Innbyggerkontakt – kartløsning og innbyggerkontakt for kommunal utbyggingInnbyggerkontakt
Tilbake til bloggen
10 min lesing· Av Innbyggerkontakt-redaksjonen

GDPR i grunneierdialog: behandlingsgrunnlag og personvernerklæring i utbyggingsprosjekter

Praktisk veiledning til kommuner, vegmyndigheter, nettselskap og utbyggere om hvordan personopplysninger om grunneiere og innbyggere lovlig kan behandles i et utbyggingsprosjekt — med klar henvisning til personvernforordningen, plan- og bygningsloven og Datatilsynets veiledning.

Et grunneierregister i et utbyggingsprosjekt inneholder personopplysninger: navn, adresse, telefon, e-post, ofte fødselsnummer for tinglysning, og bilder/notater fra befaring. Det betyr at personvernforordningen (GDPR) gjelder fullt ut. Likevel er praksis i mange kommunale og private utbyggingsprosjekter at "GDPR-biten" tas til slutt — eller ikke i det hele tatt. Denne artikkelen rydder opp i behandlingsgrunnlag, plikter og praktisk gjennomføring.

1. Hva regnes som personopplysninger her?

Personvernforordningen art. 4 nr. 1 definerer personopplysninger som enhver opplysning om en identifisert eller identifiserbar fysisk person [1]. I et utbyggingsprosjekt omfatter dette:

  • Hjemmelshaver-data fra matrikkelen (navn, adresse).
  • Kontaktinformasjon (telefon, e-post).
  • Befaringsnotater og bilder som identifiserer person eller eiendom.
  • Korrespondanse og avtaledokumenter.
  • Fødselsnummer ved tinglysning (særlig kategori opplysninger jf. personopplysningsloven § 12) [2].

Hytte- og bolignumre i seg selv kan utgjøre personopplysning når de kobles til navn.

2. Behandlingsgrunnlag — hvilken bokstav i art. 6 gjelder?

Personvernforordningen art. 6 nr. 1 oppstiller seks alternative behandlingsgrunnlag [1]. For grunneierdialog i utbyggingsprosjekter er disse mest aktuelle:

  • Art. 6 nr. 1 bokstav c — rettslig forpliktelse. For kommunen og andre forvaltningsorganer er dette ofte hovedgrunnlaget når det dreier seg om varslingsplikt etter pbl. § 5-2 [3] eller andre lovpålagte oppgaver (matrikkellova § 30, ekspropriasjonsvedtak m.v.).
  • Art. 6 nr. 1 bokstav e — utøvelse av offentlig myndighet. For kommunen brukt for behandling av personopplysninger i forbindelse med offentlig planlegging og infrastrukturtiltak, jf. personopplysningsloven § 8.
  • Art. 6 nr. 1 bokstav f — berettiget interesse. For private utbyggere som ikke har lovhjemmel, men har en saklig berettiget interesse i å gjennomføre prosjektet, og hvor interessen veier tyngre enn den enkeltes personverninteresse. Krever interesseavveiing som dokumenteres.
  • Art. 6 nr. 1 bokstav b — avtale. Når grunneieravtale er inngått, behandles personopplysninger i tråd med avtalen.

Samtykke (bokstav a) brukes sjelden alene, fordi det kan trekkes tilbake og dermed gir et skjørt grunnlag. Datatilsynet fraråder samtykke som grunnlag når en annen hjemmel finnes [4].

