Examensarbete i fastighetsvetenskap
Dataskyddsförordningens påverkan ur ett
budgivningsperspektiv
_________________________
The impact of GDPR from a bidding perspective
Caroline Bergkvist
Malin Klevstig
Fastighetsvetenskap Kandidatnivå 15 hp VT 2018
2
Sammanfattning
Denna rättsvetenskapliga uppsats reder ut hur fastighetsmäklarens skyldigheter förändras ur ett budgivningsperspektiv efter införandet av dataskyddsförordningen (GDPR) den 25 maj 2018. Budgivningen är inte i någon större utsträckning reglerad i lag vilket har gjort att bedrägeri i form av falska bud har uppkommit i praxis. Som ett resultat av detta har krav på upprättande av anbudsförteckning införts för mäklaren. Eftersom GDPR är en rättsakt som ännu inte har trätt i kraft är detta en explorativ studie där vi undersöker hur införandet kommer att påverka fastighetsmäklaren. Syftet med GDPR är att skydda och reglera flödet av personuppgifter för EU-medborgarna, ett flöde som ökar kraftigt på grund av globaliseringen och den teknologiska utvecklingen. GDPR är en EU-förordning och dess bestämmelser ska tillämpas direkt av respektive medlemsstat. Förordningen ställer höga krav på samtliga aktörer inom unionen som behandlar personuppgifter, däribland fastighetsmäklare och mäklarföretag.
Huvudbegreppet inom förordningen som är av störst betydelse för hur mäklarens arbete förändras är personuppgiftsansvarig. Det råder skiljaktigheter huruvida det är mäklaren eller mäklarföretaget som är personuppgiftsansvarig och vår slutsats är därför att det finns två svar på syftet. Om det är den enskilda mäklaren som är personuppgiftsansvarig finns en rättslig skyldighet för mäklaren enligt fastighetsmäklarlagen som gör att
mäklaren inte behöver ta in samtycke från budgivarna för att få behandla deras kontaktuppgifter i en anbudsförteckning. Är det istället mäklarföretaget som är personuppgiftsansvarig finns det ingen rättslig skyldighet som gör att budgivarnas personuppgifter får behandlas. Detta gör att ett entydigt samtycke måste tas in från budgivarna där det på ett lättförståeligt sätt framgår vad uppgifterna kommer att användas till och där de även ska få information av personuppgiftsansvarige hur samtycket kan återkallas. Eftersom denna tolkningssvårighet råder uppmanar vi den enskilde fastighetsmäklaren och mäklarföretaget att inhämta samtycke vid hantering av budgivares personuppgifter.
Nyckelord: Anbudsförteckning, budgivning, dataskyddsförordning, fastighetsmäklare, fastighetsmäklarlagen, GDPR, personuppgifter, personuppgiftsansvarig.
3
Abstract
This legal paper studies the impact of the new EU regulation GDPR on Swedish real estate brokers responsibility when it comes to the bidding. GDPR is an attempt to protect the integrity of the EU residents due to the increasing flow of personal data within and outside the union. The bidding process in Sweden is associated with problems since the bidders often feel that false bidders occur. In order to minimize the risk of false bidding, national law forces the broker to create a list of all bids that are put on a house or apartment along with name of the bidder, information on how to contact him or her, when the bid was made and if there are any conditions attached to the bid. This list is then given to the seller and the buyer. National law on processing personal data has not been an obstacle for the broker to fulfil this duty but we have learnt that GDPR might be. There are different points of view on whether it is the broker or the broker firm that is responsible for the personal data that is processed within the company. If the broker is responsible its legal responsibility will enable him or her to process personal data without consent from the bidders but if the broker firm is responsible, consent must be given by the bidders in order for the broker to create the bidding list and in that way fulfil their duties associated with the bidding. Since there are different ways to interpret this our conclusion is that consent from the bidders should be acquired.
4
Förkortningslista
GDPR - General data protection regulation PUL – Personuppgiftslagen (1998:204) FML – Fastighetsmäklarlagen (2011:666) BrB – Brottsbalken (1962:700)
95/46/EG - Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995
om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
NJA - Nytt juridiskt arkiv, avdelning l HD - Högsta domstolen
Prop - Regeringens proposition FMI - Fastighetsmäklarinspektionen HFD - Högsta förvaltningsdomstolen CRM - Customer relationship management
5
Innehåll
1. Inledning ... 6 1.1 Bakgrund ... 6 1.2 Syfte ... 7 1.3 Avgränsningar... 8 1.4 Metod ... 8 1.5 Disposition ... 8 2. Dataskyddsförordningen ... 10 2.1 EU-rättslig översikt ... 102.2 General data protection regulation ... 11
2.3 Principer och begrepp inom GDPR ... 12
2.4 Samtycke ... 14
2.5 Den registrerades rättigheter vid hantering av personuppgifter... 14
2.6 Påföljder ... 15 2.7 Personuppgiftshantering ... 16 2.8 Datainspektionen ... 17 3. Fastighetsmäklaren ... 18 3.1 Fastighetsmäklarlagen ... 18 3.2 Budgivningen ... 18 3.3 Anbudsförteckning ... 19 4. Diskussion ... 22 5. Slutsats ... 27 Källförteckning ... 28
6
1. Inledning
1.1 Bakgrund
Den 25 maj 2018 träder EU:s allmänna dataskyddsförordning; General Data Protection Regulation (GDPR) i kraft1. GDPR är Europaparlamentets och Europarådets förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. GDPR kommer att ersätta den nu gällande personuppgiftslagen (1998:204)2. Den nya förordningen kommer att innebära ett striktare ansvar för alla företag som behandlar personuppgifter, missköts denna hantering kan det leda till stora straffavgifter3. I fastighetsförmedlingsprocessen har det tidigare främst funnits ett personligt ansvar för fastighetsmäklaren som baseras på de skyldigheter fastighetsmäklaren har4. I och med de nya reglerna kan också mäklarföretagen komma att påverkas och eventuellt straffas för misskötande av personuppgiftshantering.
Budgivningen är en central del av förmedlingsprocessen. Fastighetsmäklaren är enligt 20§ FML skyldig att upprätta en anbudsförteckning med alla bud som kommer in under en förmedlingsprocess. Denna förteckning ska innehålla uppgifter om anbudsgivarens namn, kontaktuppgifter, lagt bud, tidpunkt, eventuella villkor5 och skall vid
förmedlingens avslut överlämnas till uppdragsgivaren6. Anbudsförteckningen ska göra det möjligt att i efterhand kontrollera att alla bud som mäklaren har framfört är korrekta samt att samtliga bud som mäklaren fått också framförts till uppdragsgivaren7. Om mäklaren åsidosätter denna skyldighet kan denne komma att bli skadeståndsskyldig samt få en påföljd av tillsynsmyndigheten i form av erinran, varning eller
avregistrering8.
