Sähkölukot - Tietojen minimointi - Informointi

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	04.06.2021
Diaarinumero:	4900/182/18

Apulaistietosuojavaltuutetun päätös sisäänrakennettua ja oletusarvoista tietosuojaa, rekisteröityjen informointia, tietojen minimointia, säilytyksen rajoittamista ja henkilötietojen käsittelyn läpinäkyvyyttä koskevassa asiassa

Rekisterinpitäjä

Kojamo Oyj

Hakijalta saatu selvitys

Vireillesaattaja oli huomannut taloyhtiöön muutettuaan, että talossa on käytössä asukkaiden liikkumiset rekisteröivä lukkojärjestelmä, joka kattaa jopa roskakatoksen. Vuokrasopimukseen oli vireillesaattajan mukaan sisällytetty vain viittaus ulkopuolisen tahon verkko-osoitteeseen, jossa kerrottiin järjestelmän teknisestä toteutuksesta. Rekisterinpitäjä oli kysyttäessä kertonut vireillesaattajalle, ettei tieto liiku lukkopesästä muuten kuin käymällä lukemassa tiedot manuaalisesti. Valmistajan verkkosivuilla esiteltiin kuitenkin ohjelmistoja, jotka perustuvat kulkutiedon analysointiin. Vireillesaattaja katsoo, ettei hän ole antanut suostumusta kulkutietojensa rekisteröintiin.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjän mukaan lukitusjärjestelmään liittyvällä henkilötietojen keräämisellä on tarkoitus hallita kulkuoikeuksia, jotta kiinteistön ja asukkaiden omaisuus pysyy suojattuna ja vuokrasopimuksen mukainen hallintaoikeus tiloihin toteutuu. Lukkojen keräämien tapahtumalokitietojen käsittelyn tarkoituksena on myös vahinkotilanteiden ja omaisuusrikosten selvittäminen ja ennaltaehkäisy. Järjestelmää käytettäessä avaimia ei myöskään voida kopioida, eikä uudelleensarjoittamisongelmaa ole. Taloyhtiön kaikki asukkaat ovat vuokralaisia, ja rekisterinpitäjän mukaan avaimia katoaa paljon.

Lukitusjärjestelmän rekisterinpitäjänä toimii Lumo Kodit Oy, ja henkilötietojen käsittelijänä toimii lukkoliike. Osapuolten välillä on henkilötietojen käsittelysopimus. Taloyhtiön kaikissa lukituissa ovissa on sähkölukko, ja lukitusjärjestelmän lukkopesiin jää tieto oven avauksesta (avaimen sarjanumero), ja tiedot poistuvat avainpesästä aina tietyn tapahtumamäärän jälkeen. Esimerkiksi kellopiirillisessä järjestelmässä edellä esitetty tarkoittaa rekisterinpitäjän mukaan noin 1-2 viikon säilytysaikaa. Näin muodostuva henkilötietojen säilytysaika on katsottu riittäväksi ilkivalta- ja murtotapausten selvittämiseksi. Lisäksi yleistilojen lukkopesiin (irtain- ja ulkovarastot, pesutuvat, saunat) avauksesta jää aikaleima, joka mahdollistaa tilojen käyttöaikojen rajoittamisen.

Asuntojen lukoissa ei puolestaan ole kellopiirejä. Rekisterinpitäjän mukaan keskustelua on käyty siitä, ettei uusissa, käyttöön otettavissa järjestelmissä tätä ominaisuutta enää olisi, mutta jo käytössä olevien järjestelmien muuttamiseen liittyvät kustannukset olisivat miljoonia euroja, mikä olisi epäsuhdassa saavutettavaan hyötyyn. Rekisterinpitäjä lisää, että mikäli rekisteröidyn vastustamisoikeus pitäisi olla mahdollista toteuttaa, tämä vaatisi käytännössä lukoston osittaista uusimista.

