Apulaistietosuojavaltuutettu on hiljattain julkaissut kaksi päätöstä liittyen (1) rakennusten ulko-ovien sähkölukkojen keräämiin tietoihin ja (2) sinänsä julkisten osakastietojen luovuttamiseen puhelinpalvelun kautta. Kansallisena tietosuojaviranomaisena tietosuojavaltuutettu valvoo Suomessa tietosuojalainsäädännön noudattamista.
Asunto-osakeyhtiö oli arvioinut, että sähkölukkojärjestelmän käyttöön ja ovenavaustietojen säilyttämiseen ei liity henkilötietojen käsittelyä. Apulaistietosuojavaltuutetun mukaan sähköavainten käyttäjät ovat kuitenkin tunnistettavissa yhdistämällä avaimen yksilöintitieto tiettyyn asuntoon. Valtuutettu määräsi yhtiön saattamaan henkilötietojen käsittelytoimet yleisen tietosuoja-asetuksen (General Data Protection Regulation, “GDPR”) mukaisiksi.
Sähkölukkojärjestelmää ei ollut asennettu yksittäisiin asuntoihin, vaan sähkölukot oli otettu yhtiössä käyttöön asuinrakennuksen ulko-ovissa. Avaimet oli luovutettu asunnoittain, eikä avainten loppukäyttäjiä ollut rekisteröity. Avainten käyttöön liittyvä tieto ei myöskään ollut asunto-osakeyhtiön saatavilla, ja selvityksen mukaan järjestelmää hallinnoiva lukkoliike lukisi avaustietoja vain poliisin pyynnöstä.
Tietosuojaviranomainen totesi päätöksessään, ettei luonnollisen henkilön tarvitse olla suoraan tunnistettavissa tiedon perusteella, jotta kyseistä tietoa voitaisiin pitää henkilötietona. Kun avaimen yksilöintitieto yhdistetään tiettyä asuntoa koskevaan tietoon, ovenavauksen suorittanut asukas on mahdollista tunnistaa. Tämä pitää paikkansa erityisesti silloin, kun asunnossa asuu ainoastaan yksi asukas, joka voidaan käytännössä varmuudella tunnistaa.
Tietosuojaviranomaisen päätös on luettavissa täällä: https://finlex.fi/fi/viranomaiset/tsv/2020/20200661
Päätöksestä on mahdollista valittaa hallintotuomioistuimeen.
Apulaistietosuojavaltuutettu katsoi, ettei osakastietojen luovuttaminen puhelinpalvelun kautta ollut yleisen tietosuoja-asetuksen mukaista. Tietosuojaviranomaisen mukaan yritys, Euroclear Finland Oy (“Euroclear”), ei täyttänyt velvollisuuksiaan rekisterinpitäjänä tai mahdollistanut rekisteröityjen oikeuksien toteutumista luovuttaessaan osakasluettelon tietoja suoramarkkinointitarkoituksiin. Tietosuojaviranomainen antoi Euroclearille huomautuksen ja määräsi saattamaan osakastietojen luovuttamista koskevat käsittelytoimet asetuksen mukaisiksi.
Euroclear ylläpitää laissa vaadittuja julkisia osakasluetteloita. Yritys on tarjonnut luetteloissa saatavilla olevaa tietoa osakeyhtiöistä ja osuuskunnista puhelinpalvelunsa kautta. Yritys katsoi puhelinpalvelun rinnastuvan osakasluetteloiden julkiseen nähtävillä pitoon tämän toimipisteillä, eikä katsonut toimivansa kyseisessä tilanteessa rekisterinpitäjänä.
Apulaistietosuojavaltuutettu totesi henkilötietojen käsittelyn tarkoituksen ja keinojen määrittelyn kuuluvan rekisterinpitäjälle. Tarjoamalla puhelinpalveluaan Euroclear on tämän käsittelyn osalta muuttunut rekisterinpitäjäksi, jonka tulee noudattaa rekisterinpitäjälle asetettuja vaatimuksia, esimerkiksi asetuksen 5 ja 6 artiklojen mukaisesti. Valtuutettu löysi puutteita näiden vaatimusten täyttämisessä muun muassa kohtuullisuuden ja läpinäkyvyyden periaatteiden osalta, sekä tarvittavien tietojen toimittamisessa rekisteröidyille. Apulaistietosuojavaltuutettu totesi myös, että Euroclear oli toiminnassaan laajentanut osakasluetteloiden tietojen luovuttamistapoja osakeyhtiölaissa säädetystä.
Tietosuojaviranomaisen päätös on luettavissa täällä: https://finlex.fi/fi/viranomaiset/tsv/2020/20200641
Päätöksestä on mahdollista valittaa hallintotuomioistuimeen.
Nämä kaksi päätöstä antavat suuntaa siitä, miten Suomen tietosuojaviranomainen tällä hetkellä soveltaa yleistä tietosuoja-asetusta, ja toimivat ajankohtaisina muistutuksina tietyistä yleisen tietosuoja-asetuksen perusperiaatteista. Ensinnäkin harkitessa minkä tyyppisiin tietoihin tietosuoja-asetus soveltuu, sen lisäksi että otetaan huomioon tieto, jonka perusteella luonnollinen henkilö on suoraan tunnistettavissa, on tärkeää huomioida myös sellainen tieto, joka yhdistettynä muuhun tietoon mahdollistaa tunnistamisen epäsuorasti. Lisäksi, jotta henkilötietojen käsittelijä ei muutu käsittelytoimissaan rekisterinpitäjäksi ja tule tälle asetettujen velvoitteiden alaiseksi, ei käsittelijän tule määritellä henkilötietojen käsittelyn tarkoituksia tai keinoja.