De RGPD wordt te vaak vergeten door makelaars

De verschillende actoren die betrokken zijn bij de verhuur van onroerend goed worden geconfronteerd met de noodzaak om te voldoen aan de RGPD, en het is helaas niet ongewoon om vast te stellen dat er niets wordt gedaan om eigenaars of huurders te informeren. Met de RGPD moet echter rekening worden gehouden in het kader van de verhuur van onroerend goed, en de CNIL heeft hierover een referentiekader gepubliceerd. Wij zullen hier niet alle verplichtingen herhalen die de RGPD aan de verschillende actoren oplegt, maar die welke specifiek betrekking hebben op de verhuur van onroerend goed. Alle professionele actoren in de sector verhuur van onroerend goed moeten immers aan de voorschriften voldoen, hetgeen betekent dat zij de genomen maatregelen hebben uitgevoerd en in detail hebben gedocumenteerd.

• Potentiële huurders die geïnformeerd moeten worden en een contract moeten ondertekenen of moeten instemmen met een privacybeleid VOORDAT zij gegevens aan het agentschap toevertrouwen.
• De eigenaar die de controleur is, is onderworpen aan alle verplichtingen van de RGPD, behalve als het gaat om een particulier beheer van persoonlijke eigendommen. Als hij een contract met een agentschap sluit, moeten de RGPD-aspecten deel uitmaken van het contract.
• De door de eigenaar gekozen huurder, die, los van de aan het agentschap verstrekte gegevens, een huurcontract moet ondertekenen en aanvullende gegevens moet verstrekken, zoals een bankrekening.
• De makelaar die de gegevens van potentiële huurders verzamelt en aan de verhuurder voorlegt
• De agent of werknemer van het agentschap die in zijn contract met het agentschap moet zijn geïnformeerd over de naleving van de GDPR en een geheimhoudingsclausule moet hebben ondertekend.
• Het netwerk, indien aanwezig, waarvan het agentschap deel uitmaakt en dat een contract heeft met het lokale agentschap dat de rol van elk agentschap en met name de voorwaarden voor naleving van de RGPD moet bevatten.
• De onderaannemers van het makelaarskantoor, zoals de beheerder en host van zijn databank, de beheerder van zijn website die toegang heeft tot online vragen, enz.

1. De eigenaar wil het pand verhuren.
   1. Als zij dit zelf doen en zij zijn een professional of een vastgoedbedrijf, zullen zij de kandidaat-huurders een privacybeleid moeten aanbieden waarmee zij moeten instemmen en zij zullen een bewijs moeten bewaren dat de aanvragers dit beleid aanvaarden.
   2. Indien hij zijn eigendom aan een agentschap toevertrouwt, moet hij met het agentschap een contract ondertekenen waarin de kwestie van de verwerking van persoonsgegevens wordt gespecificeerd.
2. De kandidaat-huurder zal een dossier moeten indienen met veel persoonlijke gegevens, identiteitskaart, salarisafrekeningen, enz. De verhuurder of het bureau zal de kandidaat-huurder een contract moeten laten ondertekenen of ten minste toestemming moeten geven voor het privacybeleid met betrekking tot de gegevens die hij/zij aan het bureau of de verhuurder geeft. De verhuurder of het bureau zal de huurder een contract moeten laten ondertekenen of ten minste moeten instemmen met een privacybeleid met betrekking tot de gegevens die hij/zij aan het bureau of de verhuurder verstrekt.
3. Het bureau of de eigenaar zal de dossiers van de kandidaten analyseren en eventueel een aantal van hen afwijzen. Hun gegevens zullen moeten worden vernietigd overeenkomstig het privacybeleid.
4. De agent of medewerker van het agentschap, of de eigenaar, neemt contact op met de aanvragers per koerier of mobiele telefoon, om de bezoektijden te regelen en verzamelt daarom het mobiele telefoonnummer van de aanvrager.
5. De verhuurder kiest de succesvolle aanvrager en tekent een huurcontract met hem/haar. En als onderdeel van dit contract zal de kwestie van de persoonsgegevens moeten worden aangepakt.
6. De onderaannemers van de eigenaar en het agentschap zullen gegevens van hun klanten verzamelen en in het contract tussen de verantwoordelijke voor de verwerking en de onderaannemer moeten de regels voor het beheer van persoonsgegevens worden vastgelegd.
7. Tijdens de looptijd van de huurovereenkomst kunnen aanvullende gegevensverwerkingen plaatsvinden, zoals werkzaamheden door ambachtslieden, invordering van onbetaalde huur, enz.