Rekisterinpitäjän mukaan kulkutiedot eivät siirry lukkopesästä automaattisesti, vaan ne täytyy käydä lukemassa ohjelmointilaitteella lukkokohtaisesti. Kulkutietoja käydään lukemassa vain painavasta syystä, esimerkiksi häkkivarastomurtojen yhteydessä. Järjestelmä on otettu käyttöön lokakuussa 2017, ja järjestelmää koskevaa henkilötietojen käsittelyperustetta on tarkennettu tasapainotestin avulla keväällä 2018, tietosuoja-asetuksen soveltamisen alkamisen aikaan. Samalla on tarkennettu avaintenhallintaa (luovutus ja palautus) koskevaa informointia tietosuojaselosteessa. Käsittelyperusteena on avainhallinnan osalta sopimus, tarkemmin ottaen vuokrasopimuksen täytäntöönpano, sekä rekisterinpitäjän oikeutettu etu.

Rekisterinpitäjän mukaan vuokranantajalla on oikeutettu etu esimerkiksi kulkuoikeuksien hallinnoimiseksi kiinteistön ja asukkaiden omaisuuden suojaamiseksi ja häiriöttömän elämän turvaamiseksi sekä vahinkotilanteiden ja omaisuusrikosten selvittämiseksi. Irtaimistovarastomurrot ja ilkivalta talon yhteistiloissa on paikoitellen hyvin yleistä, ja usein irtaimistovarastomurroista ei jää käytäväoviin jälkiä, mistä voidaan päätellä, että tiloihin on menty avaimella. Etu on näin ollen omaisuuden suojaaminen, riskien hallinta, sekä turvallisuuden ja häiriöttömän asumisen toteuttaminen. Rekisterinpitäjä katsoo, ettei asiassa ole käsillä sellaisia rekisteröidyn oikeuksia tai etuja, jotka olisivat ristiriidassa rekisterinpitäjän etujen kanssa, eikä henkilötietojen käsittely ole ollut yllättävää.

Rekisterinpitäjän mukaan vuokrasopimukseen perustuen voidaan kerätä sähköisten avainten keräämä tieto, eli tiedot sähköisten avainten luovutuksista ja palautuksista sekä kiinteistöjen ovien kulkutiedot (avaintunnistetieto, päivämäärä ja kellonaika). Lukkojen keräämistä tiedoista on kerrottu tietosuojaselosteessa, johon vuokralaisia kehotetaan tutustumaan vuokrasopimuksen solmimisen yhteydessä. Informointia ollaan parhaillaan uudistamassa.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus, jäljempänä myös TSA) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta. Asiassa on kysymys rekisteröityyn kohdistettavan informoinnin sekä henkilötietojen käsittelyä koskevien periaatteiden (henkilötietojen käsittelyn läpinäkyvyys, tietojen minimointi, säilytyksen rajoittaminen) ja rekisterinpitäjän muiden nimenomaisten velvollisuuksien (sisäänrakennettu ja oletusarvoinen tietosuoja) toteuttamisesta.

Apulaistietosuojavaltuutetun on ratkaistava, tuleeko rekisterinpitäjälle antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus asetuksen säännösten vastaisista käsittelytoimista ja 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet asetuksen säännösten mukaiseksi.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus rekisterinpitäjälle kuuluvien velvollisuuksien täyttämättä jättämisestä.

Rekisterinpitäjälle annetaan lisäksi tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet asetuksen säännösten mukaiseksi.

Perustelut

Henkilötietojen käsittelyperuste

Rekisterinpitäjän mukaan asukkaiden kulkutietojen kerääminen on tapahtunut yleisen tietosuoja-asetuksen 6(1)(f) artiklan mukaisen oikeutetun edun nojalla. Artiklan mukaan henkilötietojen käsittely on lainmukaista, jos:

käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröityjen edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi

Nyt tarkasteltavassa tapauksessa oikeutetuksi eduksi on määritelty rekisterinpitäjän ja vuokralaisten omaisuuden suojaaminen, riskien hallinta ja sopimukseen perustuvien velvollisuuksien toteuttaminen (turvallisuus ja häiriötön asuminen). Se, voidaanko rekisterinpitäjän määrittelemä etu tosiasiallisesti katsoa rekisteröidyn edut syrjäyttäväksi, saadaan selville suorittamalla huolellisesti niin kutsuttu tasapainotesti. Testissä rekisterinpitäjän tai kolmannen osapuolen etua punnitaan rekisteröidyn etuja ja oikeuksia vasten. Tätä testiä käydään tarkemmin läpi seuraavassa kappaleessa.