1
Europaparlamentets och rådets förordning (EU) 2016/679, artikel 99
2 Datainspektionen.se
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/introduktion-till-dataskyddsforordningen/ (Hämtad 2018-02-20)
3 Europaparlamentets och rådets förordning (EU) 2016/679, artikel 83 4 8 § fastighetsmäklarlagen (2011:666) 5 Prop 2010/2011:15 s. 36 6 20 § fastighetsmäklarlagen 7 Prop 2010/2011:15 s. 36 8 25, 29 §§ fastighetsmäklarlagen
7
Det finns en problematik kring budgivningar där problem kan uppstå för mäklaren om falska bud inkommer och mäklaren haft stark anledning att misstänka detta. Det finns då en risk för mäklaren att bli skyldig till medbrottslighet9 men det är svårt att avgöra när mäklaren “bör” märka eller misstänka. Budgivningen är en uppmärksammad process där det finns en önskan om att göra den mer transparent för att få bukt med de problem som upplevs. Ett resultat av problematiken kring budgivningen är bland annat ett rättsfall från 2016 (NJA 2016 s 39) där en person lämnat falska bud och blivit dömd för bedrägeri10, dock är det ett mycket smalt område med få rättsfall och problematiken är tillsynes mer upplevd än dokumenterad. Det har länge förts diskussion i media om att falska bud förekommer i budgivningar vilket kan skapa problem för mäklare.
Anmälningar till FMI har under 2015-2017 övervägande gällt lockpriser och budgivningar11.
Då mäklare är skyldiga, enligt FML, att upprätta en anbudsförteckning och därmed registrera personuppgifter, kan GDPR:s regler och mäklarens skyldigheter kring
budgivningar komma att krocka. Eftersom det enligt gällande lag finns en skyldighet för mäklaren att upprätta en anbudsförteckning12 över budgivare och deras bud, innebär det att samtycke enligt PUL ej krävs för att överlämna personuppgifter till tredje man, det vill säga uppdragsgivare och köpare13. PUL utgör således inte ett hinder idag för mäklarens arbete14 men i och med den nya dataskyddsförordningen kan det rättsliga läget komma att ändras.
1.2 Syfte
Syftet med denna explorativa studie är att undersöka om och i sådant fall hur mäklarens skyldigheter kommer att förändras i och med införandet av den nya
dataskyddsförordningen när det gäller de rättsliga kraven som ställs på mäklarens hantering av budgivning. 9 Brottsbalk (1962:700) 9:1, 24:4 10 NJA 2016 s. 246 11http://www.fmi.se/Sve/Filer/Anm%C3%A4lningar%20tom%202017-12-31%20(orsaker).pdf (hämtad 17/4-2018) 12 20 § fastighetsmäklarlagen
13 Melin, Magnus. Fastighetsmäklarlagen: en kommentar. 4e upplagan. Stockholm, Wolters Kluwer
2017, 192.
14 Zacharias, Claude. 2011 års fastighetsmäklarlag - en kommentar. 2a upplagan. Stockholm, Claude
8
1.3 Avgränsningar
Vi kommer att hålla oss till budgivningsprocessen kring bostadsaffärer. Eftersom GDPR är väldigt omfattande och kan tillämpas på alla olika institutioner som hanterar
personuppgifter kommer vi att fokusera på att välja ut de delar av GDPR som är tillämpliga på mäklarens budgivningsprocess.
1.4 Metod
Metoden vi kommer att använda oss av är juridisk metod vilket omfattar författningar, förarbeten, rättspraxis och doktrin. Juridisk metod innebär, förutom att samla in
rättskällorna, att urskilja vilka fakta som är relevanta och att avgränsa dem. Det innebär också att tillämpa rättsreglerna på ett visst faktiskt förhållande.15
Det vi i praktiken gör är att granska GDPR genom att tolka förordningen. Vi använder oss av de rättsfall som är relevanta för ämnet. Eftersom tidigare forskning på området är nästintill obefintlig använder vi istället juridiska artiklar, litteratur inom rättsvetenskap, rättsfall med mera inom de olika delarna. Vi redogör för hur GDPR kommer att vara utformad samt hur FML är utformad och budgivningen är reglerad. Eftersom
budgivningen inte är reglerad i lag på ett tydligt sätt används FMI:s avgöranden i uttolkningen av gällande rätt i frågan. Vidare fördjupar vi oss i propositionen till FML för att se hur den har utformats. Vi fördjupar oss även i rätt och hur en
EU-förordning som GDPR blir till.
1.5 Disposition
Uppsatsen är uppdelad i fem olika kapitel utifrån trattprincipen.
1. Inledande del där bakgrund och problematiken kring ämnet presenteras, samt den information som finns på området.
2. En introduktion om vad EU-rätt innebär, hur dess rättsakter skapas samt hur de ska implementeras i nationell rätt. Kapitlet presenterar också GDPR och de, enligt oss, relevanta delarna som kan påverka budgivningsprocessen.
15 Sandgren, Claes. Rättsvetenskap för uppsatsförfattare. 2a upplagan. Stockholm, Nordstedts juridik,
9
3. Fastighetsmäklarlagen och budgivningsprocessen
4. En diskussion där vi knyter samman GDPR och fastighetsmäklarlagen och tolkar det nya rättsläget.
10
2. Dataskyddsförordningen
2.1 EU-rättslig översikt
Lagstiftning inom EU utreds och läggs i huvudsak fram av EU-kommissionen och det är sedan upp till Europaparlamentet samt ministerrådet (vars medlemmar representerar de olika medlemsstaternas regeringar)16 att besluta om det framlagda lagförslaget ska antas eller ej. Förutom att utreda och lägga fram lagförslag ska även kommissionen se till att de lagar som antas verkställs och efterlevs17. Primärrätten, vilken närmast kan jämföras med Sveriges grundlagar, består av olika fördrag. Utöver de generella grundfördragen i EU; Maastrichtfördraget, Romfördraget och Euratomfördraget18, finns det mer specifika förordningar, direktiv och beslut som reglerar hur fördragen ska tillämpas i praktiken, så kallad sekundärrätt. EU-förordningar syftar till att lagstifta inom olika områden där alla som berörs blir direkt bundna till dess regler, detta för att se till att alla medlemsstater inom EU har samma regler att förhålla sig till19. Detta innebär i praktiken att alla svenska domstolar direkt skall tillämpa nya förordningar20 och i de fall EU:s
förordningar står i konflikt med nationella lagar har EU:s regler företräde enligt EU-domstolens företrädesprincip21. Anledningen till detta är att man som medlemsland ger mandat till EU att företräda landet på olika sätt och därför blir det motstridigt om de nationella reglerna ska gälla före EU:s regler22. Syftet med EU:s direktiv är, till skillnad från förordningarna, att ge medlemsstaterna ramverk inom vilka de ska utforma egna nationella rättsregler23. Ett direktiv är alltså en lag som sätts upp som ett mål som ska uppnås i medlemsländerna, men det är länderna själva som avgör hur målet ska uppnås24.
