Husbolagets användning av det elektroniska låssystemet uppfyllde inte dataskyddslagstiftningen
Husbolagen ruskades om av ett beslut av biträdande dataombudsmannen från slutet av juli där ett husbolag klandrades för att ha förbisett dataskyddslagstiftningens krav. EU:s allmänna dataskyddsförordning har nu tillämpats i drygt två år, men husbolagen håller fortfarande på att lära sig den. Det är bra att återkalla i minnet vilka skyldigheterna är med hjälp av detta fall som gällde ett elektroniskt låssystem.
Uppgifterna som de elektroniska låsen samlar in om dörröppnanden är personuppgifter
Biträdande dataombudsmannens avgörande från 29.7.2020 gällde ett husbolag som hade installerat det registrerande låssystemet iLOQ S-10 i de allmänna ytterdörrarna (har inte vunnit laga kraft). Beslutet om att ta i bruk låssystemet hade fattats på bolagsstämman med majoritetsbeslut och motiverades i synnerhet med det gamla systemets höga ålder, nycklar som tappats bort och skadegörelse. Husbolagets bedömning var att uppgifterna om att dörren öppnas inte utgör ett personregister eftersom bolaget inte har möjlighet att få information ur låscylindern, öppnandet av dörren inte är kopplat till direkta personuppgifter och uppgifterna inte läses annat än på polisens begäran.
Biträdande dataombudsmannen ansåg emellertid i sitt beslut att uppgifterna inte behöver kunna kopplas direkt till den registrerade för att vara personuppgifter. Det är möjligt att ta reda på vem i huset som öppnade dörren genom att koppla nyckelns identifieringsinformation till en viss bostad. Den information som samlas in om dörröppnandet är personuppgifter och behandlingen av dem förutsätter en behandlingsgrund i enlighet med dataskyddsförordningen. Husbolaget hade inte angett någon behandlingsgrund och inte heller annars sett till att åliggandena enligt dataskyddsförordningen fullföljdes, varför behandlingen av personuppgifter var lagstridig.
För husbolaget följde inga sanktioner i form av böter utan biträdande dataombudsmannen beordrade endast att husbolaget ska se till att behandlingsåtgärderna uppfyller dataskyddsförordningen. Påpekas bör att man i de grövsta fallen av försummelse av dataskyddsförordningens krav kan bli tvungen att betala avsevärda administrativa böter och skadestånd.
Dataskyddskraven ska beaktas i förväg
Husbolag som överväger att ta i bruk elektroniska låssystem bör se till skyldigheterna gällande dataskyddet i god tid, eftersom grunden för behandling av personuppgifter ska anges innan behandlingen inleds. I regel har grunden för behandling av personuppgifter i elektroniska låssystem ansetts vara berättigat intresse. Då ska husbolaget göra och dokumentera ett s.k. avvägningstest där den personuppgiftsansvariges intressen vägs mot den registrerades intressen. Dessutom bör bolaget fundera bl.a. på att begränsa förvaringstiden samt informera de boende om behandlingen av personuppgifter på ett transparent sätt. Då kan beslutet om ibruktagandet av ett elektroniskt låssystem också i princip fattas med majoritetsbeslut på bolagsstämman.
Ibland hör man sägas att skyldigheterna gällande dataskyddet är abstrakta bestämmelser som ”inte gäller oss”. Till sist ska man dock komma ihåg att det i alla husbolag finns personregister – t.ex. aktieboken, renoveringsregistret eller boendeförteckningen. Även om uppgiften att se till att de skyldigheter som hänför sig till dataskyddet efterlevs ofta har överförts på disponenten i disponentavtalet är det bra att styrelsen känner till de viktigaste skyldigheterna och åtminstone vet vilka personuppgifter som behandlas i det egna husbolaget.
Och lyckligtvis är hjälpen nära till för dem som behöver mer information – ett omfattande infopaket om dataskydd finns på kiinteistoliitto.fi/tietosuoja.
Skribenten är jurist Sanni Nuutinen på Kiinteistöliitto Uusimaa