Tässä kohtaa voidaan kuitenkin edun määrittelyn osalta huomioida, että rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä painottanut sähkölukkojärjestelmästä rekisteröidylle koituvia etuja sekä järjestelmän hyödyllisyyttä rikosten selvittämisessä. Oikeutettua etua henkilötietojen käsittelyperusteena sovellettaessa kyse tulee kuitenkin olla rekisterinpitäjän tai kolmannen tahon oikeutetusta edusta, eikä rekisterinpitäjä voi perustella TSA 6(1)(f) artiklan soveltamista rekisteröityjen oikeutetulla edulla. Rekisterinpitäjän tulee myös kiinnittää huomiota siihen, ettei se perustele henkilötietojen käsittelyä poliisin tarpeella.

Rekisterinpitäjän antamassa selvityksessä huomio kiinnittyy myös siihen, ettei rekisterinpitäjä ole katsonut tarpeelliseksi toteuttaa henkilötietojen käsittelyprosessia siten, että oikeutetun edun käsittelyperusteeseen liittyvä rekisteröidyn vastustamisoikeus (TSA 21(1) artikla) olisi käytännössä mahdollista toteuttaa. Rekisterinpitäjä on tämän osalta arvioinut, että ”ei ole todennäköistä, että rekisteröidyllä olisi henkilökohtainen, perusteltu syy vastustaa tällaista käsittelyä”. Rekisteröityjen tulee kuitenkin kyetä käyttämään oikeuksiaan, eikä käsittelytoimenpiteiden toteuttaminen siten, ettei tosiasiallista mahdollisuutta rekisteröidyn oikeuksien käyttämiseksi ole, täytä esimerkiksi henkilötietojen käsittelyn kohtuullisuudelle (TSA 5(1)(a) artikla) ja sisäänrakennetulle ja oletusarvoiselle tietosuojalle (TSA 25 artikla) asetettuja vaatimuksia.

Oikeutettu etu ei ole ainoa rekisterinpitäjän soveltama käsittelyperuste, vaan sähkölukkojärjestelmän kautta kerättävien henkilötietojen käsittelyperusteena on oikeutetun edun ohella sovellettu sopimusta (TSA 6(1)(b) artikla). Artiklan mukaan henkilötietojen käsittely on lainmukaista, jos:

käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä

Arvioitaessa, onko henkilötietojen käsittely tarpeellista sopimuksen täytäntöönpanemiseksi, tarkastelu lähtee käsittelyn tarkoituksen määrittämisestä. Vuokrasopimuksen tarkoitus on sopia vuokrasuhteen ehdoista ja luovuttaa asunnon käyttöoikeus vuokralaiselle. Tämän päämäärän saavuttamiseen ei liity tarpeellisena osana henkilötietojen käsittely sähkölukkojärjestelmän kautta ja tietojen kerääminen vuokralaisen kulkemisesta kotitalossaan. Lisäksi voidaan todeta, että silloin, kun on olemassa vähemmän yksityisyyden suojaan puuttuvia vaihtoehtoja, henkilötietojen käsittelyä ei voida katsoa tarpeelliseksi sopimuksen täytäntöönpanoa varten. Näin ollen kulunseuranta ei ole objektiivisesti katsottavissa tarpeelliseksi vuokrasopimuksen täytäntöönpanemiseksi, eivätkä edellytykset käsitellä henkilötietoja tämän käsittelyperusteen nojalla täyty.

