgärder med personuppgifter, såsom insamling, registrering, lagring, bearbetning, användning och spridning.28För att sådan behandling ska tillåtas krävs en rättslig grund, det vill säga att det sker med stöd av dataskyddsförordningen. Sådan rättslig grund kan vara samtycke från den registrerade, alternativt att personuppgiftsbehandlingen behövs för att fullgöra ett avtal, fullgöra en rättslig förpliktelse eller skydda personens grundläggande intresse.29

Personuppgifter ska behandlas lagligt, korrekt och med öppenhet gentemot den registrerade. Vid insamling av personuppgifter måste ändamålen vara befogade och specifika samt

25 _{Datainspektionen, ”Enkla grunder i dataskydd”, Tillgänglig:}

https://www.datainspektionen.se/globalassets/dokument/enkla-grunder-i-dataskydd.pdf , (hämtad 2018-06-04)

26 _{Datainspektionen, “Enkla grunder i dataskydd”, Tillgänglig:}

https://www.datainspektionen.se/Documents/enkel-kurs-dataskydd.pdf , (hämtad 2018-02-23)

27 _{Datainspektionen, ”Principer för behandling av personuppgifter”, Tillgänglig:}

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/rattslig-grund-for-personuppgiftsbehandling/ (Hämtad 2018-04-10)

28 _{Europaparlamentets och rådets förordning (EU) nr 2016/679. Kap 1. Artikel 4} 29 _{Datainspektionen, ”Rättsliggrund för personuppgiftsbehandling”, Tillgänglig:}

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/rattslig-grund-for-personuppgiftsbehandling/ (hämtad 2018-04-10)

uttryckligt angivna. Uppgifterna får vid senare tillfälle inte användas för andra ändamål än vad de var insamlade för, i förordningen kallat ändamålsbegränsning. Uppgifternas

omfattning ska begränsas till det syfte de är utsedda för, de ska alltså vara adekvata, relevanta och inte allt för omfattande - uppgiftsminimering. De får inte heller lagras under en längre tid än vad som är nödvändigt för de ändamål de är insamlade för, kallat lagringsminimering. Ändamålsbegränsningen samt lagringsminimeringen har ett undantag då det kommer till uppgifter som används för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.30

Samtycke är en laglighetsgrund enligt artikel 6.1 a i förordningen. Med samtycke avses att den registrerade genom en frivillig, specifik, informerande och tydlig handling eller uttalande har godkänt behandlingen. Att kryssa i en ruta på en internetsida och val av

inställningsalternativ i en webbläsare anses vara en tydlig handling medan en på förhand ikryssad ruta eller inaktivitet på internetsida inte anses vara en tydlig handling. En behandling som tjänar fler än ett ändamål bör det finnas ett samtycke för samtliga ändamål, och om samtycket ingår i ett omfattande avtal bör samtycket vara lätt att skilja från andra frågor.31 För att ett samtycke ska gälla finns villkor som ska uppfyllas av den personuppgiftsansvarige. Den personuppgiftsansvarige ska kunna bevisa att den registrerade har samtyckt till att dennes personuppgifter behandlas. Ifall den registrerades samtycke ska ske genom skriftlig förklaring som även behandlar andra frågor måste samtyckes begäran vara tydligt utformat genom klart och tydligt språk samt att det går att lätt skilja samtycket från resterande frågor. Samtycke ska när som helst kunna dras tillbaka från en registrerade, vilket inte ska vara svårare än att samtycka. Bedömningen av samtyckets frivillighet bestäms bland annat av genomförandet av avtal samt omfattningen av erbjudande av en tjänst som har gjorts beroende av samtycke som gäller behandling av personuppgifter som inte är nödvändiga för att genomföra avtalet.32

För att som mäklare få registrera och hantera en persons uppgifter krävs någon typ av avtal, alternativt att personen i fråga samtyckt till det. För att en person ska ha ansetts samtyckt måste denne fått tydlig information om vilka uppgifter som samlats in och vad de ska användas till, för att sedan kunna godkänna detta. Om tanken är att uppgifterna ska lämnas

30 _{Europaparlamentet och rådets förordning (EU) nr 2016/679. Kap 1. Artikel 5}

31 _{Holtz, H-M., ”Den nya allmänna dataskyddsförordningen – Några anmärkningar”, SvJT}