16 Derlén, Mattias, Ingmansson, Staffan, Lindholm, Johan. Grundläggande EU-rätt. 1a upplagan.
Stockholm, Liber 2015, s. 20
17 Bernitz, Ulf, Källgren, Anders. Introduktion till EU. 6e upplagan. Stockholm, Norstedts juridik AB
2018, s. 36
18
Riksdagen http://eu.riksdagen.se/vad-gor-eu/en-eu-lag-blir-till/eus-lagar-och-regler/#Olika-typer-av-EU-lagar (hämtad 24/4-2018)
19 Bernitz, U, Källgren, A, Introduktion till EU, s. 50.
20 Bernitz, Ulf, Källgren, Anders. Europarättens grunder. 5e upplagan. Stockholm, Norstedts Juridik AB
2014, s 55
21
Derlén, M, mfl. Grundläggande EU-rätt, s. 35
22 Bernitz, U, Källgren, A, Introduktion till EU, s. 53 23 Bernitz, U, Källgren A, Europarättens grunder, s. 56
24 Riksdagen
11
Lagstiftning inom EU går i korta drag till på så vis att kommissionen lägger fram ett förslag till rådet och parlamentet som efter separat behandling beslutar om de anser att rättsakten ska antas eller inte, alternativt ger förslag till förändringar. Rådet och parlamentet måste båda godkänna förslaget för att rättsakten ska antas.25
Samtliga rättsakter inom EU-rätten ska upprättas på de 24 officiella språken inom unionen, däribland svenska. Samtliga översättningar är autentiska vilket innebär att ingen språkversion ska anses vara av större vikt än någon annan. Detta kan i vissa fall skapa tolkningsfelaktigheter mellan språkversionerna och om det i sin tur leder till en tvist jämför man de olika versionerna med varandra för att reda ut rättsläget.26
Olikt svenskt rätt, där förarbetena till viss del förklarar motiven med gällande rätt och hur den ska tillämpas, finns inga förarbeten inom EU-rätten. Istället inleds rättsakterna med en preambel vilka är skälen till att förordningen arbetats fram. Dessa skäl är inte juridiskt bindande men är ändå viktiga då de i vissa fall hjälper till att tolka
förordningens olika artiklar.27
2.2 General data protection regulation
Efter ett beslut av Europaparlamentet och rådet taget den 27 april 201628 träder den 25 maj 2018 en ny förordning inom EU-rätten i kraft, General Data Protection Regulation. På grund av det globaliserade samhället och den teknologiska utvecklingen vill
Europaparlamentet med hjälp av GDPR reglera och skydda flödet av personuppgifter för alla fysiska personer. Detta anses vara en grundläggande rättighet för medborgare inom unionen29. Öppenheten mellan marknader inom EU har också ökat flödet av personuppgifter både mellan offentliga och privata aktörer30.
25 Riksdagen http://eu.riksdagen.se/vad-gor-eu/en-eu-lag-blir-till/# (hämtad 24/4-2018) 26 Bernitz, U, Källgren A, Europarättens grunder, s. 189-191
27
Bernitz, U, Källgren A, Europarättens grunder, s. 187-188
28 Holtz, Hajo Michael. Den nya allmänna dataskyddsförordningen – några anmärkningar. SvJT 2018 s
240
29 GDPR, preambel p. 1, 6, 10 30
12
2.3 Principer och begrepp inom GDPR
GDPR bygger på en preambel med 173 punkter och 99 artiklar som tillsammans utgör regler om hur personuppgifter ska hanteras inom unionen, det vill säga efterträdaren till personuppgiftslagen.
Inledande artiklar i GDPR definierar de begrepp som används i förordningen samt de huvudsakliga principer som ska gälla vid företagens hantering av personuppgifter. Huvudprinciperna för hantering av personuppgifter är bland annat laglighet, korrekthet och öppenhet. Med detta menas att uppgifterna ska hanteras i enlighet med
förordningens regler samtidigt som de ska vara korrekta samt att det ska finnas en transparens i behandlingen så att den fysiska personen som berörs ska ha inblick i vilka uppgifter som företaget har sparat angående personen. Det ska vara tydligt hur
uppgifterna kommer att användas31 och det ställs krav på att uppgifterna som inhämtas och sparas är korrekta samt att de uppdateras i den mån det behövs så att de är aktuella. I det fall inkorrekta uppgifter finns ska dessa raderas utan dröjsmål. Företaget ska också uppgiftsminimera vilket innebär att endast den information som absolut behövs
inhämtas och ingenting därutöver.32
Inledande artiklar förklarar även andra begrepp som är av betydelse för förordningen.
Personuppgifter definieras som uppgifter som direkt eller indirekt identifierar en fysisk
person som är i livet33. I det fall personen är avliden ska nationell rätt tillämpas34. Exempel på personuppgifter är namn, personnummer, adress, telefonnummer, geografisk position, hälsotillstånd och ekonomiska uppgifter med flera35. Ett annat begrepp som definieras är behandling vilket innebär hur man hanterar personuppgifter. Behandlingen kan ske automatiskt eller manuellt genom att man till exempel hämtar in, registrerar, lagrar, använder eller raderar personuppgifter.36
Den som är personuppgiftsansvarig är en fysisk eller juridisk person, till exempel aktiebolag, stiftelse eller myndighet, som bär hela ansvaret och bestämmer ändamålen,
31 P. 39 i preambeln 32 Artikel 1-5 33 Artikel 4 34 P. 27 i preambeln 35 Artikel 4 p. 1 36 Artikel 4 p. 2
13
behandlingen och medlen av personuppgifter37. Inom en enskild firma är det en fysisk person som innehar ansvaret. Finns det fler än en personuppgiftsansvarig som har ansvarsskyldighet tillsammans är det deras skyldighet att bestämma vem som är ansvarig för vad för att kunna fullgöra de olika skyldigheterna i GDPR. Som personuppgiftsansvarig kan man överlåta behandlingen av personuppgifterna till exempelvis sina medarbetare men denna står fortfarande som ansvarig. Ansvaret kan således aldrig överlåtas trots att själva behandlingen kan ske av annan person. Det är personuppgiftsansvarig som ska se till att behandlingen sker enligt GDPR:s regler och ska ge instruktioner om hur detta ska ske. Det är också den personuppgiftsansvarige som har ett generellt ansvar att genomföra åtgärder, såväl tekniska som organisatoriska, för att kunna säkerställa och bevisa att behandlingen har gjorts enligt
dataskyddsförordningen, exempelvis genom policy.38
Personuppgiftsbiträdet biträder personuppgiftsansvarig med att behandla
personuppgifter för dennes räkning. Det kan vara en fysisk eller en juridisk person, institution, offentlig myndighet eller annat organ. Personuppgiftsbiträdet får endast behandla personuppgifter enligt instruktioner av den personuppgiftsansvarige och själva ansvaret för personuppgifterna kan aldrig gå över till biträdet.39 Offentlig myndighet, fysisk eller juridisk person eller institution som inte är den registrerade,
personuppgiftsansvarige eller personuppgiftsbiträdet som får ta del av personuppgifterna benämns som tredje part40.
Dataskyddsombud är ett annat begrepp som förekommer i förordningen. Detta ombud
har som uppgift att informera, ge råd, övervaka efterlevnaden av förordningen samt samarbeta med tillsynsmyndigheten41.