Tasapainotesti

Silloin, kun henkilötietojen käsittelyperusteena halutaan soveltaa yleisen tietosuoja-asetuksen 6(1)(f) artiklan mukaista oikeutettua etua, määriteltyä etua tulee punnita rekisteröityjen etuja vasten sen selvittämiseksi, kumman intressi on painavampi.

Tähän liittyen rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle sähkölukkojärjestelmän käyttöönottoon liittyvän tasapainotestiasiakirjan. Rekisterinpitäjän mukaan asiakirja on laadittu ennen järjestelmän käyttöönottoa, mutta asiakirjaa ei ole päivätty, eikä siitä muutoinkaan ilmene sen tekoajankohta. Tietosuojavaltuutetun toimisto on kiinnittänyt huomiota päiväyksen puuttumiseen ja pyytänyt rekisterinpitäjää toimittamaan varmuuden vuoksi alkuperäisen tasapainotestidokumentin. Rekisterinpitäjän mukaan alkuperäistä tasapainotestidokumenttia ei kuitenkaan ole mahdollista toimittaa tietosuojavaltuutetun toimistolle, koska tasapainotesteihin liittyvä tieto on osittain hajallaan organisaatiossa ja se voidaan pyydettäessä koota nopeasti yhteen asiakirjaan. Rekisterinpitäjän mukaan suurin osa vanhoista dokumenteista on uusittu tai uusitaan, sillä dokumentaation tarkoituksena on toimia organisaation apuna toiminnan asetuksenmukaisuutta punnittaessa ja tarvittaessa osoittaa tämä punninta, jolloin dokumentaation muotoseikkoihin, kuten päiväykseen, ei ole kiinnitetty huomiota. Rekisterinpitäjältä on tämän jälkeen pyydetty täsmennystä siihen, mitä asiakirjojen uusimisella tarkoitetaan, mutta rekisterinpitäjä ei ole antanut tähän kysymykseen vastausta. Rekisterinpitäjän antaman selvityksen pohjalta jää epäselväksi, onko rekisterinpitäjä ymmärtänyt käsittelevänsä henkilötietoja tai suorittanut käsittelyperusteen määrittelyn, tasapainotestin ja rekisteröityjen informoinnin oikea-aikaisesti etenkin, kun vireillesaattaja on kantelussaan kertonut, ettei asukkaiden kulkutietojen rekisteröinnistä annettu hänelle muuta tietoa kuin vuokrasopimukseen sisällytetty maininta verkko-osoitteesta lukkojärjestelmän valmistajan sivuille.

EU:n tietosuojaryhmän mukaan tasapainotestissä ei ole tarkoitus yksinkertaisesti punnita kahta vertailukelpoista tekijää toisiinsa, vaan testin oikeaoppinen suorittaminen saattaa edellyttää monimutkaista arviointiprosessia, jossa huomioidaan useita eri tekijöitä. Nyt tarkasteltavana olevassa tapauksessa tasapainotestiksi nimetyssä asiakirjassa ei ole määritelty rekisterinpitäjän etua vasten punnittavaa rekisteröidyn etua lainkaan, eikä tosiasiallista etupunnintaa ole suoritettu. Apulaistietosuojavaltuutettu toteaa, että asiakirja on kokonaisuudessaan puutteellisesti laadittu, eikä se ole katsottavissa tietosuojasääntelyssä tarkoitetuksi tasapainotestiksi.

Apulaistietosuojavaltuutettu toteaa myös, että oikeutettua etua käsittelyperusteena sovellettaessa rekisterinpitäjän tulee ottaa huomioon rekisteröityjen kohtuulliset odotukset, mikä edesauttaa myös läpinäkyvyyden ja kohtuullisuuden periaatteiden (TSA 5 artikla) toteutumista. Tähän liittyen tasapainotestistä ja sen tuloksista tulisi kertoa rekisteröidyille, ja heille tulisi selvittää, miksi rekisterinpitäjän etu menee rekisterinpitäjän arvion mukaan rekisteröidyn etujen edelle. Koska tietosuojasääntelyssä tarkoitettua tasapainotestiä ei käytännössä ole suoritettu, myöskään testin tuloksiin liittyvää informointia ei ole voitu tehdä, eli rekisterinpitäjä on tältäkin osin laiminlyönyt sille kuuluvat velvollisuutensa.

