Search
Close this search box.

Finland: Högsta förvaltningsdomstolen anser att uthyrningsföretaget A Oy:s insamling av personnummer om barn inte varit nödvändig

Högsta förvaltningsdomstolen konstaterar att uthyrningsföretaget A Oy inte lagt fram någon utredning som skulle göra det möjligt att anse att regelbunden insamling av personnummer för alla minderåriga barn som bor med sina föräldrar i en hyresbostad eller som ansöker om bostad skulle vara nödvändig på det sätt som avses i artikel 5.1 (c) dataskyddsförordningen (GDPR) för de ändamål som företaget anmält.

Av beslutet framgår att uthyrningsföretaget A Oy (den personuppgiftsansvarige) regelbundet samlade in personnummer för minderåriga barn till familjer som bor i eller ansöker om boende i hyresbostäder.

Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har ett beslut ålagt den personuppgiftsansvarige att se till att behandlingen av insamlingen av barnens personuppgifter överensstämmer med GDPR och att radera de insamlade personnummer för minderåriga barn i den utsträckning som det inte fanns någon lämplig rättslig grund för insamlingen av dem. I sitt beslut konstaterade Dataombudsmannens byrå att det inte var nödvändigt för den personuppgiftsansvarige att som regel samla in barnens personuppgifter mot bakgrund av principen om uppgiftsminimering i artikel 5.1 (c) GDPR.

Den personuppgiftsansvarige överklagade beslutet till Norra Finlands förvaltningsdomstol, som upphävde Dataombudsmannens byrå beslut. Norra Finlands förvaltningsdomstol, ansåg bland annat att den personuppgiftsansvarige hade ett berättigat intresse enligt artikel 6.1 (f) GDPR av att behandla personuppgifter om barn i samband med sin uthyrningsverksamhet.

Dataombudsmannens byrå ifrågasatte Norra Finlands förvaltningsdomstols beslut och överklagade det till Högsta förvaltningsdomstolen. Dataombudsmannens byrå hävdade att den tidigare domstolen felaktigt dragit slutsatsen att behandlingen i fråga var laglig eftersom den personuppgiftsansvarige hade en rättslig grund enligt artikel 6 GDPR. Dataombudsmannens byrå konstaterade att trots att den personuppgiftsansvarige har en rättslig grund för behandlingen, strider behandlingen fortfarande mot GDPR när personuppgifterna är onödiga för det specifika ändamålet. Enligt Dataombudsmannens byrå hade Norra Finlands förvaltningsdomstol underlåtit att tillämpa principen om uppgiftsminimering.

Högsta förvaltningsdomstolen konstaterade att Dataombudsmannens byrås ursprungliga beslut inte behandlade artikel 6 GDPR. Högsta förvaltningsdomstolen tog därför inte ställning till frågan om den personuppgiftsansvarige hade en rättslig grund i den mening som avses i artikel 6 GDPR. Högsta förvaltningsdomstolen fokuserade istället på huruvida den personuppgiftsansvariges insamling av personuppgifter om barnen uppfyller kravet på uppgiftsminimering i artikel 5.1 (c) GDPR.

Inledningsvis upprepade Högsta förvaltningsdomstolen Dataombudsmannens byrås uppfattning att förekomsten av en rättslig grund för behandling inte i sig innebär att behandlingen är laglig. Behandlingen av personuppgifter måste också uppfylla de krav som fastställs i artikel 5 GDPR. Högsta förvaltningsdomstolen konstaterade att vid bedömningen av om personuppgifterna är begränsade till vad som är nödvändigt måste hänsyn tas till de ändamål för vilka uppgifterna ska användas. Vidare ansåg domstolen att det i skäl 39 GDPR bland annat anges att 1) personuppgifter bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål för vilka de behandlas och 2) att personuppgifter endast bör behandlas om syftet med behandlingen inte rimligen kan uppnås på annat sätt.

Högsta förvaltningsdomstolen noterade att artikel 87 GDPR tillåter att villkoren för behandling av ett nationellt personnummer fastställs i nationell lagstiftning. I detta perspektiv tillåter artikel 29 i den finska dataskyddslagen behandling av personnummer i samband med uthyrningsverksamhet. Högsta förvaltningsdomstolen betonade dock att behandlingen också måste överensstämma med de principer som fastställs i artikel 5 GDPR. Högsta förvaltningsdomstolen konstaterade att det i vissa situationer är nödvändigt att behandla en minderårigs personnummer. Högsta förvaltningsdomstolen betonade dock att dessa situationer inte utgör ett behov av att samla in personnummer, som regel, från alla minderåriga barn till hyresgäster eller bostadssökande.

Högsta förvaltningsdomstolen tillämpade också artikel 25 GDPR. Det fastslogs att den personuppgiftsansvarige inte kan motivera nödvändigheten av att behandla personuppgifter på grundval av de tekniska kraven för det informationssystem som används. Informationssystem måste vara utformade på ett sådant sätt att de inte kräver behandling av personuppgifter som annars skulle vara onödiga. De skäl som den personuppgiftsansvarige hade anfört avseende informationssystemets funktionalitet kunde därför inte anses utgöra grund för att anse att behandlingen av personuppgifter var nödvändig i den mening som avses i artikel 5.1 (c) GDPR.

Mot bakgrund av ovanstående upphävde Högsta förvaltningsdomstolen underinstansens beslut. Högsta förvaltningsdomstolen konstaterade att den personuppgiftsansvarige inte lagt fram någon utredning som skulle göra det möjligt att anse att regelbunden insamling av personnummer för alla minderåriga barn som bor med sina föräldrar i en hyresbostad eller som ansöker om bostad skulle vara nödvändig på det sätt som avses i artikel 5.1 (c) GDPR för de ändamål som bolaget anmält. Det noterades emellertid också att bestämmelsen inte hindrar den personuppgiftsansvarige från att fortsätta att samla in sådana uppgifter i situationer där det finns en motivering och ett behov av behandlingen.

Mer information

Myndighet: Högsta förvaltningsdomstolen

Land: Finland

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 25 GDPR, art. 58 GDPR, art. 87 GDPR

Sanktionsavgift: N/A

Mottagare: A Oy

Beslutsnummer: KHO 2023:56

Beslutsdatum: 2023-06-05

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.