Bostadsaktiebolagets användning av ett elektroniskt låssystem uppfyllde inte kraven i dataskyddslagstiftningen
Bostadsaktiebolaget hade felaktigt bedömt att användningen av ett elektroniskt låssystem och förvaring av dörröppningsinformation inte innebär behandling av personuppgifter. Det är dock möjligt att identifiera digitala nyckelns användare när nyckelns identifieringsuppgift kopplas till en viss bostad. Biträdande dataombudsmannen förordnade bolaget att ändra sina behandlingsåtgärder som gäller personuppgifter enligt den allmänna dataskyddsförordningen.
Personen som kontaktade dataombudsmannen berättade om sina misstankar om att bostadsaktiebolagets elektroniska låssystem och dess ibruktagande inte uppfyller kraven som dataskyddsbestämmelserna ställer. Enligt personen som inledde ärendet har de boende t.ex. inte fått detaljerade uppgifter om systemet. Ett beslut om att installera låssystemet fattades på bolagsstämman.
Enligt utredningen som bolaget lämnat in använder husbolaget ett elektroniskt låssystem som installerats på bostadshusets ytterdörrar. Husbolaget får inte uppgifter från låssystemet och låsbutiken som administrerar systemet läser öppningsuppgifter endast om polisen begär det.
Uppgifter om dörröppningar är personuppgifter
Husbolaget som verkar som personuppgiftsansvarig bedömer att uppgifterna som samlas in från dörröppningar inte bildar ett personregister. Uppgifterna behöver emellertid inte kunna härledas direkt till en registrerade för att vara personuppgifter. Det är möjligt att ta reda på vem som öppnade dörren om nyckelns identifieringsuppgift kopplas till en viss bostad. Särskilt i fråga om personer som bor ensam kan man faktiskt med säkerhet koppla uppgiften om dörröppning till en enskild person.
Behandling av personuppgifter förutsätter alltid en behandlingsgrund och efterlevnad av dataskyddsbestämmelserna. Bostadsaktiebolaget hade inte definierat behandlingsgrunden eller sett till andra förpliktelser enligt dataskyddsförordningen, vilket innebär att bolagets behandling av personuppgifter har varit lagstridig.
Husbolaget borde ha övervägt bland annat behovet av att samla in uppgifter och begränsning av förvaringstiden för uppgifterna. Bolaget har heller inte berättat om behandlingen av personuppgifter för de boende som använder nycklarna enligt det transparenta sättet som dataskyddsförordningen förutsätter.
Biträdande dataombudsmannen förordnade bolaget att ändra sina behandlingsåtgärder som gäller personuppgifter enligt den allmänna dataskyddsförordningen. Beslutet kan överklagas hos förvaltningsdomstolen, så det har inte vunnit laga kraft.
Beslut av biträdande dataombudsmannen i Finlex (på finska)
Mer information:
biträdande dataombudsman Jari Råman, jari.raman(at)om.fi, tfn 029 566 6757