Henkilötietojen käsittelyn tarve

Silloin, kun henkilötietojen käsittelyperusteena sovelletaan oikeutettua etua, henkilötietojen käsittelyn tulee olla tarpeellista oikeutettujen etujen toteuttamiseksi, ja käsittelyn ja tavoiteltujen etujen välillä tulee olla yhteys. Rekisterinpitäjän tulisi EU:n tietosuojaryhmän vuonna 2014 annetun lausunnon mukaan myös arvioida, löytyisikö päämäärän saavuttamiseen muita, vähemmän yksityisyyden suojaan puuttuvia keinoja, eli käytännössä jo henkilötietodirektiivin aikana rekisterinpitäjän on tullut ennen käsittelytoimenpiteisiin ryhtymistä tehdä arvio siitä, olisiko tavoitteet mahdollista saavuttaa vähemmällä kajoamisella rekisteröityjen yksityisyyden suojaan. Sama vaatimus tulee nykyään yleisen tietosuoja-asetuksen 25 artiklasta (sisäänrakennettu ja oletusarvoinen tietosuoja) ja siihen kytkeytyvästä tietojen minimointiperiaatteesta (TSA 5(1)(c) artikla), joiden noudattamiseksi rekisterinpitäjän tulee arvioida, onko esimerkiksi tietyn toiminnon osalta henkilötietojen käsittely ylipäänsä tarpeellista. Jos tarpeellisuuskriteeri ei täyty, henkilötietoja ei tule käsitellä.

Nyt arvioitavana olevassa tapauksessa voidaan ensinnäkin huomioida, ettei rekisterinpitäjä ole esittämässään tasapainotestissä tarkastellut vaihtoehtona sellaista sähkölukkojärjestelmää, joka ei kerää henkilötietoja. Rekisterinpitäjä on lisäksi katsonut esimerkiksi avainten kuoletuksen virheellisesti henkilötietojen käsittelytarvetta puoltavaksi seikaksi. Murtojen ja ilkivallan kohdallakin eri tilojen, mukaan lukien erityisesti asuinhuoneistojen, kulunseurannan tarpeellisuus on jätetty perustelematta asianmukaisesti. Vaihtoehtoisia keinoja rekisterinpitäjän päämäärien saavuttamiseksi ei kaiken kaikkiaan ole arvioitu tasapainotestidokumentissa asiaankuuluvalla tavalla, vaan tekstissä on lähdetty suoraan siitä, että sähkölukkojärjestelmä on henkilötietojen käsittelyyn liittyvien kysymysten osalta ongelmaton, eikä varsinaista tasapainotestiä ole näillä perusteilla suoritettu lainkaan.

Henkilötietojen käsittelyn päämäärien osalta rekisterinpitäjä on kertonut tietosuojavaltuutetun toimistolle antamassaan selvityksessä, että sähkölukkojärjestelmän asentamista ovat puoltaneet seuraavat seikat: omaisuuden suojaamistarve, vahinkotilanteiden ja omaisuusrikosten selvittäminen ja ennaltaehkäisy, kulkuoikeuksien hallinta, avainten kopioimisen estäminen, sekä avainten uudelleensarjoittamistarpeen poistaminen. Näistä voidaan ensinnäkin todeta, että osa rekisterinpitäjän esittämistä päämääristä on mahdollista saavuttaa sellaisella sähkölukkojärjestelmällä, joka ei kerää henkilötietoja. Oikeutetun edun arvioinnissa keskityttäisiin tällöin siihen, ovatko henkilötietojen keräämistä mahdollisesti edellyttävät päämäärät (eli käytännössä omaisuuden suojaaminen ja rikos- ja vahinkotilanteiden selvittäminen ja ennaltaehkäisy) legitiimejä ja painavampia kuin rekisteröidyn edut, ennen kaikkea rekisteröidyn yksityisyyden suoja. Jos vastaus on ei, asukkaiden kulkemisen seuraamiselle ei ole perustetta.