2018. s. 240–264

vidare måste personen underrättas om detta.33 En rättslig grund kan vara att ett avtal den registrerad är eller avser att bli part i kräver personuppgiftsbehandling. I mäklarbranschen kan det avse avtal om förmedlingsuppdrag eller kontraktsskrivning. Behandlingen av

personuppgifterna är då nödvändig för att fullgöra ett avtal eller vidta åtgärder av den registrerade innan avtalet ingåtts.34

För att få hantera personuppgifter är det också möjligt att utföra en så kallad

intresseavvägning. Då jämförs företagets intresse av att hantera uppgifterna med den

enskildes rätt till privatliv. I dagsläget kan många företag, bland annat mäklarbyråer, använda intresseavvägning som anledning för att få hantera personuppgifter som används vid

marknadsföring och direktreklam, i enlighet med personuppgiftslagen.35

Skäl 47 till dataskyddsförordningen reglerar den personuppgiftsansvariges berättigade intressen. En personuppgiftsansvariges behandling av personuppgifter kan anses vara

berättigade om den registrerades intressen eller grundläggande rättigheter och frihet inte väger tyngre. Ett beaktande måste ske gällande den registrerades rimliga förväntningar i relation till förhållandet med den personuppgiftsansvarige. En sådan ställning kan vara att det är en kund eller anställd till den som ansvarar för personuppgifter. En fördjupad granskning av

tidpunkten för inhämtandet av den registrerades personuppgifter och om den registrerade vid denna tidpunkt skulle kunna förvänta sig att uppgifterna skulle kunna behandlas för detta ändamål tas även i beaktande.36

Om den registrerade inte skulle kunna förvänta sig den behandlingen kan den registrerades intresse och grundläggande rättigheter vägra tyngre än den personuppgiftsansvariges intresse. Att behandla personuppgifter för ändamål som rör direkt marknadsföring kan anses vara berättigat.37 _{Om behandlingen har berättigat intresse som laglig grund har den registrerade rätt}

att när som göra invändningar mot behandlingen. Då får inte personuppgiftsansvarige längre

33 _{Datainspektionen, “Enkla grunder i dataskydd”. Tillgänglig:}

https://www.datainspektionen.se/Documents/enkel-kurs-dataskydd.pdf , (hämtad 2018-02-23)

34 _{Datainspektionen, ”Avtal med den registrerade”. Tillgänglig:}

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/rattslig-grund-for-personuppgiftsbehandling/avtal/, (hämtad 2018-04-10)

35 _Ibid.

36 _{Europaparlamentets och rådets förordning (EU) nr 2016/679. Skäl 47} 37 _Ibid.

behandla uppgifterna om i fall att denne inte kan bevisa att tvingande berättigade skäl för behandlingen som ska vägra tyngre än den registrerades rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.38 _{Att det finns möjlighet för}

den registrerade att sätta sig emot behandlingen kommer i praktiken påverka omfattningen av intresseavvägning som laglig grund samt förstärka samtycke som laglig grund.39

Rättigheter för personer vars uppgifter behandlas har utökats och specificerats i

dataskyddsförordningen jämfört med personuppgiftslagen. De registrerade ska få information om när och hur deras personuppgifter hanteras, samt kunna få ut och ha kontroll över

uppgifterna. Personen i fråga kan bland annat få felaktiga uppgifter rättade. Den som behandlar personuppgifter har även ett ansvar att se till att uppgifterna är riktiga och uppdaterade.40 Individen ska också få reda på varifrån uppgifterna kommer och ifall de har sitt ursprung i källor tillgängliga för allmänheten. Den registrerade kan kräva att dess

uppgifter raderas. Det kan bland annat bero på att uppgifterna inte längre är nödvändiga för de ändamål som de samlades in för, att individen återkallar sitt samtycke eller att behandlingen används i direktmarknadsföring och den enskilde personen motsätter sig detta.41 En person har alltid en rättighet att motsätta sig mot att dennes personuppgifter används för

direktmarknadsföring. Invändningen kan göras när som helst och innebär att uppgifterna inte längre får hanteras för dessa ändamål.42

I förordningen anges en viktig regel som innebär att man inte får spara personuppgifter längre än vad som behövs för det syfte som uppgifterna samlades in. Information om personer som inte längre är kunder måste således tas bort från företagets IT-system. Fram till nu har företag fått använda en tidigare kunds personuppgifter för marknadsföringsändamål i upp till ett år efter att kundrelationen avslutats, enligt gällande personuppgiftslagen och praxis.43

