Tietosuojavaltuutetun toimisto on määrännyt Kojamo Oyj:n muuttamaan sähkölukkojärjestelmään liittyvää henkilötietojen käsittelyä. Apulaistietosuojavaltuutettu on päätöksessään todennut, ettei rekisterinpitäjä Kojamo Oyj ollut huomioinut tietosuojalainsäädännön vaatimuksia riittävällä tavalla. Asiassa oli kysymys rekisteröityyn kohdistettavan informoinnin sekä henkilötietojen käsittelyä koskevien periaatteiden ja rekisteripitäjän muiden velvollisuuksien toteuttamisesta.
Asukas oli taloyhtiöön muutettuaan huomannut, että talossa on käytössä asukkaiden kulkutiedot rekisteröivä sähkölukkojärjestelmä. Asian vireille saattaneen asukkaan mukaan lukkojärjestelmään liittyvästä henkilötietojen käsittelystä ei ole informoitu riittävästi eikä kulkutietojen rekisteröintiin ole saatu asukkaan suostumusta.
Henkilötietojen käsittelyperuste ja tasapainotesti
Rekisterinpitäjän mukaan asukkaiden kulkutietojen kerääminen on tapahtunut tietosuoja-asetuksen mukaisen oikeutetun edun nojalla. Oikeutetuksi eduksi oli määritelty rekisterinpitäjän ja vuokralaisen omaisuuden suojaaminen, riskien hallinta sekä turvallisuuden ja häiriöttömän elämän toteuttaminen. Apulaistietosuojavaltuutetun mukaan oikeutetun edun määrittely on kuitenkin ollut puutteellista, sillä rekisterinpitäjä ei ole suorittanut käsittelyperusteen tasapainotestiä. Testin avulla voidaan arvioida sitä, syrjäyttääkö rekisterinpitäjän oikeutettu etu tosiasiassa rekisteröidyn yksityisyyden suojan.
Rekisterinpitäjän mukaan lukkojen keräämistä tiedoista on kerrottu tietosuojaselosteessa, johon vuokralaisia on kehotettu tutustumaan vuokrasopimuksen solmimisen yhteydessä. Vuokrasopimukseen on sisällytetty viittaus lukkovalmistajan verkko-osoitteeseen, jossa on kerrottu järjestelmän teknisestä toteutuksesta. Kysyttäessä rekisterinpitäjä on kertonut asian vireille saattaneelle asukkaalle, etteivät kulkutiedot lukkopesästä siirry automaattisesti, vaan ne täytyy käydä lukemassa ohjelmointilaitteella lukkokohtaisesti. Valmistajan verkkosivuilla oli kuitenkin esitelty ohjelmistoja, jotka perustuvat kulkutietojen analysointiin.
Tietosuojavaltuutetun mukaan informointi ei ole täyttänyt informoinnin laadulle, saavutettavuudelle ja ymmärrettävyydelle asetettuja edellytyksiä. Asukkaiden on voitava heille annetun informaation pohjalta hahmottaa henkilötietojen käsittelyn laajuus sekä saada tiedot heille rekisteröityinä kuuluvista oikeuksista. Tarkasteltavana olevassa tapauksessa henkilötietojen käsittelyprosessi on kuitenkin toteutettu siten, ettei rekisteröidyillä ole ollut tosiasiallista mahdollisuutta vastustaa henkilötietojen oikeutettuun etuun perustuvaa käsittelyä.
Oletusarvoinen ja sisäänrakennettu tietosuoja
Rekisterinpitäjän olisi tullut huomioida tietosuoja-asetuksen mukaiset vaatimukset sisäänrakennetusta ja oletusarvoisesta tietosuojasta jo ennen kuin se otti käyttöön henkilötietoja keräävän ja tallentavan lukkojärjestelmän. Rekisterinpitäjän olisi pitänyt ennen käsittelytoimenpiteisiin ryhtymistä tehdä arvio siitä, onko tavoiteltuja päämääriä mahdollista saavuttaa muilla, yksityisyyden suojaan vähemmän puuttuvilla keinoilla. Edelleen apulaistietosuojavaltuutettu toteaa, ettei rekisterinpitäjä ole tietojen säilyttämisessä asianmukaisesti huomioinut yleisestä tietosuoja-asetuksesta johdettavia säilytysaikojen rajoittamisperiaatetta ja tietojen minimoinnin periaatetta.
Kojamo Oyj sai huomautuksen rekisterinpitäjälle kuuluvien velvollisuuksien täyttämättä jättämisestä sekä määräyksen korjata käsittelytoimet tietosuoja-asetuksen mukaisiksi.
Lue apulaistietosuojavaltuutetun päätös kokonaisuudessaan: https://finlex.fi/fi/viranomaiset/tsv/2021/20210883