Sähkölukkojärjestelmän avulla ovenavauksista kerättävät tiedot ovat henkilötietoja, huomauttaa tietosuojavaltuutetun toimisto.
Apulaistietosuojavaltuutettu Jari Råmanin tuoreen päätöksen mukaan taloyhtiö oli arvioinut virheellisesti, ettei ovenavaustietojen tallentamiseen liittyisi henkilötietojen käsittelyä.
Oven avannut asukas on kuitenkin mahdollista saada selville yhdistämällä avaimen yksilöintitieto tiettyyn asuntoon, päätöksessä kerrotaan. Näin on erityisesti yksin asuvien kohdalla.
Apulaistietosuojavaltuutettu määräsi taloyhtiön muuttamaan henkilötietojen käsittelytoimensa yleisen tietosuoja-asetuksen mukaisiksi.
Verkossa julkaistusta päätöksestä ei käy ilmi, missä päin Suomea taloyhtiö sijaitsee tai millaisesta yhtiöstä on kyse.
Velvoitteet jäävät usein huomiotta
Råman sanoo STT:lle, että päätös on tarkoitettu herätteeksi taloyhtiöille.
Råmanin mukaan taloyhtiöiden tulisi arvioida, onko henkilötietoja tallentava järjestelmä tarpeen, vai olisiko mahdollista käyttää sähkölukkoja ilman henkilötietojen tallentamista.
– Mutta jos se on tarpeen, silloin on tietenkin myös suunniteltava toiminta ja toteutettava kaikki rekisterinpitäjän velvoitteet sen mukaisesti, Råman sanoo.
– Aika tyypillistä se on, että tällaisessa tilanteessa se jää huomiotta.
Taloyhtiössä käytössä hyvin yleinen lukitusjärjestelmä
Tietosuojavaltuutettuun yhteydessä ollut henkilö oli keväällä 2018 kertonut epäilevänsä, ettei taloyhtiön sähkölukkojärjestelmä täytä tietosuojasääntelyn vaatimuksia.
Taloyhtiön mukaan kyseessä on hyvin yleinen lukitusjärjestelmä, joka on asennettu muun muassa porraskäytävien ulko-oviin.
Yhtiön mukaan tietoja ei ole teknisesti mahdollista saada lukkorungosta, eikä järjestelmää hallinnoiva lukkoliike lue avaustietoja muuten kuin poliisin pyynnöstä. Asuntoa kohden luovutetaan 3–5 avainta, eikä niiden käyttäjiä rekisteröidä, taloyhtiö kertoi.
Antamassaan selvityksessä taloyhtiö katsoi, ettei ovenavaustiedoista muodostuisi henkilörekisteriä.
Apulaistietosuojavaltuutetun mukaan tietojen ei kuitenkaan tarvitse olla yhdistettävissä suoraan rekisteröityyn, jotta ne olisivat henkilötietoja. Koska rekisteröity on tunnistettavissa, kyse on valtuutetun mukaan henkilötiedoista.
Tiedonkeruun tarpeellisuutta olisi pitänyt arvioida
Apulaistietosuojavaltuutetun mukaan taloyhtiön olisi pitänyt arvioida muun muassa tiedonkeruun tarpeellisuutta ja tietojen säilytysajan rajoittamista.
Yhtiö ei myöskään kertonut henkilötietojen käsittelystä avaimia käyttäville asukkaille läpinäkyvästi tietosuoja-asetuksen velvoittamalla tavalla, valtuutettu katsoi.
Apulaistietosuojavaltuutetun päätös ei ole lainvoimainen. Siihen voi hakea muutosta hallinto-oikeudesta.