Genom att ersätta delar av personuppgifterna med kompletterande uppgifter för att de inte ska kunna hänföras till en specifik fysisk person använder man sig av så kallad
pseudonymisering, vilket innebär att man ändrar uppgifterna på så sätt att man gör dem
37 Artikel 4 p. 7
38 Artikel 4 punkt 7; Datainspektionen.
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/skyldigheter-for-de-som-behandlar-personuppgifter/personuppgiftsansvarig/ (hämtad 13/4-18)
39
Artikel 4 punkt 8;Datainspektionen.
https://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/vem-ar-personuppgiftsbitrade-och-vilket-ansvar-har-ett-bitrade1/ (hämtad 13/4-2018)
40 Artikel 4 p. 10 41
14
oidentifierbara. Detta under förutsättning av att de kompletterande uppgifterna ska förvaras separat42. Pseudonymisering uppmuntras eftersom det minskar riskerna för den registrerade och kan underlätta hanteringen av personuppgifter för den
personuppgiftsansvarige och personuppgiftsbiträdet. Dock kvarstår vissa skyldigheter i hanteringen som inte uppfylls genom pseudonymisering.43
2.4 Samtycke
Behandling av personuppgifter kan vara laglig när ett av flera olika villkor som finns i artikel 6 GDPR är uppfyllda.
Första punkten, a, är att samtycke har lämnats av den gällande personen, att dennes personuppgifter får behandlas. Samtycke ges, enligt punkt 32 i preambeln, GDPR, genom ett entydigt bekräftande. Detta kan vara genom en skriftlig, elektronisk eller muntlig handling som ska vara ett frivilligt medgivande från den registrerades sida att personuppgifter får behandlas. Det finns flera alternativ för hur detta kan ske,
exempelvis genom att den registrerade kryssar i en ruta på en webbsida eller genom en annan förklaring. Det är först efter att samtycke har medgivits som behandlingen är laglig enligt denna punkt. Personuppgiftsansvarig har en skyldighet att efter samtycke har inhämtats bevisa att samtycke faktiskt finns.
Enligt artikel 6 punkt c, GDPR, är behandling av personuppgifter, utan samtycke, laglig om det finns en rättslig förpliktelse som åvilar den personuppgiftsansvarige och det är nödvändigt för denna förpliktelse att personuppgifter behandlas.
2.5 Den registrerades rättigheter vid hantering av
personuppgifter
Enligt GDPR har den registrerade ett flertal rättigheter kring hanteringen av dennes personuppgifter. Den registrerade har enligt artikel 20 GDPR bland annat rätt att begära ut de uppgifter den personuppgiftsansvarige har inhämtat från denne enligt hans eller
42 Artikel 4 p. 5 43
15
hennes rätt till dataportabilitet. Uppgifterna som skickas till den registrerade ska vara lätta att tyda och det ska även finnas en möjlighet för honom eller henne att begära överföring av personuppgifterna från en personuppgiftsansvarig till en annan om det är tekniskt möjligt44. Den registrerade ska även ha rätt till att bli bortglömd, alltså ha rätt
till radering. Det innebär att de personuppgifter som finns behandlade och lagrade hos
personuppgiftsansvarige ska raderas, utan onödigt dröjsmål, om personuppgifterna inte längre är nödvändiga för de ändamål de hämtats in för. Det ska även göras om den registrerade återkallar sitt samtycke om behandling, invänder mot behandlingen eller om personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i den nationella rätten som den personuppgiftsansvarige omfattas av.45
Rätt till rättelse innebär att den registrerade ska ha en möjlighet att få registrerade
uppgifter om denne, rättade i det fall dem är felaktiga vilket ska ske utan onödigt dröjsmål om det begärs46. Den registrerade ska också ha rätt till tillgång om hur personuppgifter angående honom behandlas och till vad, hur länge personuppgifterna kommer att behandlas samt var uppgifter som inte hämtats in från den registrerade kommer ifrån. Rätt ska även finnas till att få inblick i till vilka personuppgifterna ska eller har lämnats ut till.47
2.6 Påföljder
I det fall reglerna enligt GDPR inte följs kan det komma att innebära stora straffavgifter för aktören i form av administrativa sanktionsavgifter. Förutom dessa
administrationsavgifter har även den registrerade rätt till skadestånd av den
personuppgiftsansvarige eller personuppgiftsbiträdet i det fall denne har lidit materiell eller immateriell skada på grund av att aktören har handlat i strid mot förordningen. Sanktionsavgifterna ska vara så stora att de är avskräckande, de kan uppgå till 20 000 000 euro eller 4% av den totala globala årsomsättningen från föregående år, beroende av vilket belopp som är högst. Avgifterna ska beräknas utifrån varje specifikt fall och bedömas utifrån hur grava överträdelserna har varit. För att bestämma hur stora de administrativa sanktionsavgifterna ska vara finns det ett flertal punkter i artikel 83 som situationen ska bedömas utifrån. Bedömningen ska göras utifrån vilken typ av
44 Artikel 20 45 Artikel 17 46 Artikel 16 47 Artikel 15
16
överträdelse som har gjorts, hur länge den har pågått och om den har gjorts på grund av uppsåt eller av oaktsamhet. Vidare tas även hänsyn till om personuppgiftsansvarige eller personuppgiftsbiträdet tidigare har överträtt förordningen som är relevanta för
överträdelsen i detta fall. Vikt läggs även vid hur de ansvariga har hanterat händelsen när den upptäcktes, om de har anmält att överträdelsen har inträffat och hur behjälpliga de har varit i att begränsa de negativa följderna i samarbete med tillsynsmyndigheten.48
2.7 Personuppgiftshantering
GDPR kommer att ersätta den nu gällande personuppgiftslagen. PUL har, precis som GDPR, syftet att skydda privatpersoner från kränkning vid behandling av deras personuppgifter49 och har många gemensamma begrepp med GDPR såsom
personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde och samtycke. För att en personuppgiftsansvarig ska få hantera personuppgifter ska samtycke tas in från den registrerade50, dock finns inga krav på företagen att kunna bevisa att samtycke finns vilket GDPR kräver51. Den personuppgiftsansvarige är enligt 26 § skyldig att lämna ut vilka personuppgifter som behandlas till den registrerade, detta ska ske utan kostnad max en gång per kalenderår. Även ur detta avseende är GDPR:s bestämmelser strängare då det inte finns några begränsningar i hur många gånger den registrerade gratis får begära ut vilka personuppgifter om denna som behandlas, dock får en liten administrativ kostnad tas ut om den registrerade begär ut fler än en kopia per gång52. I det fall
behandling av personuppgifter sker i strid mot GDPR:s regler kan påföljd bland annat bli aktuellt i form av stora sanktionsavgifter, till skillnad från påföljd vid överträdelser av PUL då skadestånd kan bli aktuellt till den registrerade vilket kan komma att sättas ned om den personuppgiftsansvarige kan visa på att denna inte har gjort överträdelsen. Har felaktig behandling skett uppsåtligen eller av oaktsamhet kan även böter eller fängelsestraff i högst två år dömas.53 48 Artikel 83 49 1 § PUL 50 10 § PUL 51 Artikel 7 p. 1 52 Artikel 15 53 49 § PUL
17
2.8 Datainspektionen
Datainspektionen är den myndighet som har en tillsynsverksamhet för behandling av personuppgifter. Deras uppdrag är att se till och bidra till att behandlingen av
personuppgifter inte leder till otillbörliga intrång och kränkningar i enskilda individers personliga integritet.54
Det är Datainspektionen som arbetar och kontrollerar att lagarna vi har i Sverige efterlevs genom att iaktta tillsyn av de som hanterar personuppgifter. Detta är bland annat företag, organisationer och myndigheter55. Datainspektionen har hand om flera olika delar gällande personuppgifter och integritet. De ska verka för att god sed iakttas inom inkasso och kreditupplysningsverksamhet samtidigt som de också har ansvaret för kameraövervakningen i Sverige56. Datainspektionen hjälper också enskilda personer med frågor och klagomål samt jobbar med förebyggande arbete genom information, en stor del på sin webbplats, där personer kan gå in och läsa om de olika delarna som rör personuppgifter57. Datainspektionen är tillsynsmyndighet för kreditupplysningslagen (1973:1173) och inkassolagen (1974:182)58.