Asuntomurtoja ei selvityksen mukaan ole taloyhtiössä ollut, eikä rekisterinpitäjä ole esittänyt asuntojen oviin kytketylle kulunvalvonnalle yhtään pätevää, rekisteröidyn yksityisyyden suojan ylittävää perustetta. Asuntojen kohdalla rekisterinpitäjän argumentteja heikentää lisäksi se, ettei murtoja yleensä suoriteta käyttämällä asunnon oven avainta. Esimerkiksi roskakatoksen tai talon pääoven kulunseurantaan ei puolestaan ole esitetty lainkaan perusteita.

Kokonaisuudessaan voidaan todeta, ettei tietosuojavaltuutetun toimistolle annetun selvityksen perusteella omaisuus ole ollut siinä määrin uhattuna avaintenhaltijoiden toimesta, että asukkaiden henkilötietojen käsittelyn voitaisiin suoraan katsoa olevan oikeasuhtaista rekisterinpitäjän esittämään oikeutettuun etuun nähden. Huomionarvoista on myös, ettei rekisterinpitäjän intressiä voida katsoa tässä pakottavaksi. Koska kyse on asukkaiden kulunseurannasta heidän kotitalossaan, käsittelyn rekisteröityihin kohdistuvien vaikutusten ei voida arvioida olevan siten vähäpätöisiä, että rekisterinpitäjän asiassa määrittelemä intressi syrjäyttäisi ne rekisterinpitäjän esittämällä tavalla tasapainopunninnassa. Huomioitakoon myös, että rekisterinpitäjä on selvityksessään todennut käyneensä keskustelua siitä, ettei uusissa, käyttöön otettavissa järjestelmissä olisi enää kulunvalvontaominaisuutta. Rekisterinpitäjän oma toimintakin indikoi näin ominaisuuden tarpeettomuutta ja järjestelmän käyttöönoton yhteydessä tehtyä puutteellista arviota tiedonkeruun tarpeellisuudesta.

Rekisteröityjen informointi

Rekisteröityjen informoinnista henkilötietoja käsiteltäessä säädetään yleisen tietosuoja-asetuksen 12–14 artikloissa. Lisäksi informoinnissa on syytä kiinnittää erityistä huomiota TSA 5(1)(a) artiklaan (käsittelyn läpinäkyvyys). Rekisterinpitäjän mukaan lukkojen keräämistä tiedoista on kerrottu tietosuojaselosteessa, johon vuokralaisia kehotetaan tutustumaan vuokrasopimuksen solmimisen yhteydessä. Vireillesaattaja on kertonut tietosuojavaltuutetun toimistolle, että hänen vuokrasopimukseensa oli sisällytetty vain viittaus ulkopuolisen tahon verkko-osoitteeseen, jossa kerrottiin sähkölukkojärjestelmän teknisestä toteutuksesta. Tällaisen informoinnin ei voida katsoa täyttävän informoinnin laadulle, saavutettavuudelle ja ymmärrettävyydelle asetettuja edellytyksiä. Annetun informaation pohjalta rekisteröidyn tulisi kyetä helposti hahmottamaan esimerkiksi henkilötietojen käsittelyn laajuus ja sen merkittävät seuraukset, sekä saada lain edellyttämät tiedot rekisteröidyn oikeuksista. Informoinnin tulisi myös olla saatavilla yhdestä lähteestä tai yhtenä dokumenttina, johon rekisteröidyllä on vaivaton pääsy, ja tietojen antotavassa tulisi huomioida rekisterinpitäjän ja rekisteröidyn tyypillinen kanssakäyntitapa. Henkilötietojen keskeiset käsittelytoimenpiteet tulisi myös tuoda esille siten, että rekisteröity osaa kiinnittää niihin oikea-aikaisesti huomiota. Asiassa saadun selvityksen perusteella rekisterinpitäjä ei ole huomioinut tietosuojasääntelyä rekisteröityjä informoidessaan, eikä informointi ole täyttänyt henkilötietojen käsittelyn läpinäkyvyydelle asetettuja edellytyksiä.