38 _{Ibid. Kap 3, artikel 21.1} 39 _{Holtz, H-M., s. 240-264}

40 _{Datainspektionen, ”Den registrerades rättigheter”. Tillgänglig:}

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/de-registrerades-rattigheter/, (hämtad 2018-04-10)

41 _{Europaparlamentet och rådets förordning (EU) nr 2016/679. Kap 3. Artikel 14–15} 42 _{Ibid. Kap 3. Artikel 21}

43 _{Datainspektionen, “Enkla grunder i dataskydd”. Tillgänglig:}

Den som hanterar personuppgifter är antingen personuppgiftsansvarig eller

personuppgiftsbiträde. Den fysiska eller juridiska person, organisation eller företag som

fastställer för vilka ändamål och på vilket sätt behandlingen av uppgifterna ska ske är

personuppgiftsansvarig. Den som hanterar personuppgifter för den personuppgiftsansvariges räkning kallas personuppgiftsbiträde. Detta är en offentlig myndighet, fysisk eller juridisk person som finns utanför organisationen.44 _{Den personuppgiftsansvarige ska tillämpa}

passande tekniska och organisatoriska lösningar för att säkra att personuppgiftsbehandlingen sker enligt förordningen med hänsyn till behandlingens art, utsträckning, sammanhang och ändamål. Denne ska även beakta riskernas sannolikhet och allvarlighet för fysiska personers friheter och rättigheter. Åtgärderna ska även kontrolleras och förnyas om det behövs.45

Med hänsyn till den senaste utvecklingen ska den personuppgiftsansvarige utföra lämpade tekniska och organisatoriska lösningar för ett funktionellt genomförande av

dataskyddsprinciper. Beroende på behandlingens art, omfattning, sammanhang och ändamål, samt vilka risker som finns, kan detta ske genom bland annat uppgiftsminimering eller

pseudonymisering. Endast personuppgifter som är nödvändiga i varje enskilt fall ska hanteras,

och uppgifterna får inte göras tillgängliga för ett obegränsat antal fysiska personer. Detta gäller vid såväl insamlandet, behandlingen och lagringstiden. Genom dessa åtgärder ska den registrerades rättigheter beskyddas.46 Ett register skall föras av den personuppgiftsansvarige eller dess företrädare över personuppgiftsbehandlingen som genomförts. Denna ska bland annat innehålla följande: namn och kontaktuppgifter till den personuppgiftsansvarige samt dataskyddsombudet, vilka ändamål de har med hanteringen, en redogörelse av kategorierna av registrerade och eventuella tidsfrister för radering av uppgifter samt säkerhetsåtgärder.47

När någon typ av incident gör att en risk uppstår för att människors rättigheter blir inskränkta eller att personer förlorar kontrollen över sina uppgifter kallas det för

personuppgiftsincident. I samband med dataskyddsförordningen uppstår en skyldighet för

organisationer att anmäla personuppgiftsincidenter till Datainspektionen, vilket ska ske inom 72 timmar efter att man upptäckt överträdelsen. Organisationen måste även informera den

44 _{Datainspektionen, ”Skyldigheter för de som behandlar personuppgifter”. Tillgänglig:}

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/skyldigheter-for-de-som-behandlar-personuppgifter/, (hämtad 2018-04-10)

45 _{Europaparlamentet och rådets förordning (EU) nr 2016/679. Kap 4. Artikel 24} 46 _{Ibid. Kap 4. Artikel 25}

registrerade omgående, ifall risker för att deras rättigheter och friheter påverkas är stor. En personuppgiftsincident kan innebära att uppgifter om den registrerade personen har blivit förstörda, hamnat i fel händer eller på annat sätt gått förlorade, vilket kan leda till id-stöld eller bedrägeri.48

Datainspektionen är en oberoende tillsynsmyndighet som ansvarar för att övervaka och verkställa genomförande av denna förordning. De kommer ha möjlighet att utfärda varningar eller tillrättavisningar och även ålägga företag att vidta åtgärder. De kan också fatta beslut om att begränsa eller förbjuda hantering av personuppgifter samt debitera administrativa

sanktionsavgifter. Från och med den 25 maj kan privatpersoner göra en anmälan vid det fall någon bryter mot reglerna för personuppgiftsbehandling, varefter Datainspektionen tar beslut ifall tillsyn skall göras eller inte. Ett företag som bryter mot reglerna riskerar sanktionsavgift på upp till 20 miljoner euro, alternativt fyra procent av bolagets globala årsomsättning,

beroende på vilket belopp som är högst.49Den som lidit skada till följd av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan få rätt till skadestånd av den eller de personuppgiftsansvariga som deltagit vid behandlingen.50