Förordning (2007:975) med instruktion för Datainspektionen är de instruktioner från regeringen som Datainspektionen arbetar efter. Det är denna förordning som reglerar dess arbete och styr vilka mål myndigheten ska uppnå och vilken budget som finns för detta59.
Inför GDPR:s införande den 25 maj 2018 har Datainspektionen informerat både företag och privatpersoner inför den nya förordningen. Det ska i varje EU-land utses en
tillsynsmyndighet som övervakar de som behandlar personuppgifter. Datainspektionen har föreslagits till detta uppdrag men det är i skrivande stund ännu inte formellt bestämt. Uppgifter som tillsynsmyndigheten för GDPR kommer att ha är att kunna utfärda varningar och förelägga organisationer att vidta åtgärder60.
54 Datainspektionen. https://www.datainspektionen.se/om-oss/ (hämtad 7/5-2018)
55 Datainspektionen. https://www.datainspektionen.se/om-oss/arbetssatt/ (hämtad 7/5-2018) 56 1 § förordning (2007:975) med instruktion för Datainspektionen
57 Datainspektionen https://www.datainspektionen.se/om-oss/uppdrag-och-mal/ (hämtad 7/5-2018) 58
2a § förordning (2007:975) med instruktion för Datainspektionen
59 Datainspektionen https://www.datainspektionen.se/om-oss/uppdrag-och-mal/ (hämtad 7/5-2018) 60 Datainspektionen
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/dataskyddsmyndighetens-roll/(hämtad 7/5-2018)
18
3. Fastighetsmäklaren
3.1 Fastighetsmäklarlagen
Fastighetsmäklarlagen (2011:66) är den lag som reglerar fastighetsmäklarens
skyldigheter och rättigheter i sitt arbete. Lagen från 2011 infördes och syftar till att ge enskilda personer trygghet i sina fastighetsaffärer och samtidigt ge mäklaren bra förutsättningar att bedriva sin verksamhet samt tydligare regler för mäklarens opartiska roll som mellanman61. Den opartiska rollen handlar till stor del om ”god
fastighetsmäklarsed” vilket uttrycks i 8 § FML. Att handla enligt denna innebär också att handla med allmän omsorgsplikt. I 8 § FML står det tydligt att mäklaren ska iaktta god fastighetsmäklarsed ”i allt”, vilket innebär att detta ska tas i akt i alla sammanhang som uppkommer i mäklarens yrkesroll, exempelvis budgivningen och
marknadsföringen62.
3.2 Budgivningen
Budgivningen är en central del i förmedlingsprocessen trots att den inte är reglerad i lag och endast delvis finns behandlad i praxis. Det är säljaren som bestämmer hur
budgivningen ska gå till samtidigt som mäklaren får ge råd i valet hur det ska gå till63. Spekulanterna har i sin tur rätt att få reda på hur budgivningen ska gå till och vara medvetna om att det kan ändras64. Fastighetsmäklaren måste alltid framföra alla bud som inkommit till säljaren och det spelar ingen roll om budet är intressant eller inte65. Det är också viktigt att mäklaren inte avgränsar med “budintervall” eftersom att det strider mot god fastighetsmäklarsed att begränsa budgivningen på detta sätt och att det kan få spekulanter att avstå från bud66.
Mäklaren får aldrig bestämma eller avsluta en budgivning utan det är alltid säljaren som beslutar när budgivningen ska vara slut och vem som ska få köpa bostaden67. Eftersom
61 Prop 2010/11:15 s.1
62 Melin, M. Fastighetsmäklarlagen: en kommentar, s. 63-64 63 Ibid s. 65
64
Ibid s. 66
65 Grauers, PH, Rosén, Mats, Tegelberg, Lars. Fastighetsmäklaren - en vägledning. 5e upplagan.
Stockholm, Wolters Kluwer 2017, s. 99
66 FMN dnr 4-2230-10 den 23 feb 2011; Grauers PH m.fl. Fastighetsmäklaren – en vägledning, s. 100. 67
19
ett köp av fastighet inte är bindande förrän köpekontrakt finns undertecknad av båda parter68 får mäklaren aldrig marknadsföra bostaden som “såld” innan detta skett69. De anmälningar om fastighetsmäklare som inkommer till FMI har dominerats i
statistiken av fall som rör budgivningar och lockpriser70, 28% respektive 27% år 201771. Den problematik som kan uppkomma i samband med budgivningen grundar sig i att bud i en fastighetsöverlåtelse inte är bindande. Det är formkraven i JB 4:1 som ska vara uppfyllda för att överlåtelsen ska vara giltig. Detta gör att en budgivare kan ta tillbaka sitt bud utan någon skyldighet eller anledning, samtidigt som en säljare inte behöver sälja till en viss person trots att detta bestämts eftersom denne har fri prövningsrätt. Det betyder att man får sälja till vem man vill med de villkor som önskas72. Det som
exempelvis kan ske är att personer misstänker att mäklaren inte framfört alla bud eller att det skett en så kallad ”falsk budgivning”, vilket kan ske på flera olika sätt. Det kan vara mäklaren som hittar på bud och budgivare för att driva upp priset eller utomstående personer som lägger bud endast med avsikt att få upp priset73. Att lägga falska bud utgör bedrägeri enligt BrB 9:1 och 23:7. Detta framgår av praxis med ett fall från 2016: NJA 2016 s 39 där dottern till säljaren av en bostadsrätt lade bud under uppdiktat namn för att få igång budgivningen samt att trissa upp den andre budgivarens bud. Dottern blev fälld för att ha lagt flera falska bud och detta innebar ett vilseledande. Kravet på vinning och skada uppfylldes också eftersom dottern satte budgivningen ur spel och kontrakt skrivits med en annan köpare som köpt till högre pris på grund av de falska buden. Förutsättningarna för ansvar för bedrägeri har alltså varit uppfyllda.
