Hyppää sisältöön

Asuintalon sähkölukkojärjestelmän käyttöönotossa on huomioitava rekisteröityjen yksityisyyden suoja

8.7.2021 10.01
Tiedote

Tietosuojavaltuutetun toimisto on määrännyt Kojamo Oyj:n muuttamaan sähkölukkojärjestelmään liittyvän henkilötietojen käsittelynsä yleisen tietosuoja-asetuksen mukaiseksi. Rekisterinpitäjä ei ollut huomioinut tietosuojalainsäädännön vaatimuksia riittävästi henkilötietoja keräävän ja tallentavan sähkölukkojärjestelmän käyttöönotossa. Henkilötietojen käsittely tulisi suunnitella riittävän huolellisesti jo sähkölukkojärjestelmän käyttöönoton yhteydessä, sillä puutteiden korjaaminen jälkikäteen voi olla vaikeaa.

Tietosuojavaltuutetun toimistolle kannellut asukas oli huomannut taloyhtiöön muutettuaan, että talossa on käytössä asukkaiden liikkumiset rekisteröivä lukkojärjestelmä. Lukkojärjestelmään liittyvästä henkilötietojen käsittelystä ei ollut kerrottu asianmukaisesti asukkaille, vaan asukkaan mukaan vuokrasopimuksessa oli vain viittaus ulkopuolisen tahon verkko-osoitteeseen, jossa kerrottiin sähkölukkojärjestelmän teknisestä toteutuksesta.

Puutteita henkilötietojen käsittelyperusteen määrittelyssä

Rekisterinpitäjän mukaan asukkaiden kulkutietojen kerääminen on tapahtunut yleisen tietosuoja-asetuksen mukaisen oikeutetun edun nojalla. Rekisterinpitäjä on katsonut, että vuokranantajalla on oikeutettu etu esimerkiksi kulkuoikeuksien hallinnoimiseksi sekä kiinteistön ja asukkaiden omaisuuden suojaamiseksi.  

Apulaistietosuojavaltuutettu kuitenkin katsoo, että henkilötietojen käsittelyperuste on määritelty puutteellisesti. Rekisterinpitäjä ei ole esimerkiksi suorittanut valitsemaansa käsittelyperusteeseen liittyvää tasapainotestiä, jossa arvioitaisiin sitä, syrjäyttääkö rekisterinpitäjän oikeutettu etu rekisteröityjen yksityisyyden suojan. Rekisteröidyillä ei ole myöskään ollut mahdollisuutta vastustaa oikeutettuun etuun perustuvaa käsittelyä lain edellyttämällä tavalla.

Oletusarvoinen ja sisäänrakennettu tietosuoja ja tietojen minimoinnin periaate huomioitava

Rekisterinpitäjän olisi pitänyt myös huomioida vaatimukset sisäänrakennetusta ja oletusarvoisesta tietosuojasta, kun se on ottanut käyttöön henkilötietoja keräävän ja tallentavan sähkölukkojärjestelmän. Rekisterinpitäjän olisi esimerkiksi tullut arvioida, löytyisikö sen tavoittelemien päämäärien saavuttamiseen muita, vähemmän yksityisyyden suojaan puuttuvia keinoja.

Apulaistietosuojavaltuutettu toteaa, ettei rekisterinpitäjä ole huomioinut yleisestä tietosuoja-asetuksesta tulevia tietojen säilytysaikojen rajoittamisperiaatetta tai tietojen minimointiperiaatetta.
Lisäksi apulaistietosuojavaltuutettu katsoo, ettei asukkaille annettu informointi ole täyttänyt henkilötietojen käsittelyn läpinäkyvyyden vaatimuksia. Asukkaiden tulisi annetun informaation pohjalta kyetä helposti hahmottamaan esimerkiksi henkilötietojen käsittelyn laajuus ja saada tiedot rekisteröidyn oikeuksistaan.

Apulaistietosuojavaltuutettu antoi Kojamo Oyj:lle huomautuksen rekisterinpitäjälle kuuluvien velvollisuuksien täyttämättä jättämisestä ja määräyksen korjata käsittelytoimet tietosuoja-asetuksen mukaisiksi.

Päätös ei ole vielä lainvoimainen ja siitä voi valittaa hallinto-oikeuteen.

Apulaistietosuojavaltuutetun päätös Finlexissä

Lisätietoja:

Apulaistietosuojavaltuutettu Jari Råman, jari.raman(at)om.fi, puh. 029 566 6757

Sivun alkuun