Vid införande av ett elektroniskt låssystem i ett bostadshus ska man ta hänsyn till integritetsskyddet av de registrerade
Biträdande dataombudsmannen har beordrat Kojamo Abp att ändra sin behandling av personuppgifter i samband med det elektroniska låssystemet så att den uppfyller kraven i dataskyddsförordningen. Den personuppgiftsansvariga hade inte beaktat kraven i dataskyddslagstiftningen i tillräcklig omfattning vid införandet av ett elektroniskt låssystem som samlar in och sparar personuppgifter. Behandlingen av personuppgifter bör planeras tillräckligt noga redan vid införandet av ett elektroniskt låssystem, eftersom det kan vara svårt att rätta till bristerna i efterhand.
Den klient som klagat hos dataombudsmannens byrå hade märkt efter det att hen flyttat in i huset att husets låssystem registrerar de boendes rörelser. De boende hade inte informerats adekvat om låssystemets behandling av personuppgifter, utan enligt klienten fanns det i hyresavtalet endast en hänvisning till en extern parts internetadress där det fanns information om det elektroniska låssystemets tekniska utförande.
Brister i fastställandet av grunden för behandlingen av personuppgifter
Enligt den personuppgiftsansvariga har insamlingen av uppgifter om de boendens rörelser skett med stöd av berättigat intresse i enlighet med den allmänna dataskyddsförordningen. Den personuppgiftsansvariga har ansett att hyresvärden har ett berättigat intresse att till exempel förvalta personers åtkomst till byggnaden samt att skydda fastigheten och de boendens egendom.
Biträdande dataombudsmannen anser emellertid att det finns brister i fastställandet av grunden för behandlingen av personuppgifter. Den personuppgiftsansvariga har till exempel inte genomfört ett jämviktstest av den grund för behandling av personuppgifter som hen valt där man skulle bedöma huruvida ett berättigat intresse hos den personuppgiftsansvarige ska prioriteras framför de registrerades integritetsskydd. De registrerade har inte heller haft någon möjlighet att motsätta sig behandlingen av personuppgifter på basis av berättigat intresse på det sätt som förutsätts i lagen.
Principerna om dataskydd som standard, inbyggt dataskydd och uppgiftsminimering ska beaktas
Den registeransvariga borde också ha beaktat kraven på inbyggt dataskydd och dataskydd som standard när hen har börjat använda ett elektroniskt låssystem som samlar in och sparar personuppgifter. Den registeransvariga borde till exempel ha bedömt huruvida det finns andra sätt att uppnå de önskade målen med mindre inverkan på den personliga integriteten.
Biträdande dataombudsmannen konstaterar att den registeransvariga inte har beaktat den allmänna dataskyddsförordningens princip om begränsning av uppgifternas lagringstider eller princip om uppgiftsminimering. Dessutom anser biträdande dataombudsmannen att informationen till de boende inte har uppfyllt kraven på transparent behandling av personuppgifter. De boende bör på basis av den information som de erhållit enkelt kunna uppfatta till exempel omfattningen av behandlingen av personuppgifter och erhålla information om sina rättigheter som registrerade.
Biträdande dataombudsmannen gav Kojamo Abp en anmärkning om försummelse av den registeransvarigas skyldigheter och beordrade företaget att korrigera sin behandling av personuppgifter så att den uppfyller kraven i dataskyddsförordningen.
Beslutet har ännu inte vunnit laga kraft och kan överklagas hos förvaltningsdomstolen.
Biträdande dataombudsmannens beslut i Finlex (på finska)
Mer information:
Biträdande dataombudsman Jari Råman, jari.raman(at)om.fi, tfn 029 566 6757