Voihan GDPR! Uusi tietosuoja-asetus vaikuttaa myös taloyhtiöiden elämään

Voihan GDPR! Uusi tietosuoja-asetus vaikuttaa myös taloyhtiöiden elämään

Taloyhtiöissä kerätään henkilötietoja moneen eri käyttötarkoitukseen. Osakeluettelon ylläpito ja velvollisuus kerätä tietoja osakkaiden tekemistä muutos- ja kunnossapitotöistä (ns. remonttirekisteri) perustuvat asunto-osakeyhtiölakiin. Asukasluetteloa pidetään yllä sitä vastoin, jotta taloyhtiön arki saadaan pyörimään. Lisäksi esimerkiksi älylukkojen ja kameravalvonnan data saa aikaiseksi henkilörekisterin. Olennaisinta tietosuojan osalta on se, että kaikista näistä syntyy rekistereitä, jotka sisältävät erilaista informaatiota yksittäisistä henkilöistä.

Toukokuun 25. päivä astui voimaan EU:n yleinen tietosuoja-asetus (GDPR), mikä koskee nimenomaan erilaisten henkilötietorekisterien ylläpitäjiä, sillä tämän asetuksen tarkoitus on yhdenmukaistaa EU:n tietosuojakäytäntöjä sekä parantaa EU:n kansalaisten yksityisyydensuojaa. Tietosuoja-asetus määritteleekin henkilötietojen käsittelyperusteet tyhjentävästi. Asetus tuo mukanaan lisää vastuita ja velvollisuuksia rekisterienpitäjille. Sitä vastoin rekisteröityjen oikeudet lisääntyvät. Rekisteröidyllä on oikeus muun muassa pyytää organisaatioilta tietoja omista henkilötiedoistaan ja niiden käytöstä sekä oikeus siirtää ja poistaa omia tietojaan.

Mitä, täh, hä?

Käytännössä kyse on siis siitä, että rekisteröity henkilö tietää, mitä tietoja hänestä kerätään, miksi niitä kerätään ja mihin tietoja käytetään. Taloyhtiön velvollisuutena on huolehtia siitä, että asukkaat saavat tiedon henkilötietojen käsittelyn tarkoituksesta sekä siitä, mihin tietoja mahdollisesti luovutetaan. Informointi tietojen käsittelystä tapahtuu luontevimmin henkilötietoja kerättäessä eli käytännössä yleensä henkilön muuttaessa taloyhtiöön. Yhtiöt saavat kerätä asukkaastaan vain asukassuhteen hoidon kannalta tarpeellisia henkilötietoja. Erityyppisillä yhtiöillä on kuitenkin toisistaan poikkeavat tarpeet tietää asukkaistaan. Tärkeintä onkin pohtia tarkasti, mitä tietoja oikeasti tarvitaan.

Tietosuojaseloste ajan tasalle

Taloyhtiöillä tulee siis olla tietosuojaseloste, josta käy ilmi, mitä tietoja järjestelmät keräävät ja miksi, kuka tietoja ylläpitää ja mihin niitä luovutetaan. Kyseessä on rekisteröidyille suunnattu ja heidän saatavillaan oleva selkeä ja helposti ymmärrettävä kirjallinen asiakirja. Tietosuoja-asetuksen mukaisesti rekisteröidyille on kerrottava entistä laajemmin, läpinäkyvämmin ja aikaisemmassa vaiheessa henkilötietojen käsittelystä. Taloyhtiölle riittää yksi tietosuojaseloste, sillä siihen voidaan yhdistää tieto kaikista taloyhtiön ylläpitämistä henkilörekistereistä.

Sanktioita ja osoitusvelvollisuus

Taloyhtiöiden hallitus ja isännöitsijä vastaavat siitä, että henkilötiedot käsitellään lain ja asetusten mukaisesti. Viime kädessä vastuussa päätöksistä ja toiminnan lainmukaisuudesta on aina taloyhtiön hallitus, vaikka käytännössä isännöitsijä usein pyörittääkin toimintaa. Pahimmillaan tietosuoja-asetuksen laiminlyönti voi johtaa tuntuviin sanktioihin. Laiminlyönnistä on kyse esimerkiksi silloin, jos henkilötietojen käsittelystä ei sovita käsittelijöiden kanssa asetuksen vaatimalla tavalla tai mikäli taloyhtiössä ei informoida tietosuojaselosteilla asukkaita ja osakkaita henkilötietojen käsittelystä. Merkittävä muutos asetuksen myötä tulee olemaan osoitusvelvollisuus. Tämä tarkoittaa sitä, että taloyhtiön pitää pystyä osoittamaan tietosuoja-asetuksen noudattaminen. Mikäli taloyhtiön henkilötietojen käsittely on voimassaolevan henkilötietolain mukaista, ei vaadittavat lisätoimet ole ylivoimainen tehtävä. Toimenpiteitä tarvitaankin tällöin lähinnä sen suhteen, että taloyhtiö pystyy suoriutumaan osoitusvelvollisuudestaan. Lisäksi on huomioitava, että henkilötietojen joutuessa vääriin käsiin tulee viranomaisille ilmoittaa asiasta mahdollisuuksien mukaan 72 tunnin kuluessa asian ilmitulosta. Tällaisia tilanteita voi tulla eteen muun muassa, jos tiedot tuhoutuvat tai päätyvät tietomurron kohteeksi.

Miten turvallisin mielin?

Tärkeintä on, että taloyhtiö tunnistaa, mitä henkilötietoja se toiminnassaan käsittelee ja varmistaa, että käsittely täyttää tietosuoja-asetuksen ja muun lainsäädännön asettamat vaatimukset. Taloyhtiön tulee toimittaa rekisteröidyille tietyt tiedot, kuten rekisterinpitäjän yhteystiedot, miksi tietoja kerätään ja ketkä ovat henkilötietojen vastaanottajia. Turhan tiedon keräämistä on vältettävä sekä tietojen säilytysaika on mietittävä huolellisesti. Lisäksi sopimukset rekisterinpitäjän ja toimeksiannonsaajan välillä on oltava kunnossa ja ajan tasalla.

Henkilötietojen käsittely esimerkiksi kameravalvonnan tai älylukkojen tuoman datan osalta on lain mukaan mahdollista ulkoistaa ulkopuoliselle palvelutarjoajalle. Tällöin esimerkiksi turva-alan yritys, joka toimeksiannosta toteuttaa kameravalvontapalveluita, ei ole rekisterinpitäjä, vaan toimeksiannonsaaja, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietolain mukaan tällaisesta ulkoistamisesta on tehtävä asianmukaiset sopimukset ja sitoumukset rekisterinpitäjän ja toimeksiannonsaajan välillä.

GDPR ei vaikeasta sanamuodostaan huolimatta ole siis mahdottoman pelottava asia, kunhan muistetaan ensisijaisesti kolme tärkeää seikkaa: tietosuojaseloste päivitetään ajan tasalle ja informoidaan osakkaille sekä asukkaille ja sopimukset palvelutarjoajien kanssa hoidetaan tietoturva-asioiden osalta kuntoon.

Omataloyhtiö.fi
Julkaistu
11.6.2018