3.3 Anbudsförteckning
Det finns enligt 20 § FML en skyldighet för mäklaren att upprätta en särskild anbudsförteckning med alla de anbud som lämnas på objektet. Denna
anbudsförteckning ska sedan överlämnas till säljare och köpare74. Detta gör det möjligt att i efterhand kontrollera att de anbud som skrivits av mäklaren är riktiga anbud, samt
68 4 kap 1 § Jordabalk (1970:994)
69 Melin, M. Fastighetsmäklarlagen: en kommentar, s. 65 70 Grauers, PH m.fl. Fastighetsmäklaren – en vägledning, s. 102
71 Fastighetsmäklarinspektionen.
http://www.fmi.se/Sve/Filer/Anm%C3%A4lningar%20tom%202017-12-31%20(orsaker).pdf (hämtad 17/4-2018)
72 Jingryd, Ola, Segergren, Lotta. Fastighetsförmedling. 5e upplagan. Lund, Studentlitteratur 2018,
248-249
73 Melin, M. Fastighetsmäklarlagen: en kommentar, s. 189 74
20
att alla bud framförts. Förteckningen ska innehålla uppgifter om anbudsgivarens namn och dess kontaktuppgifter, budets storlek, eventuella villkor och tidpunkten när anbudet lämnades.75
Ett av de underliggande syftena till paragrafen i 2011 års fastighetsmäklarlag var att öka transparensen för såväl säljare som köpare76. Mäklaren ska ha större kontroll över budgivningen och kunna bevisa vad som skett även om det inte finns ett krav på att anbudsförteckningen ska sparas digitalt77. Paragrafen syftar också till att öka
öppenheten, motverka påhittade och utelämnade bud och att öka förtroendet för både själva budgivningen och mäklaren78. Med den nya paragrafen är syftet att
tillsynsmyndigheten (FMI) ska ha bättre kontroll över mäklarna och kunna utöva sin tillsyn på ett lättare sätt. Enligt 28 § FML har FMI rätt att granska dokumentationen som fastighetsmäklaren har upprättat.
Mäklaren är alltid skyldig att anteckna alla bud som inkommit, vare sig det är ett så kallad ”skambud” eller inte. Kravet på en korrekt anbudsförteckning har i praxis satt hårda krav på fastighetsmäklaren och det ses som ett centralt inslag i dess arbete. Högsta förvaltningsdomstolen anser att en avvikelse från momentet ska leda till en påföljd79. I Högsta förvaltningsdomstolens dom den 20 januari 2016 i mål nr 3567-14 varnas en fastighetsmäklare som har upprättat en ofullständig anbudsförteckning. Mäklaren hade i fallet inte antecknat det första budet som var cirka hälften av utgångspriset på grund utav att det var så lågt. Eftersom det enligt 20 § FML är en skyldighet att anteckna alla anbud har mäklaren då handlat i strid mot ett uttryckligt krav i fastighetsmäklarlagen.
Det spelar alltså ingen roll att det är ett ”skambud”, alla anbud ska antecknas för att anbudsförteckningen ska vara fullständig och rätt.
I FMI 4.1-1784-17 har istället en mäklare inte antecknat alla anbud i förteckningen på grund utav att det varit flera bud som varit likadana, detta gav också en varning, det finns inga undantag. Påföljderna för att en mäklare har avvikit från sina skyldigheter
75
Prop 2010/11:15 s 36
76 Zacharias, C. 2011 års fastighetsmäklarlag - en kommentar. s. 660 77 Prop 2010/11:15 s 62
78 Zacharias, C. 2011 års fastighetsmäklarlag - en kommentar. s. 668 79
21
kan vara skadeståndsskyldighet samt en påföljd av tillsynsmyndigheten i form av varning80.
80
22
4. Diskussion
Då GDPR är en EU-förordning blir dess bestämmelser direkt tillämpliga i svensk rätt. Detta innebär att mäklare och mäklarföretag blir skyldiga till att anpassa sin dagliga verksamhet efter dess regler. Eftersom förordningen är helt ny och praxis inte finns på området, samtidigt som bestämmelserna är generella och tillämpliga för alla olika typer av verksamheter, lämnas det tolkningssvårigheter för mäklarföretagen. Svårigheterna ligger i vad och hur det dagliga arbetet ska anpassas till GDPR.
För att reda ut hur mäklarens dagliga arbete påverkas av GDPR, med fokus på budgivningsprocessen, måste man reda ut vilken roll mäklaren eller mäklarföretaget spelar med hänsyn till begreppen inom förordningen exempelvis personuppgiftsansvarig samt när eventuellt samtycke ska tas in från den registrerade eller om en rättslig
förpliktelse som en mäklare har gör att samtycke inte krävs för behandling av personuppgifter. Detta kommer vi att komma tillbaka till.
När en mäklare tar in personuppgifter av spekulanter, bland annat under budgivningsprocessen, behandlar mäklaren deras personuppgifter och de blir
registrerade. Behandling av personuppgifter kan vara laglig när ett av flera olika villkor som finns i artikel 6 GDPR är uppfyllda.
Det första villkoret i artikel 6 är att samtycke har lämnats av den registrerade att dennes personuppgifter får behandlas. Samtycket ska ges genom ett entydigt bekräftande vilket innebär att mäklaren kan ta in en skriftlig, elektronisk eller muntlig handling som ska vara ett frivilligt medgivande från den registrerade. I praktiken kan detta göras genom att mäklarföretaget har en ruta på sin webbsida där spekulanter, som vill delta i en budgivning och vill lägga bud via hemsidan, kan kryssa i att samtycke till hantering av deras personuppgifter får ske. Vid manuell hantering av en budgivning, där mäklaren själv registrerar de bud som kommer in, kan istället ett muntligt samtycke begäras in. Eftersom samtycket ska vara entydigt och frivilligt för den registrerade torde inte ett generellt villkor om deltagande i budgivning i till exempel objektsbeskrivningen vara tillräckligt eftersom medgivandet ska göras aktivt av den registrerade. Det är först efter samtycke medgivits som behandlingen är laglig enligt punkt a artikel 6.
23
samtycke faktiskt finns, det kan därför vara fördelaktigt om mäklaren inhämtar ett skriftligt samtycke istället för ett muntligt eftersom det lättare kan bevisas.
GDPR:s bestämmelser erbjuder dock mäklaren ett sätt att komma runt samtyckeskravet. I en budgivningsprocess, där mäklaren har en skyldighet enligt 20 § FML att upprätta en budförteckning med personuppgifter som tillhör de olika budgivarna, kan artikel 6 punkt c bli tillämplig. Denna bestämmelse säger att behandling av personuppgifter också är laglig om det finns en rättslig förpliktelse som åvilar den
personuppgiftsansvarige och det är nödvändigt för denna förpliktelse att personuppgifter behandlas. I detta fall behövs inte samtycke. Detta kan jämföras med att mäklarens skyldighet att upprätta en anbudsförteckning står över reglerna enligt PUL. Men frågan är om det verkligen är mäklaren som är personuppgiftsansvarig.
I artikel 6 står det alltså att det är personuppgiftsansvarig som får ta in uppgifter utan samtycke, om det är för att uppfylla en rättslig förpliktelse. Mäklarens skyldighet uppkommer dock först efter att förmedlingsprocessen är över, antingen på grund av att uppdragsavtalet sägs upp eller genom att ett köpekontrakt har upprättats. Detta innebär att mäklaren inte har någon skyldighet att redovisa budgivarnas namn och
kontaktuppgifter innan dess att förmedlingsuppdraget är avslutat, till köparen och/eller säljaren och bör därför använda sig av pseudonymisering vid vidarebefordran av bud till uppdragsgivaren och andra budgivare i form av Budgivare 1, Budgivare 2 och så vidare.