48 _{Datainspektionen, ”Personuppgiftsincident”. Tillgänglig:}

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/skyldigheter-for-de-som-behandlar-personuppgifter/anmala-personuppgiftsincident/ (hämtad, 2018-04-10)

49 _{Europaparlamentet och rådets förordning (EU) 2016/679. Kap 6. Artikel 57–58} 50 _{Datainspektionen, ”Den registrerades rättigheter”. Tillgänglig:}

https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/de-registrerades-rattigheter/, (hämtad 2018-04-10)

4. Jämförelse mellan personuppgiftslagen och

dataskyddsförordningen

Personuppgiftslagen och dataskyddsförordningen har i princip samma syfte, och många av reglerna stämmer överens med varandra. Många av bestämmelserna i EUs

dataskyddsförordning finns redan reglerade i vår nuvarande lag. Precis som i

personuppgiftslagen är dataskyddsförordningens syfte att skydda människors personliga integritet från att överträdas genom behandling av dess personuppgifter. I

dataskyddsförordningen utökas dock människors rättigheter och friheter.

Redan i PUL finns reglerat att den personuppgiftsansvarige skall se till att personuppgifter behandlas endast då det är tillåtet enligt lag. I det innefattas att säkerställa att personuppgifter alltid behandlas på rätt sätt och enligt god sed, att personuppgifter samlas in bara för

särskilda, tydligt fastställda och motiverade skäl och att de sedan inte behandlas för ändamål som avviker från det för vilket uppgifterna insamlades. De är även ansvariga för att inte fler uppgifter behandlas än vad som behövs med hänsyn till ändamålen, samt att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt (9§). Mycket av detta stämmer överens med reglerna i dataskyddsförordningen.

26 § PUL anger att den personuppgiftsansvarige har en skyldighet att till den som begär det ge besked om personuppgifter som rör den behandlas eller ej. I den nya förordningen införs även en rättighet att få ett utdrag av exakt vilka uppgifter som finns registrerade. Förut fanns alltså rätten att få veta om ens personuppgifter behandlas, nu utökas rättigheterna till att få veta även hur, varför och vad som hanteras.

Laglighetsgrunderna för personuppgiftslagen respektive dataskyddsförordningen är näst intill detsamma. För att personuppgiftsbehandling ska vara lagligt ska antingen ett avtal komma till stånd, ett samtycke ska ges eller att man har ett berättigat skäl, dessa hittar vi i 10§ PUL samt i artikel 6.1 i dataskyddsförordningen. Dataskyddsförordningens regler om berättigat intresse ger den registrerade rätt till att sätta sig emot den personuppgiftsansvarige, i det fall måste den personuppgiftsansvarige genast avsluta behandlingen (Artikel 21.1). Enligt David Törngren har inte 10§ PUL samma bestämmelse kring den registrerades rättighet att sätta sig emot ett

berättigat intresse. Den registrerades intresse måste i detta fall väga tyngre för att rätten till för behandling ska stoppas.

Definitionen av samtycke har ändrats vilket gjort att en praktisk förändring av hur samtycke ska insamlas. Viljeyttringen enligt dataskyddsförordningen ska inte endast vara frivillig, särskild och otvetydig men även informerande och den registrerade ska inte endast godta behandlingen efter att den fått information om det, utan den registrerade måste antingen genom uttalande eller en klar bekräftande handling acceptera behandlingen. De skillnaderna innebär i praktiken är att människor måste göra ett eget aktivt val för att samtycka till hantering. Det går inte längre att ha för ikryssade rutor som säger att man accepterar

5. Förändringar i mäklarens arbete

En fastighetsmäklare hanterar stor mängd personuppgifter då de samlas in för både

spekulanter, köpare och säljare. Det innebär att den nya lagstiftningen är av största vikt för yrkesgruppen. Det är tydligt att syftet med dataskyddsförordning är att skydda individer, inte att underlätta för företagen och dess personal. Detta då privatpersoners rättigheter stärkts och företagens skyldigheter utökats. Även om fastighetsbyråer redan sedan innan haft många aspekter att beakta i personuppgiftslagen utökas nu dessa krav ytterligare.