Voor al deze gegevensverwerkingen vereist de RGPD een rechtsgrondslag, zonder welke de verwerking eenvoudigweg onwettig en strafbaar zou zijn. Het is aan de verantwoordelijke voor de verwerking om te bepalen welke rechtsgrondslag op het geval van toepassing is. Er zijn slechts drie mogelijke rechtsgrondslagen in de context van de verhuur van onroerend goed, en deze moeten worden gespecificeerd in het voorgestelde privacybeleid:

• De toestemming van de betrokkene: bijvoorbeeld wanneer de kandidaat-huurder het agentschap zijn gegevens toevertrouwt.
• Een contract: bijvoorbeeld wanneer een verhuurder een bureau belast met het vinden van een huurder
• Legitiem belang: bijvoorbeeld van het agentschap om contact op te nemen met voormalige klanten voor soortgelijke commerciële voorstellen

En voor al deze gegevensverwerking zal een privacybeleid moeten worden opgesteld en aangeboden VOORDAT persoonsgegevens worden verzameld en verwerkt. En dit privacybeleid moet veel details bevatten:

• De identiteit en contactgegevens van de voor de verwerking verantwoordelijke (de entiteit die de gegevens verzamelt of verwerkt)
• De rechtsgrondslag op grond waarvan de gegevens worden verzameld en, in geval van toestemming, het feit dat de betrokkene zijn toestemming te allen tijde kan intrekken.
• Het soort gegevens dat wordt verzameld, rekening houdend met het feit dat alleen essentiële gegevens mogen worden verzameld en dat bepaalde soorten gegevens niet mogen worden gevraagd, zoals de godsdienst van een toekomstige huurder.
• De contactgegevens van de functionaris voor gegevensbescherming. Het verdient aanbeveling dat professionals in de sector een functionaris voor gegevensbescherming aanstellen, die bijvoorbeeld binnen een netwerk van instanties kan worden gedeeld.
• de doeleinden van de verwerking, d.w.z. de redenen waarom de gegevens worden verzameld of verwerkt
• De categorieën van natuurlijke of rechtspersonen die toegang zullen hebben tot de gegevens: de eigenaar, de bank voor de bankgarantie, de onderaannemers van het agentschap, de belastingdienst, de aannemers in het geval van werken, enz.
• Het feit dat gegevens buiten de Europese Unie zullen worden doorgegeven (bv. indien een Amerikaanse host wordt gebruikt voor de gegevensbank van het agentschap)
• Hoe lang de gegevens worden bewaard. De gegevens moeten worden vernietigd zodra ze niet langer hoeven te worden bewaard, bijvoorbeeld de gegevens van een afgewezen kandidaat-huurder, tenzij deze vraagt om te worden geïnformeerd over andere huurmogelijkheden. Deze periodes zijn telkens verschillend: de gegevens van een kandidaat-huurder worden anders bewaard dan die van de geselecteerde huurder.
• Informatie over de rechten van de betrokkenen: recht op toegang, rectificatie, enz.
• Informatie over de mogelijkheden om een klacht in te dienen bij de bevoegde autoriteit (bv. CNIL)
• Het bestaan van geautomatiseerde profileringstechnieken, bijvoorbeeld om automatisch huurders te selecteren

Om de betrokkenen naar behoren te informeren, wordt aanbevolen het privacybeleid bij de eerste uitwisseling aan hen mee te delen en in geval van gegevensoverdracht het beleid goed te keuren voordat persoonsgegevens worden doorgegeven. Ook moet een volledig privacybeleid beschikbaar zijn op de website van het agentschap en de eigenaar. Een link naar het privacybeleid kan ook worden opgenomen in de huuradvertentie, in e-mails aan sollicitanten en op het contactformulier op de website van de makelaar voor degenen die geïnteresseerd zijn in een advertentie.

Er zij op gewezen dat alleen gegevens mogen worden verzameld die noodzakelijk zijn voor de betrokken verwerking. Bankgegevens en salarisstroken kunnen bijvoorbeeld alleen worden verzameld wanneer de kandidaat-huurder geïnteresseerd is en een huurcontract wil ondertekenen, zodat de verhuurder een keuze kan maken uit de kandidaat-huurders. Deze gegevens mogen niet worden verzameld voor eenvoudige bezoeken voorafgaand aan enige verbintenis van de kandidaat-huurder.

Het is de verantwoordelijkheid van de verantwoordelijke voor de verwerking om de nodige veiligheidsmaatregelen te treffen om de vertrouwelijkheid van de verzamelde gegevens te waarborgen, en met name de toegang ertoe te beperken tot personen die deze voor hun werk nodig hebben. Het zou niet correct zijn dat alle werknemers van alle agentschappen in een netwerk toegang hebben tot alle persoonsgegevens van alle kandidaat-huurders in alle agentschappen. Ook de keuze van de onderaannemers is de verantwoordelijkheid van de verantwoordelijke voor de verwerking, die organisaties moet selecteren die aantonen dat zij aan de GDPR voldoen.

Laten we niet vergeten dat de betrokkenen recht hebben op toegang, rectificatie en verwijdering van gegevens en dat degenen die de gegevens hebben verzameld binnen een maand moeten reageren.

Het is derhalve van essentieel belang dat agentschappen en verhuurders (wanneer zij professionals zijn) zorgen voor de nodige informatie voor de betrokkenen, de procedures met betrekking tot die informatie en de rechten van de betrokkenen, en de samenstelling van een volledig RGPD-dossier.