Mäklarföretaget har en rättslig förpliktelse i enlighet med kap 7 bokföringslagen (1999:1078) vilket innebär att den registrerade inte borde ha rätt till radering under den tid mäklarföretaget är skyldig att arkivera handlingarna, vilket är 10 år. Enligt artikel 13 2a GDPR är mäklaren skyldig att berätta att denna rättsliga skyldighet finns. Den registrerade ska dock på begäran på ett lättbegripligt sätt få insyn i vilka uppgifter som behandlas av mäklarföretaget samt få dessa rättade vid eventuella felaktigheter i enlighet med deras rätt till rättelse och dataportabilitet.
Något som komplicerar rättsläget är att finns två olika sätt att tolka vem som är
personuppgiftsansvarig; mäklaren eller mäklarföretaget. Det är avgörande att veta vem som är personuppgiftsansvarig eftersom det i mångt och mycket bestämmer huruvida samtycke kommer att krävas för behandling av personuppgifter eller ej.
24
Det är väldigt svårt att hitta information vad som egentligen är rätt, vem det är som är personuppgiftsansvarig, vi kan endast tolka de få källor vi funnit. Otydligheten är ett faktum och utifrån detta diskuterar vi vad som torde vara gällande i de olika fallen.
Det två olika alternativen som går att tolka är: 1. Mäklarföretaget är personuppgiftsansvarig81, 2. Den enskilda mäklaren är personuppgiftsansvarig82.
FALL 1: Om mäklarföretaget är personuppgiftsansvarig:
Eftersom en juridisk person kan vara personuppgiftsansvarig innebär det att
mäklarföretagen kan vara denne, vilket Mäklarsamfundet hävdar i sin artikel. Även Vitec påstår att det är mäklarföretaget som är personuppgiftsansvarig för kunderna. Mäklarföretaget har i det fallet inga rättsliga förpliktelser i enlighet med
fastighetsmäklarlagen och därmed inte något ansvar gentemot säljare, köpare och spekulanter.
Det är vid behandling av personuppgifter vid en anbudsförteckning enligt 20 § FML som frågan kan uppstå om det krävs samtycke eller ej från spekulanterna för att upprätta anbudsförteckningen. Detta innebär i praktiken att mäklarföretaget inte kan hävda att samtycke inte krävs på grund av att de har en rättslig förpliktelse som de måste uppfylla eftersom den rättsliga förpliktelsen åvilar mäklaren enligt FML. Inte heller kan
mäklaren i det fallet hävda detta eftersom undantaget i artikel 6.c endast gäller när den rättsliga förpliktelsen åvilar den personuppgiftsansvarige.
Detta innebär alltså att om det är mäklarföretaget som är den personuppgiftsansvarige, krävs det att mäklaren har fått samtycke av spekulanterna som lagt anbud för att få ta in deras personuppgifter samt behandla och anteckna dessa i anbudsförteckningen.
Samtycket gäller dock endast för ändamålet upprättande av anbudsförteckning vilket gör att mäklarföretaget inte får använda uppgifterna till några andra ändamål utan specifika samtycken för detta. Det krävs också att de uppgiftsminimerar i enlighet med
81
Mäklarsamfundet. http://www.maklarsamfundet.se/dataskyddsforordningen-ersatter-personuppgiftslagen (hämtad 12/4-2018); Vitec https://express.maklarhjalpen.se/wp-content/uploads/2017/12/GDPR_utskick.pdf (hämtad 9/4-2018)
82 Fasad. https://www.fasad.eu/blogg/gdpr-innebar-avtal/ (hämtad 9/4-2018); Zacharias, C. 2011 års
25
artikel 5 GDPR, alltså endast tar in de uppgifter de faktiskt behöver och inget därutöver, det vill säga namn, kontaktuppgift, anbud, tid för anbud samt eventuella villkor.
Om det är så att det är mäklarföretaget som är personuppgiftsansvarig skulle det i sådant fall vara mäklaren eller företaget som tillhandahåller CRM-systemet som agerar
personuppgiftsbiträde eftersom det både kan vara en fysisk eller juridisk person.
Personuppgiftsbiträdet har som uppgift att behandla personuppgifter enligt instruktioner från den ansvariga. Enligt CRM-systemet Vitec är det de som är personuppgiftsbiträde på mäklarens uppdrag när det gäller deras kunders personuppgifter83. Även mäklaren skulle kunna vara personuppgiftsbiträde eftersom att de hämtar in uppgifterna, vilket är en del av behandlingen. Ett tredje alternativ för personuppgiftsbiträde är att både mäklaren och CRM-systemet är det, på grund av att det är båda parter som gör olika delar av behandling av personuppgifter, på uppdrag av mäklarföretaget som då är personuppgiftsansvarig.
FALL 2: Om mäklaren är personuppgiftsansvarig:
Claude Zacharias och mäklarsystemet Fasad tolkar istället att det är mäklaren som är personuppgiftsansvarig. För att kunna reda ut vad som blir gällande angående
personuppgifter för anbudsförteckningen om det är mäklaren som är
personuppgiftsansvarig, jämför vi med personuppgiftslagen (PUL) och vad som varit gällande angående personuppgiftsansvarig tidigare. Enligt 10b § PUL är det tillåtet att ta in och behandla personuppgifter utan samtycke om det utgör en för
personuppgiftsansvarig rättslig förpliktelse att ta in dem. I mäklarens fall, som ska upprätta en anbudsförteckning enligt 20 § FML, är det alltså tillåtet att behandla uppgifterna utan samtycke på grund utav den rättsliga förpliktelsen. Detta innebär att FML:s bestämmelser har företräde före PUL på grund av att mäklaren har en skyldighet att upprätta anbudsförteckningen. PUL är och har på så vis inte varit ett hinder för mäklaren och dokumentationen av budgivningen eftersom det är tillåtet att behandla personuppgifter trots att samtycke inte inhämtas84.
83 Vitec. https://express.maklarhjalpen.se/wp-content/uploads/2017/12/GDPR_utskick.pdf (hämtad 8/5
2018)
84 Zacharias, C. 2011 års fastighetsmäklarlag - en kommentar. s. 669; Melin, M. Fastighetsmäklarlagen:
26
Vid jämförelse av 3 § PUL och 4 artikeln GDPR framgår att det inte är något som ändrats, det finns ingen skillnad kring begreppet personuppgiftsansvarig från vad som varit gällande och vad som kommer att bli gällande. Detta bekräftas även i Juridisk Publikation som skriver att legaldefinitionen av personuppgiftsansvarig är densamma i PUL och GDPR85.
Detta innebär då alltså att den nya dataskyddsförordningen inte heller kommer att utgöra något hinder för mäklaren att behandla personuppgifter utan samtycke. Det kommer att bli samma utfall på grund av artikel 6c GDPR. Eftersom behandling behövs för att fullgöra en rättslig förpliktelse, den i enlighet med 20 § FML att upprätta en
anbudsförteckning, är det tillåtet för mäklaren att inhämta och behandla personuppgifter för dem som lagt anbud och anteckna dessa i anbudsförteckningen utan deras samtycke. Det är dock viktigt även i detta fall, att mäklaren endast använder personuppgifterna för detta ändamål och inte något annat, dvs uppgiftsminimerar enligt artikel 5 GDPR. Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i just det förhållandet de används i (budgivningen) vilket exempelvis gör att ta in personnummer är otillåtet eftersom det inte är nödvändigt i anbudsförteckningen. Det ska också vara tydligt för budgivarna varför och på vilket sätt deras personuppgifter behandlas. Av praktiska skäl kan mäklaren komma att behöva ta hjälp av mäklarföretaget för att möjliggöra tekniska lösningar för inhämtning av samtycke och behandling av personuppgifter.