Genom marknadsföringslagen, penningtvättslagen och fastighetsmäklarlagen har

fastighetsmäklaren i flera sammanhang rättslig grund för att samla in personuppgifter. Dels vid upprättande av ett förmedlingsuppdrag eller överlåtelseavtal då mäklaren har en

skyldighet att utföra ID-kontroll enligt PTL. Mäklaren har även en skyldighet att spara uppgifterna efter en överlåtelse i tio år.

Personuppgiftsansvarig är såväl mäklaren personligen som mäklarbyrån. Då mäklarbyrån bestämmer hur de anställda ska hantera personuppgifter samtidigt som mäklaren är personligt ansvarig. Nu gäller lagstiftningen både elektronisk behandling i system och även i e-post och word dokument - vilka tidigare var de undantag från PUL. Nu måste man som mäklare alltså även tänka på vad som skrivs i mailutskick.

Ytterligare en grundläggande bestämmelse i dataskyddsförordningen är att det krävs laglig grund för behandling av personuppgifter. Då samtycke ger extra förpliktelser, kan detta ofta undvikas av fastighetsmäklare. Detta då personuppgifterna i de flesta fall kan samlas in på grunden att de är nödvändiga för att fullgöra avtal, alternativt rättslig förpliktelse såsom ID-kontroll på köpare och säljare, vilket räcker för att behandlingen ska godkännas. Enligt penningtvättslagen måste mäklaren samla in viss information och därför krävs ej samtycke.

Ändamålsbegränsning är efter dataskyddsförordningens ikraftträdande ett krav när man ska behandla personuppgifter, vilket gör att man då inte längre kan använda de insamlade

personuppgifterna man fått för att förverkliga ett avtal till annat än det. Om det ska användas för annat ändamål krävs en annan laglig grund såsom samtycke eller berättigat skäl.

Kunder vars personuppgifter behandlas har rätt att ta registerutdrag en gång om året, och även en rättighet att motsätta sig direktmarknadsföring - vilket måste beaktas och respekteras. De har också rätt till radering, vid specifika fall. Detta gäller dock inte köpare och säljare av en bostad då mäklaren har en skyldighet att spara uppgifter enligt lag om dokumentering i FML.

Dataskyddsförordningen medför en ny skyldighet vid personuppgiftsincidenter, vilket kan vara om man som mäklare mailar till fel person, får sin laptop stulen eller blir hackad. Detta ska anmälas till Dataskyddsinspektionen inom 72 timmar, vilket innebär att det är av största vikt att alla vet vad en personuppgiftsincident är och hur man ska agera.

Fastighetsmäklare samlar ofta in personuppgifter vid anmälan till visningar. De flesta mäklarbyråer har som policy att alla som besöker en visning ska registreras med namn och telefonnummer. Här kan vi anse att det är befogat då man som mäklare släpper in människor i någons hem, och risken för stöld eller att något blir förstörd bör berättiga till att man borde få ha koll på vilka som varit där.

Vid direktmarknadsföring i brevform, måste mäklaren tänka på både dataskyddsförordning och marknadsföringslagen, vilka båda anger att man i det fall då det anses som ett berättigat intresse inte behöver ett samtycke. I dataskyddsförordningen då intresseavvägningen kan anses som ett berättigat skäl. Man får å andra sidan inte fortsätta om någon motsatt sig det. I själva verket blir det ingen skillnad från nuvarande situation, däremot menar Hajo Michael Holtz att den noggranna granskningen angående berättigat skäl kommer leda till att man numera hellre kommer använda sig av samtyckeskravet som grund.51 _{Här kan det komma att}

bli skillnad i praktiken, då man kanske även här i allt mer omfattning frågar efter samtycke. Detta samtyckeskrav kommer dock inte beröra mäklarens eller företagets arbete då detta samtyckeskrav antagligen kommer att belasta de företag som inhämtar och sänder ut reklamen.

Vid elektronisk reklam krävs samtycke, detta gäller dock inte till dem man har ingått ett uppdragsavtal med utan endast till spekulanter och potentiella säljare. När en person gör intresseanmälan måste personen samtycka att man sparar dess personuppgifter.

Samtyckeskravet i dataskyddsförordningen är tämligen strängare än det i

marknadsföringslagen. En fråga som kommer upp är då om framtidens praxis möjligen kommer komma att skärpa samtyckeskravet även i marknadsföringslagen. Samtycke krävs enligt dataskyddsförordningen för varje enskilt ändamål, detta är inte reglerat i

marknadsföringslagen.