3. Personvernerklæring — hva som må stå der

Art. 13 og 14 stiller krav til at den registrerte (grunneieren) får informasjon om behandlingen. For et utbyggingsprosjekt bør personvernerklæringen som minimum inneholde:

  1. Behandlingsansvarlig — navn, organisasjonsnummer, kontaktinformasjon, eventuelt personvernombud.
  2. Formål med behandlingen — f.eks. "varsling og dialog med berørte grunneiere i forbindelse med kommunalt VA-prosjekt X".
  3. Behandlingsgrunnlag — konkret henvisning til art. 6 og eventuell særnorm i sektorlov.
  4. Kategorier personopplysninger — navn, kontaktinfo, befaringsnotater, bilder, eventuelt fødselsnummer.
  5. Mottakere — entreprenør, rådgivere, advokat, eventuelt tinglysningsmyndighet.
  6. Lagringstid — for kommunale prosjekter ofte bestemt av arkivlova og bevaringsbestemmelser; for private utbyggere må perioden begrunnes (typisk 5 års reklamasjonstid + nødvendig oppfølging).
  7. Rettigheter — innsyn, retting, sletting (med begrensninger), klagerett til Datatilsynet.
  8. Overføring til tredjeland — som hovedregel ingen, men noter alle skytjenester som ikke ligger i EØS.

Erklæringen bør være lett tilgjengelig — på prosjektets nettside, i invitasjon til grunneiere, og i innbyggerportal.

4. Databehandleravtale — når kreves den?

Når utbygger bruker en ekstern leverandør til å behandle personopplysninger (f.eks. et grunneierregister-system, e-postutsendingstjeneste, digital signering), er leverandøren databehandler etter art. 28. Det skal foreligge skriftlig databehandleravtale som blant annet regulerer [1]:

  • Formål og instruks fra behandlingsansvarlig.
  • Konfidensialitet og sikkerhetstiltak.
  • Bruk av underleverandører.
  • Bistand ved innsynsbegjæringer og brudd.
  • Sletting eller returnering ved opphør.

Innbyggerkontakt leverer slik databehandleravtale som standard til kommunale og private kunder.

5. Trenger prosjektet en DPIA?

Personvernkonsekvensvurdering (DPIA) etter art. 35 kreves når behandlingen "sannsynligvis vil medføre høy risiko". Datatilsynet har publisert en liste over behandlinger som alltid utløser DPIA-plikt [4]. Et ordinært grunneierregister med navn, kontakt og befaringsnotater faller normalt ikke inn under listene — men en DPIA bør gjennomføres dersom:

  • Prosjektet behandler personopplysninger om særlig sårbare grupper.
  • Det benyttes AI/maskinlæring som tar avgjørelser med rettsvirkning.
  • Det er stor skala — for eksempel et nasjonalt utbyggingsprosjekt med tusenvis av grunneiere.
  • Det benyttes sensorer eller fjernovervåking som kan identifisere personer.

En "lett-DPIA" eller risikovurdering bør uansett gjøres som del av prosjektets oppstartsfase, og dokumenteres i internkontrollen.

6. Sikkerhetstiltak — det praktiske minimum

Art. 32 krever "egnede tekniske og organisatoriske tiltak". For et grunneierregister-system er minimumsforventningen:

  • Tilgangskontroll med personlig pålogging (MFA anbefalt).
  • Logging av tilgang og endringer.
  • Kryptering i transitt (TLS) og helst i ro.
  • Backup og restitusjonsrutiner.
  • Hosting i EØS, eller med dokumentert overføringsgrunnlag.
  • Sletteruriner som faktisk gjennomføres etter lagringsfristen.

7. Praktiske råd

  1. Lag personvernerklæring før du sender første invitasjon — ikke etter.
  2. Skriv inn personvernerklæringen i grunneieravtalemalen — så har grunneier den ved signering.
  3. Loggfør hvilket behandlingsgrunnlag du bruker for hver behandlingsaktivitet — det er kravet til art. 30-protokollen.
  4. Begrens deling internt — bare prosjektgruppen trenger tilgang. Ikke gi hele kommunen tilgang fordi det er enkelt.
  5. Slett når formålet er borte. Et grunneierregister etter sluttoppgjør og garantiperiode skal ikke ligge på en delt mappe i ti år "for sikkerhets skyld".

Se også [grunneiervarsling](/grunneiervarsling), [grunneierregister for utbyggere](/grunneierregister-utbyggere) og [redaksjonelle prinsipper](/redaksjonelle-prinsipper).