Säilytysajan määrittely

Tietosuojavaltuutetun toimiston saaman selvityksen perusteella rekisterinpitäjä ei ole huomioinut tietojen säilyttämisessä asianmukaisesti yleisen tietosuoja-asetuksen 5 artiklasta tulevia säilytyksen rajoittamisperiaatetta ja tietojen minimointiperiaatetta. Lukkovalmistajan määrittelemä tallennuskapasiteetti on hyväksytty sellaisenaan säilytysajaksi, eikä tässä kohtaa ole kiinnitetty huomiota sattumanvaraisesti määräytyvään säilytysaikaan tai siihen, että säilytysajan määrittelyn lähtökohtana tulisi olla se aikaperiodi, joka on tietojen hyväksyttävän käyttötarkoituksen pohjalta perusteltavissa. Vertailukohtana voidaan mainita, ettei esimerkiksi murtojen ehkäisyä varten asennettujen valvontakameroiden nauhoitteita saa säilyttää pidempään, kuin mitä murtojen havaitseminen edellyttää (eli hyväksyttävä säilytysaika on pääsääntöisesti yksi vuorokausi). Sen jälkeen, kun asianmukaisesti perusteltu aikaperiodi on kulunut umpeen, eikä lainmukaista perustetta tietojen säilyttämiselle ole, henkilötietojen säilyttäminen muuttuu lainvastaiseksi (TSA 5(1)(e) artikla). Näin ollen rekisterinpitäjän toiminta ei ole tältäkään osin täyttänyt tietosuojasääntelystä tulevia vaatimuksia.

Muita huomioita

Rekisterinpitäjällä ei sen kertoman mukaan ole itsenäistä pääsyä tietoihin, vaan sen tulee esittää lukkoliikkeelle perusteltu pyyntö. Tässä kohtaa huomio kiinnittyy siihen, että rekisterinpitäjä kuvaa olevansa alisteisessa asemassa suhteessa henkilötietojen käsittelijänä toimivaan lukkoliikkeeseen. Henkilötietojen käsittelijän asemassa oleva taho ei voi tällaisessa tilanteessa päättää rekisterinpitäjän pääsystä henkilötietoihin muuttumatta itse rekisterinpitäjäksi tämän käsittelyn osalta, eli tosiasiallisesti pääsyn on joko katsottava olevan rekisterinpitäjän päätösvallan piirissä, tai vaihtoehtoisesti tietosuojasääntelyn mukainen roolitus on saatettu arvioida tässä tapauksessa virheellisesti.

Rekisterinpitäjä on antamassaan selvityksessä kertonut, että jo käytössä olevien järjestelmien muuttamiseen liittyvät kustannukset olisivat korkeat, mikä olisi rekisterinpitäjän näkemyksen mukaan epäsuhdassa saavutettavaan hyötyyn. Lainvastainen menettely ei kuitenkaan muutu hyväksyttäväksi sillä perusteella, että sen saattaminen lainmukaiseksi olisi kallista. Myöskään se, että käsittelytoimenpiteisiin on ryhdytty ennen yleisen tietosuoja-asetuksen soveltamisen alkamista, ei tarkoita, etteikö rekisterinpitäjän tulisi tämän kysymyksen kohdalla huomioida toiminnassaan tietosuoja-asetuksen 25 artikla (sisäänrakennettu ja oletusarvoinen tietosuoja) ja muuttaa toimintansa sen mukaiseksi. Huomioitakoon myös, että järjestelmä on asennettu vuonna 2017, jolloin tietosuoja-asetus on ollut jo voimassa, ja rekisterinpitäjä olisi tuolloin pystynyt huomioimaan asetuksen sääntelyn asianmukaisesti päätöksenteossaan.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Niina Miettinen, puh. 029 566 6774

Päätös on lainvoimainen.