GDPR høres byråkratisk ut, men for private utleiere er det ikke særlig komplisert. Det handler i bunn og grunn om tre ting: hva du samler inn, hvorfor du trenger det, og hva du gjør med det etterpå.
Her er en praktisk gjennomgang uten juridisk sjargong.
Hvorfor GDPR gjelder deg som privat utleier
Når du mottar søknader fra leietakere, behandler du personopplysninger. Navn, e-postadresse, telefonnummer, opplysninger om arbeidsforhold og inntekt — alt dette er personopplysninger i lovens forstand.
GDPR gjelder ikke bare store bedrifter. Det gjelder alle som behandler personopplysninger om andre, inkludert deg som leier ut én leilighet privat.
Det betyr ikke at du trenger advokat og compliance-avdeling. Det betyr at du må ha kontroll på hva du samler inn og sletter det når du ikke trenger det lenger.
Hva du lovlig kan samle inn
Du kan samle inn opplysninger som er nødvendige for å vurdere søkeren som leietaker. Det inkluderer:
- Navn, e-post og telefonnummer
- Arbeidsforhold og inntekt (som dokumentasjon på betalingsevne)
- Nåværende bosituasjon og ønsket innflyttingsdato
- Antall personer i husstanden og eventuelle kjæledyr
- Referanser (navn og kontaktinfo til forrige utleier eller arbeidsgiver)
Hva du ikke kan samle inn
GDPR setter grenser for særlig sensitive opplysninger. Du kan ikke be om eller bruke:
- Etnisitet, religion eller politisk ståsted
- Helseopplysninger
- Seksuell orientering
- Nøyaktig fødselsdato (alder som aldersgruppe er ok)
Dette er ikke bare et juridisk poeng. Å vektlegge slike opplysninger i utvelgelsen er også i strid med diskrimineringsloven.
Samtykke og åpenhet
Søkere har rett til å vite hva opplysningene brukes til. Du bør gjøre det tydelig:
- Hvem samler inn opplysningene (deg som utleier)
- Hva de brukes til (vurdering av søknader)
- Hvor lenge de oppbevares
- Hvordan søkerne kan be om innsyn eller sletting
I praksis kan du gjøre dette med en kort tekst i søknadsskjemaet. Det trenger ikke å være en tre siders personvernerklæring.
Deling med tredjeparter
Sender du søknadsinformasjon til andre? For eksempel til en eiendomsmegler som hjelper deg, eller et digitalt verktøy?
I så fall er du dataansvarlig (behandlingsansvarlig), og den du deler med er databehandler. Du bør ha en databehandleravtale på plass.
Dette høres tungt ut, men seriøse tjenester som håndterer persondata på dine vegne vil ha en slik avtale tilgjengelig.
Oppbevaring og sletting
Her er det mange utleiere som trår feil.
Du kan ikke oppbevare søknader på ubestemt tid fordi "det kan jo være greit å ha." Opplysningene skal slettes når de ikke lenger er nødvendige for formålet.
En fornuftig praksis:
- Sletter søknader fra kandidater du ikke valgte innen 30 dager etter at prosessen er avsluttet
- Sletter all søknadsinformasjon innen 90 dager uansett
Har du mottatt søknader på e-post? De bør slettes manuelt. Har du søknader i et regneark? Slett dem.
En søker kan også når som helst be om at opplysningene slettes. Det kalles retten til å bli glemt, og du er pliktig til å etterkomme en slik forespørsel.
Innsyn
Søkerne har rett til å be om innsyn i hva du har lagret om dem. Hvis noen spør, skal du gi dem et svar innen 30 dager.
I praksis skjer dette sjelden, men det er greit å vite at plikten finnes.
En praktisk sjekkliste
Gå gjennom disse punktene for din utleiesøkeprosess:
- [ ] Samler jeg inn kun det jeg faktisk trenger?
- [ ] Er søkerne informert om hva opplysningene brukes til?
- [ ] Har jeg en rutine for å slette søknader etter at prosessen er ferdig?
- [ ] Vet jeg hvem som eventuelt behandler data på mine vegne?
- [ ] Kan jeg raskt svare på en innsyns- eller slettingsforespørsel?
Svarer du ja på alle, er du godt innenfor det loven krever av en privat utleier.
Det viktigste å huske
GDPR for private utleiere handler ikke om å unngå bøter. Det handler om å behandle søkernes opplysninger med respekt. Folk som søker på boligen din deler personlig informasjon fordi de stoler på at du håndterer det ansvarlig.
Det er ikke mer komplisert enn det.
Nøkkelklar er bygget med GDPR som utgangspunkt. Søknader slettes automatisk, søkerne har en lenke for å be om sletting av sine egne data, og ingenting sendes til AI-modeller med personlig identifiserende informasjon.
Første utleieprosess er gratis.