EU:n yleistä tietosuoja-asetusta on sovellettu 25.5.2018 alkaen. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki, jota on sovellettu 1.1.2019 alkaen.
Tietosuoja-asetuksen sääntelyyn perustuen apulaistietosuojavaltuutettu antoi ratkaisun, joka koski taloyhtiötä, jossa oli otettu käyttöön ovenavaustietoja keräävä lukitusjärjestelmä rakennuksen yleisiin ulko-oviin. Kyseessä oli sähköinen lukitusjärjestelmä, joka oli asennettu porraskäytävien ulko-oviin ja rakennuksen muihin ulko-oviin.
Taloyhtiö oli arvioinut, että sähkölukkojärjestelmän keräämistä ovenavaustiedoista ei muodostuisi henkilörekisteriä, koska taloyhtiöllä ei ollut teknisesti mahdollisuutta saada tietoja lukkorungosta, eikä järjestelmää hallinnoivalla valtuutetulla lukkoliikkeellä ollut lupaa lukea avaustietoja muuten kuin esitutkintatarkoituksessa poliisin pyynnöstä. Avaimia luovutettiin 3–5 kappaletta asuntoa kohden, eikä loppukäyttäjää rekisteröity.
Apulaistietosuojavaltuutetun mukaan ovenavaustiedot voitiin kuitenkin katsoa henkilötiedoiksi, eikä sähkölukkojärjestelmän käyttö taloyhtiössä ollut vastannut tietosuojalainsäädännössä asetettuja vaatimuksia. Apulaistietosuojavaltuutetun perustelujen mukaan tietojen ei tarvitse olla yhdistettävissä suoraan rekisteröityyn, jotta ne olisivat henkilötietoja. Tässä tapauksessa ovenavauksen suorittanut henkilö oli kuitenkin ollut mahdollista saada selville, kun avaimen yksilöintitieto yhdistettiin tiettyyn asuntoon. Tämä korostui erityisesti yksin asuvien henkilöiden kohdalla, sillä ovenavaustiedot voitiin varmuudella yhdistää yksittäiseen henkilöön. Lisäksi apulaistietosuojavaltuutetun mukaan taloyhtiön kokouksessa saavutettua enemmistökannatusta ei voida pitää tietosuoja-asetuksessa vaadittuna tietojen käsittelyn suostumuksena. Tässä tapauksessa suostumusta ei oltu myöskään kerätty kaikilta rekisteröidyiltä. Käytännössä suostumuksen saaminen on vaikeaa siinä tapauksessa, mikäli huoneistossa asuu vuokralainen, sillä vuokranantaja ei voi antaa suostumusta vuokralaisen puolesta. Käsiteltävässä asiassa rakennuksen asukkaista huomattava määrä oli vuokralaisia.
Suostumuksen kohdalla ongelmana on myös kyseisen käsittelyperusteen mahdollisesti hyvinkin lyhyt elinkaari asuinkerrostalossa. Muuttotilanteessa uuden asukkaan voisi käytännössä olla välttämätöntä suostua henkilötietojensa keräämiseen lukkojärjestelmän kautta. Tällainen menettely ei täytä vapaaehtoisesti annetun suostumuksen edellytyksiä, jonka mukaan rekisteröidyllä tulee olla todellinen mahdollisuus valita vapaasti, haluaako hän antaa suostumuksensa henkilötietojensa käsittelyyn. Suostumuksen tulee myös olla peruutettavissa eli rekisterinpitäjällä tulee olla muun muassa tekniset valmiudet lopettaa henkilötietojen kerääminen suostumuksen peruuttamisen myötä sekä mahdollisuudet huolehtia vaihtoehtoisen menettelyn käyttöönoton sujuvuudesta. Vastaavanlaisessa tilanteessa taloyhtiön tulisi myös pohtia, ovatko rekisterinpitäjän tavoitteet saavutettavissa ilman henkilötietojen käsittelyä.
Apulaistietosuojavaltuutetun mukaan asunto-osakeyhtiö oli laiminlyönyt tietosuojalainsäädännön noudattamisen, sillä se ei ollut määritellyt käsittelyperustetta henkilötietojen käsittelylle, eikä arvioinut tiedonkeruun tarpeellisuutta tai tietojen säilytysajan rajoittamista. Tämän lisäksi taloyhtiö ei ollut myöskään kertonut avaimia käyttäville asukkaille henkilötietojen käsittelystä läpinäkyvästi, eikä huolehtinut muistakaan tietosuojalainsäädännöstä seuraavista velvoitteista. Asunto-osakeyhtiön suorittama henkilötietojen käsittely oli siten lainvastaista.
Apulaistietosuojavaltuutettu arvioi ja ratkaisi asian yleisen tietosuoja-asetuksen ja tietosuojalain pohjalta. Apulaistietosuojavaltuutettu määräsi asunto-osakeyhtiön muuttamaan henkilötietojen käsittelytoimet tietosuojalainsäädännön mukaisiksi. Päätös ei ole vielä lainvoimainen.