85 Gustafsson, Fredrik, Kahn, Johan. Gemensamt personuppgiftsansvar – vanligare under GDPR? Juridisk
27
5. Slutsats
Det råder delade meningar huruvida det är mäklaren eller mäklarföretaget som är personuppgiftsansvarig och detta är en avgörande faktor för att svara på frågan om och i sådant fall hur mäklarens skyldigheter kommer att förändras i samband med införandet av dataskyddsförordningen (ur ett budgivningsperspektiv). Eftersom mäklaren har en skyldighet att upprätta en anbudsförteckning enligt fastighetsmäklarlagen, är det tillåtet att göra detta utan att samtycke tas in från spekulanterna och lämna ut till köparen och/eller säljaren givet att det är mäklaren som är personuppgiftsansvarig. Det är tillåtet på grund av att enligt GDPR behövs inte samtycke då en rättslig förpliktelse att
behandla personuppgifter åvilar den personuppgiftsansvarige.
Är det istället mäklarföretaget som är personuppgiftsansvarig finns det ingen rättslig skyldighet som tar bort samtyckeskravet och därför behöver samtycke tas in av mäklaren. Samtycket ska vara frivilligt för spekulanten och det ska vara tydligt att ändamålet för behandlingen av dess personuppgifter endast är för att upprätta en anbudsförteckning.
Det vi har kommit fram till är att det är en tolkningsfråga gällande vem som är
personuppgiftsansvarig inom mäklaryrket, mäklaren eller mäklarföretaget. Beroende på hur detta tolkas, finns det två svar på frågeställningen:
Om utfallet är att mäklarföretaget som är personuppgiftsansvarig, förändras mäklarens arbete på så sätt att de måste inhämta samtycke för att kunna upprätta en anbudsförteckning efter en avslutad budgivning.
Om utfallet är att mäklaren istället är den personuppgiftsansvarige, kommer det inte att bli någon skillnad efter införandet av dataskyddsförordningen. Det finns en rättslig förpliktelse att inhämta personuppgifter och det behövs då inte samtycke.
Oavsett hur man tolkar frågan bedömer vi att det alltid borde tas in samtycke vid behandling av personuppgifter, till budgivning/anbudsförteckning för att vara säker på att man följer dataskyddsförordningen.
28
Källförteckning
Lagar
Bokföringslagen (1999:1078) Brottsbalk (1962:700)
Europaparlamentets och rådets förordning (EU) 2016/679 - GDPR Fastighetsmäklarlagen (2011:666)
Förordning (2007:975) med instruktion för Datainspektionen Jordabalk (1970:994) Propositioner Prop 2010/2011:15 Ny fastighetsmäklarlag Rättsfall FMI 4.1-1784-17 FMN 4-2230-10 HFD 2016 ref. 2 NJA 2016 s. 246 Tryckt material
Bernitz, Ulf, Källgren, Anders. Europarättens grunder. 5e upplagan. Stockholm, Norstedts Juridik AB 2014.
Bernitz, Ulf, Källgren, Anders. Introduktion till EU. 6e upplagan. Stockholm, Norstedts Juridik AB 2018.
Derlén, Mattias, Ingmansson, Staffan, Lindholm, Johan. Grundläggande EU-rätt. 1a upplagan. Stockholm, Liber 2015.
Grauers, PH, Rosén, Mats, Tegelberg, Lars. Fastighetsmäklaren - en vägledning. 5e upplagan. Stockholm, Wolters Kluwer 2017.
29
Gustafsson, Fredrik, Kahn, Johan. Gemensamt personuppgiftsansvar – vanligare under GDPR? Juridisk Publikation 2/2017 s. 273.
Holtz, Hajo Michael. Den nya allmänna dataskyddsförordningen – några anmärkningar. SvJT 2018 s 240.
Jingryd, Ola, Segergren, Lotta. Fastighetsförmedling. 5e upplagan. Lund, Studentlitteratur 2018.
Melin, Magnus. Fastighetsmäklarlagen: en kommentar. 4e upplagan. Stockholm, Wolters Kluwer 2017.
Sandgren, Claes. Rättsvetenskap för uppsatsförfattare. 2a upplagan. Stockholm, Nordstedts Juridik 2007.
Zacharias, Claude. 2011 års fastighetsmäklarlag - en kommentar. 2a upplagan. Stockholm, Claude Zacharias 2013.
Elektroniska källor
Datainspektionen. Dataskyddsmyndighetens roll.
2017-11-08 https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/datas kyddsmyndighetens-roll/ (hämtad 7/5-2018)
Datainspektionen. Introduktion till dataskyddförordningen. 2017-01-26
https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/introdukt ion-till-dataskyddsforordningen/ (hämtad 2018-02-20) Datainspektionen. Personuppgiftsansvarig. 2017-06-29. https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/skyldigh eter-for-de-som-behandlar-personuppgifter/personuppgiftsansvarig/ (hämtad 13/4-2018)
30
Datainspektionen. Vem är personuppgiftsbiträde?
https://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/vem-ar-personuppgiftsbitrade-och-vilket-ansvar-har-ett-bitrade1/ (hämtad 13/4 -2018)
Datainspektionen. Om datainspektionen.
https://www.datainspektionen.se/om-oss/ (hämtad 7/5-2018)
Datainspektionen. Så arbetar Datainspektionen.
https://www.datainspektionen.se/om-oss/arbetssatt/ (hämtad 7/5-2018)
Datainspektionen. Datainspektionens uppdrag.
https://www.datainspektionen.se/om-oss/uppdrag-och-mal/ (hämtad 7/5-2018)
Fasad. GDPR innebär avtal. 2018-03-16
https://www.fasad.eu/blogg/gdpr-innebar-avtal/ (hämtad: 17/4-2018)
Fastighetsmäklarinspektionen. Anmälningar från enskild. 2017-12-31. http://www.fmi.se/Sve/Filer/Anm%C3%A4lningar%20tom%202017-12-31%20(orsaker).pdf (hämtad 17/4-2018)
Mäklarsamfundet. Dataskyddsförordningen ersätter personuppgiftslagen. 2017-03-16.
http://www.maklarsamfundet.se/dataskyddsforordningen-ersatter-personuppgiftslagen (hämtad 4/4-2018)
Riksdagen. EU:s lagar och regler. Olika typer av lagar.
http://eu.riksdagen.se/vad-gor-eu/en-eu-lag-blir-till/eus-lagar-och-regler/#Olika-typer-av-EU-lagar (hämtad 24/4-2018)
Riksdagen. EU:s lagar och regler. EU:s stadga om rättigheter.
https://eu.riksdagen.se/vad-gor-eu/en-eu-lag-blir-till/eus-lagar-och-regler/#EUs-stadga-om-r%C3%A4ttigheter (hämtad 14/5-2018)
31
Riksdagen. En EU-lag blir till.
(http://eu.riksdagen.se/vad-gor-eu/en-eu-lag-blir-till/# (hämtad 24/4-2018)
Vitec. GDPR – ur vårt perspektiv. 2018-02-23