Taloyhtiötkään eivät saa helpotuksia tietosuojassa

Henkilötietojen käsittelystä asunto-osakeyhtiöiden on laadittava ohjeisto ja palveluntarjoajien kanssa käsittelysopimukset.

Henkilötietojen käsittely on asunto-osakeyhtiöiden eli taloyhtiöiden ja isännöitsijöiden normaalia toimintaa. Lakisääteisen osakasluettelon lisäksi taloyhtiöt usein ylläpitävät muun muassa asukasluetteloa, jossa voi olla myös vuokralaisten henkilötietoja.

Asukkaiden henkilötietojen rekisterinpitäjä on aina taloyhtiö. Taloyhtiön hallitus ja isännöitsijä vastaavat puolestaan siitä, että osakkaiden ja asukkaiden tietojen käsittely vastaa tietosuoja-asetuksen vaatimuksia.

Uusi tietosuoja-asetus (GDPR) tuli voimaan kaikissa EU-maissa toukokuussa 2016 ja sen soveltaminen aloitettiin 25.5.2018. Se koskee kaikkia yrityksiä, yhdistyksiä ja organisaatioita, esimerkiksi taloyhtiöitä.

Asunto-osakeyhtiöllä voi olla sopimus myös talohuollon kanssa. Vaikka talohuolto ja isännöitsijätoimisto eivät yleensä ole sopimussuhteessa, henkilötietojen luovutus voi joissain tapauksissa tapahtua suoraan isännöintitoimiston ja talohuollon väillä.

­– Tällöin isännöintitoimiston ja talohuollon välille muodostuu niin sanottu alihankkijasuhde, joissa henkilötietojen luovutuksen tulee perustua kirjalliseen, käsittelijöiden väliseen henkilötietojen käsittelysopimukseen (artikla 28. 4 kohta), selventää tietosuojan näkökulmasta ongelmallista suhdetta Olli Turpeinen Fides Optio Oy:stä.

Turpeinen sanoo, että rekisterinpitäjä (tiedon omistaja eli taloyhtiö) voi henkilötietojen käsittelysopimuksella valtuuttaa isännöintitoimiston käsittelemään taloyhtiön henkilötietoja.

– Taloyhtiöllä on lisäksi velvollisuus varmistaa, että henkilötietoja esimerkiksi käsitellään, säilytetään, luovutetaan ja tuhotaan tietosuoja-asetuksen mukaisesti.

– Jos taloyhtiö löytää isännöintitoimiston henkilötietojen käsittelystä puutteita, sen on tehtävä siitä välittömästi ilmoitus ja vaadittava korjausta. Lopullinen vastuu taloyhtiön henkilötietojen käsittelystä säilyy aina taloyhtiöllä, Olli Turpeinen sanoo.

Turpeinen korostaa, että asunto-osakeyhtiöidenkin on noudettava tietosuoja-asetuksen määräyksiä kaikessa henkilötietojen käsittelyssään.

– Tähän ei ole niin sanottuja helpotuksia, vaikka tietämättömyydestä johtuvia puutteita onkin paljon, Turpeinen sanoo.

Taloyhtiön hallituksen on varmistettava, että henkilötietoja sisältävät dokumentit säilytetään turvallisesti, esimerkiksi lukitussa kaapissa, johon kaikilla ei ole pääsyä. Vanhentuneet dokumentit, joita lain mukaan ei enää tarvitse säilyttää, on tuhottava turvallisesti.

– Taloyhtiöillä on oltava ohjeisto siitä, miten henkilötietoja käsitellään hoidettaessa taloyhtiön asioita. Työssään henkilötietoja käsittelevien palveluntarjoajien kanssa on oltava voimassa olevat henkilötietojen käsittelysopimukset, Turpeinen sanoo.

Talteen vain lakisääteinen tieto

Tietosuojavaltuutetun toimisto on koonnut sivustolleen tietoa siitä, miten henkilötietoja tulee käsitellä taloyhtiöissä: https://tietosuoja.fi/usein-kysyttya-taloyhtiot

Esimerkiksi osakasluetteloon ei pidä kerätä mitään muuta kuin lakiin perustuvaa tietoa, ei esimerkiksi henkilötunnuksia, ammatteja tai tietoja siviilisäädystä.

Henkilötunnuksen käsittely on kuitenkin perustelua esimerkiksi tilanteissa, joissa yritys tarjoaa palveluita/tuotteita, joista laskutetaan myöhemmin (vastikkeet, vuokrat, vesimaksut). Lisäksi taloyhtiön hallituksen jäsenten henkilötunnuksia tarvitaan kaupparekisteriin ilmoittamista tai mahdollisia palkkioiden maksua varten.

Jos asunto-osakeyhtiöön aiotaan asentaa tallentava valvontakamera, on ensin määritettävä, mikä on kulunvalvonnan tarkoitus; peruste voi olla esimerkiksi rikosten ennalta ehkäisy tai selvittäminen. Kulkutietokin on henkilötietoa, ja se on säilytettävä tai tuhottava lain vaatimalla tavalla, eikä tallentamisella saa loukata kenenkään kotirauhaa.

