Le Bureau de l’Autorité de protection des données personnelles a ordonné à Kamo Plc de modifier le traitement des données personnelles connecté au système de verrouillage électrique conformément au Règlement général sur la protection des données. Le Responsable du traitement n’a pas tenu compte des exigences de la législation lors de la mise en œuvre du système de collecte et de stockage des données personnelles.
Le traitement des données personnelles doit être planifié avec suffisamment d’attention dès la mise en œuvre du système de verrouillage électrique, car il pourrait être difficile de corriger certaines lacunes ultérieurement.
Un résident, qui a rappelé l’attention de l’Autorité, a remarqué, après avoir déménagé dans le bâtiment que la structure dispose d’un système de verrouillage électrique afin d’enregistrer les mouvements des résidents. Les résidents n’ont pas été adéquatement informés dans le système de serrure mis en œuvre, mais selon le résident, le contrat de location comprend seulement une référence au site Web de la troisième, qui fournit des informations sur la mise en œuvre technique du système de serrure électrique.
Insuffisances dans la définition de la base juridique du traitement des données à caractère personnel
Selon le responsable du traitement, le rappel des données personnelles sur le trafic des résidents se produit sur la base d’un intérêt légitime selon le règlement général sur la protection des données. Le Responsable du traitement a considéré que le bailleur a un intérêt légitime, par exemple, dans la gestion des droits d’accès et dans la protection des données personnelles des résidents.
Quoi qu’il en soit, l’Autorité considère que la base du traitement n’est pas complètement définie.
Par exemple, le responsable du traitement n’a pas effectué un test d’équilibrage sur les critères de traitement qui a été choisi afin d’évaluer si l’intérêt légitime du responsable du traitement domine sur la protection des données personnelles des personnes concernées. Les destinataires n’ont pas la possibilité de rejeter le traitement sur la base d’un intérêt légitime tel que réglementé par la loi.
Il doit être respecté les principes de confidentialité par conception et par défaut et la minimisation des données
Le contrôleur de données aurait dû garder à l’esprit les exigences de la vie privée par conception et par défaut lorsqu’il a introduit le système de verrouillage électrique qui se remémore et stocke les données personnelles. Par exemple, le responsable du traitement aurait dû évaluer s’il y avait d’autres moyens, moins intrusifs, pour atteindre ses objectifs.
L’Autorité observe que le responsable du traitement des données n’a pas tenu compte du principe de limitation de la période de conservation ou du principe de minimisation découlant du règlement général sur la protection des données.
En outre, l’Autorité considère que les informations fournies aux personnes concernées n’étaient pas conformes aux exigences de transparence applicables au traitement des données à caractère personnel. Sur la base des informations fournies, les résidents devraient être en mesure de recevoir facilement, par exemple, l’entité du traitement des données à caractère personnel et d’obtenir des informations sur leurs droits.
L’Autorité de protection des données personnelles a émis une communication à Kamo Plc sur le non-respect des obligations du responsable du traitement des données et une ordonnance de rectification des opérations de traitement des données personnelles en vertu de la loi sur la protection des données personnelles.
La décision n’est pas définitive et fait l’objet d’un pourvoi devant une juridiction administrative.
Apulaistietosuojavaltuutetun päätös 4900_182_18SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FINLANDIA