Det har redan i personuppgiftslagen funnits en bestämmelse om att personuppgifter inte ska sparas längre än nödvändigt. Dock har det enligt praxis ansetts okej att spara uppgifter i upp till ett år för marknadsföringssyfte. Då det ännu inte finns någon praxis på de nya reglerna blir gränsdragningen för hur länge spekulanter får sparas i IT-systemen svårare. Av

försiktighetsskäl lär de allra flesta byråer införa någon typ av automatiskt system för att rensa bort kunder relativt snabbt efter att kundrelationen avslutats. Då många företag har olika typer av tjänster såsom bevakning av bostäder eller värdebevakare på bostadspriser i sitt eget område kommer många använda detta som skäl för att behålla kunderna i sina register. Fastighetsmäklare kommer således behöva tänka på att aktivera kunder i denna typ av

tjänster, alternativt avtala om ett datum för återkoppling längre fram i tiden för att få rätten att behålla dess kontaktuppgifter.

6. Analys

Vi har genom vår juridiska undersökning kommit fram till att en fastighetsmäklares arbete med personuppgifter kommer förändras i mindre utsträckning i samband med den nya lagstiftningen. Vi är dock eniga om att en större försiktighet lär uppkomma då brott mot dataskyddsförordningen medför såväl ekonomiska risker och även en risk att företagets rykte skadas. Det är sannolikt en fara att förlora förtroende om man inte hanterar personuppgifter på rätt sätt, vilket skadar varumärket. En noggrann hantering av personuppgifter är särskilt viktigt i mäklarbranschen då kunderna är konsumenter. Vi anser att det är av största vikt som mäklare att ha sina kunders tillit, vilket innefattar en säker behandling av deras uppgifter.

Ett av de grundläggande kraven i dataskyddsförordningen är uppgiftsminimering, det vill säga att inte samla in uppgifter som är “bra att ha” och inte heller spara uppgifter längre än vad som är nödvändigt. Här tror vi att den största utmaningen ligger för fastighetsmäklare. Förut har alla uppgifter som går att finna samlats in även om de inte är direkt användbara vid tillfället, men som kan komma att vara till nytta längre fram. Människors personuppgifter har även sparats i systemen under långa perioder trots att ingen fortsatt kontakt skett. Hur länge personuppgifter får sparas beror även på kringliggande lagstiftning, och FMI, exempelvis att fastighetsmäklaren ska spara akter i 10 år, vilket fortfarande skall följas.

En nyhet som dataskyddsförordningen för med sig är att den personuppgiftsansvarige ska kunna uppvisa att reglerna följs. En teknisk lösning kan vara att man har ett datorsystem med inbyggt dataskydd som säkerställer att uppgifter inte sparas längre än nödvändig utan gallrar automatiskt. Ett skydd mot hackare är också att rekommendera. Mäklarföretagen bör även implementera organisatoriska åtgärder bland annat policys, riktlinjer och rutiner för att hantera personuppgifter.

Vi har funnit att Sverige är ett av de länder som redan innan haft ett starkt skydd för människors integritet och säker hantering av personuppgifter, vilket förmodligen gör omställningen till den nya förordningen mindre än för många andra europeiska länder. De största förändringarna är angående människors rättighet att kontrollera och godkänna vilka uppgifter som finns registrerade angående dem.

Utifrån den juridiska undersökning vi utfört har vi funnit att en fastighetsmäklares vardag präglas av ett flertal lagar och regler. Vid marknadsföring ska både personuppgiftslagen, marknadsföringslagen och lagen om namn och bild beaktas. I samband med införandet av den nya dataskyddsförordningen ska personuppgifter numera minimeras och tiden för sparandet av uppgifterna ska begränsas. Just när det gäller marknadsföring har vi kommit fram till att skillnaderna är marginella, då detta redan begränsas i stor utsträckning av den nuvarande personuppgiftslagen samt marknadsföringslagen.

