Tietosuojavaltuutetun toimisto (“Dataombudsmannens byrå”) har förelagt Kamo Abp att ändra bolagets behandling av personuppgifter i enlighet med dataskyddsförordningen (“GDPR”). Enligt Dataombudsmannens byrå bör behandlingen av personuppgifter planeras med tillräcklig omsorg redan under implementeringen av det digitala låssystemet, eftersom det kan vara svårt att åtgärda brister i efterhand.
Av beslutet framgår att en boende har lämnat in ett klagomål mot Kamo då han efter flytten till bostadshuset märkt att huset hade ett digitalt låssystem för att registrera de boendes rörelser. Enligt den klagande har de boende i huset inte blivit tillräckligt informerade om behandlingen av deras personuppgifter relaterade till låssystemet, då Kamo endast gjort en hänvisning till tredje parts webbplats, som bara innehåller teknisk information om det digitala låssystemet, i hyresavtalet.
Enligt Kamo har insamlingen av de boendes personuppgifter skett på grundval av ett berättigat intresse enligt artikel 6.1 (f) GDPR då bolaget bland annat har ett legitimt intresse av till exempel skydda egendom och boendes egendom.
Efter en granskning av ärendet har Dataombudsmannens byrå kommit fram till att underlaget för Kamos behandling av personuppgifter är otillräckligt definierat. Till exempel har Kamo inte utfört en intresseavvägning för bedöma om bolagets berättigade intresse väger tyngre än skyddet av de registrerades integritet. De registrerade har inte heller haft möjlighet att invända mot behandlingen av deras personuppgifter vilket är ett krav enligt GDPR om en personuppgiftsansvarig använder intresseavvägning som rättslig grund.
Enligt Dataombudsmannens byrå borde Kamo också tagit hänsyn till kraven på inbyggt dataskydd (Privacy by Design) och dataskydd som standard (Privacy by Default) enligt artikel 25 GDPR vid installering av ett digitalt låssystem som samlar in och lagrar personuppgifter. Till exempel borde Kamo ha bedömt om det fanns andra, mindre integritetskränkande medel för att uppnå de mål som bolaget eftersträvade.
Dataombudsmannens byrå noterar vidare att Kamo inte har beaktat principen om lagringsminimering enligt artikel 5.1 (e) GDPR eller principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. Dessutom anser Dataombudsmannens byrå att den information som lämnats till de boende inte har uppfyllt kraven på insyn i behandlingen av personuppgifter enligt artikel 14 GDPR. Enligt Dataombudsmannens byrå ska de boende lätt kunna uppfatta till exempel omfattningen av behandlingen av personuppgifter och få information om sina rättigheter.
Mot bakgrund av ovan har Dataombudsmannens byrå utfärdat ett beslut som anger att Kamos skyldigheter i egenskap av personuppgiftsansvarig inte fullgjorts och att bolaget förelagts att korrigera behandlingen av personuppgifter i enlighet med kraven i GDPR.
Dataombudsmannens byrås beslut är ännu inte slutgiltigt och kan överklagas till en förvaltningsdomstol.