7. Slutsats

Fastighetsmäklarens ansvar idag gällande registrerades personuppgifter vid marknadsföring begränsas av personuppgiftslagen. Idag krävs samtycke eller att företagets intresse väger tyngre än den registrerades för användning av personuppgifter vid marknadsföring. Direktmarknadsföring kan anses som ett berättigat intresse för företaget. Med nya dataskyddsförordningen förändras inte dessa laglighetsgrunder, men de blir mer skärpta. Definitionen av vad ett samtycke innebär samt ett företags berättigade intresse är inte användbart om den registrerade sätter sig emot detta. Företaget måste se till att hantera personuppgiften genom säkra datorsystem och säkrare rutiner då dem genom den nya dataskyddsförordningen står för allt hårdare konsekvenser om reglerna bryts.

I och med att mäklarens arbete även regleras av marknadsföringslagen, vilken inte har

förändrats, behöver inte skillnaderna gällande marknadsföringen bli så stora. Det som krävs är samtycke för all obeställd reklam, och samtycke eller ett berättigat skäl för att få skicka direktreklam. Den största frågan är huruvida marknadsföring via direktreklam kommer räknas som ett berättigat intresse enligt dataskyddsförordningen. Mäklaren kommer få använda sig av marknadsföring i samma utsträckning som förut gällande obeställd reklam. När det gäller direktreklam får framtiden avgöra vilken direktreklam som anses som berättigad och vilken som kräver samtycke.

Mäklarens arbete försvåras något genom införandet av dataskyddsförordningen. Mäklaren måste ändra rutiner och bli mer noggrann när det gäller hanteringen av personuppgifter beaktande ändamålsbegränsning, uppgiftminimering och lagringsminimering. Det är mäklarföretaget som står inför de största förändringarna i form av hanteringen av

personuppgifterna i datorsystemen samt uppdateringen av dokument som ska skrivas under gällande användning av personuppgifter. Efter uppdateringarna är gjorda blir inte företagets arbete heller försvårat i så stor utsträckning.

8. Käll- och litteraturförteckning

Lagar

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

SFS 1998:204 Personuppgiftlag. Stockholm: Justitiedepartementetn

Propositioner

Prop. 2003/04 Obeställd e-postreklam

Prop. 2007/08:155 Ny marknadsföringslag

Prop. 2017/18:105 Ny dataskyddslag

Prop. 1997/98:44 Personuppgiftslag

Tryckta källor

Grauers, Per Henning, Rosén, Mats, Tegelberg, Lars, Fastighetsmäklaren – en vägledning. 4 uppl. Wolters Kluwer 2016.

Holtz, Hajo Michael, Den allmänna dataskyddsförordningen – Några anmärkningar. SvJT. 2018.

Kjellgren, Jan, Holm, Anders, Att skriva uppsats i rättsvetenskap. 1 uppl. Författarna och Studentlitteratur 2007

Sandgren, Claes, Rättsvetenskap för uppsatsförfattare. 2 uppl. Nordstedts Juridik AB 2013.

Zacharias, Claude, 2011 års fastighetsmäklarlag - en kommentar. 2 uppl. Zacharias Advokatbyrå 2013.

Öman, Sören, Lindblom Hans-Olof., Personuppgiftslagen, en kommentar. 2 uppl. Nordstedts juridik 2001.

Elektroniska källor

Jilderyd, Elisabeth. Datainspektionen. Enkla grunder i dataskydd. Tillgänglig: https://www.datainspektionen.se, (hämtad 2018-02-23, 2018-06-04)

Datainspektionen. Avtal med den registrerade. Tillgänglig: https://www.datainspektionen.se (hämtad 2018-04-10)

Datainspektionen. Den registrerades rättigheter. Tillgänglig: https://www.datainspektionen.se (hämtad 2018-04-10)

Datainspektionen. Intresseavvägning, marknadsföring och direktreklam. Tillgänglig https://www.datainspektionen.se (hämtad 2018-04-26)

Datainspektionen. Personuppgiftsincident. Tillgänglig: https://www.datainspektionen.se (hämtad, 2018-04-10)

Datainspektionen. Principer för behandling av personuppgifter. Tillgänglig: https://www.datainspektionen.se (hämtad 2018-04-10)

Datainspektionen. Rättsliggrund för personuppgiftsbehandling. Tillgänglig: https://www.datainspektionen.se, (hämtad 2018-04-10)

Dataskyddsinspektionen. Skyldigheter för de som behandlar personuppgifter. Tillgänglig: https://www.datainspektionen.se, (hämtad 2018-04-10)

Regeringskansliet. Ny dataskyddslag. Kompletterande bestämmelser till EU:s

dataskyddsförordning. Tillgänglig: http://www.regeringen.se2017, (hämtad 2018-02-23)