Osakeluettelon, remonttirekisterin ja asukasluettelon säilytysajat poikkeavat toisistaan. Osakkeenomistajien tiedot säilytetään 10 vuotta omistuksen päättymisestä. Remonttitiedot on säilytettävä niin kauan kuin taloyhtiö on olemassa. Asukasluettelolle on puolestaan määriteltävä säilytysajat.

Sosiaalinen media ei sovi viestintään

Taloyhtiö ei voi hoitaa virallisia asioita sosiaalisen median, niiden sovelluksien tai ryhmien kautta, jos mukana on henkilötietoja. Syynä ovat sosiaalisen median käyttöehdot, joiden mukaan tietojen luovuttaja sitoutuu luovuttamaan myös tiedon omistajuuden sosiaalisen median kanavan omistajalle.

Myöskään suojaamaton sähköposti ei ole hyvä viestintäkanava; jos sitä kuitenkin käyttää, on riskeistä ilmoitettava etukäteen. Käytännössä toimijoiden tulee arvioida käsittelyyn sisältyvät riskit eli myös se, että käytetty tekninen palvelu takaa riittävän tietoturvan.

Taloyhtiön nimitaulu ei viranomaistulkinnan mukaan ole henkilörekisteri; sen olemassaolo on perusteltua pelastustoiminnan helpottamiseksi. Sen sijaan asunto-osakeyhtiön on harkittava, millä tarkkuudella merkinnät muihin listoihin on tarpeen tehdä. Esimerkiksi saunavuorolistoihin ei pidä kirjata henkilötietoja, kuten nimiä, vaan esimerkiksi huoneiston numero.

Tietosuoja-asetuksen laiminlyönnistä voi taloyhtiökin joutua maksamaan tuntuvia hallinnollisia sakkoja tai vahingonkorvauksia.

Mahdollisesta tietoturvaloukkauksesta on ilmoitettava valvontaviranomaiselle 72 tunnin kuluessa loukkauksen havaitsemisesta sekä niille henkilöille, jonka tietoihin loukkaus on kohdistunut. 

Osoitusvelvollisuus

Rekisterinpitäjän eli taloyhtiön on myös pysyttävä osoittamaan, että se noudattaa tietosuoja-asetuksen säännöksiä. Osoitusvelvollisuus on keskeinen periaate tietosuoja-asetuksessa: https://tietosuoja.fi/osoitusvelvollisuus

Tietosuoja-asetuksessa on osoitusvelvollisuutta koskevia vaatimuksia, joiden velvoittavuus on analysoitava tapauskohtaisesti. Osoitusvelvollisuuden laajuus riippuu muun muassa organisaation koosta, henkilötietojen määrästä ja siitä, millaisia henkilötietoja rekisterinpitäjä käsittelee. Rekisterinpitäjän on huomioitava osoitusvelvollisuus jo henkilötietojen käsittelyn suunnitteluvaiheessa.

Muistilistaa taloyhtiön tärkeistä dokumenteista ja toimista

  • oma dokumentaatio henkilötiedoista, -rekistereistä ja niiden asiallisesta käsittelystä
  • tietoturvan arviointi ja kuntoon laittaminen
  • riskien arviointi
  • asetuksen peruskoulutus ja suunnitelmallinen jatkokoulutus tulevina vuosina
  • varautuminen tietoturvaloukkauksiin ja hyvä ohjeistus tarvittavista toimenpiteistä
  • henkilötietojen käsittelyyn liittyvien sopimusten päivittäminen (isännöintitoimisto, talohuolto, tilintarkastaja ym.)
  • rekisteröidyn oikeuksien täyttämisvelvollisuus (tietojen saaminen, tietojen korjaaminen, tietojen poistaminen ja käsittelyn estäminen) sekä niihin liittyvät toimintaohjeet

Lomakkeiden tekeminen Pro Tietosuoja -palvelulla

Katso lyhyt video kuinka taloyhtiökin voi aloittaa tekemään asetuksen edellyttämää omaa dokumentaatiota. Tätä tuotettua materiaalia voidaan käyttää myös hallituksen kouluttamiseen ilman ylimääräistä työtä.

Pohdittavia kysymyksiä teidänkin taloyhtiönne tietosuojasta

  1. Tiedättekö, että taloyhtiön ja isännöitsijän tietosuojadokumentit (ja tarvittavat toimet) ovat kaksi eri asiaa?
  2. Oletteko tarkistaneet, että palveluntarjoajilla on oma dokumentaatio ja riittävän hyvät käytänteet? Kaikilla ei niitä välttämättä ole lupauksista huolimatta.
  3. Taloyhtiöitä on hyvin erilaisia ja eri kokoisia (asuntoja/toimistoja/liikehuoneistoja). Oletteko tarkastelleet tietosuoja-asetuksen merkitystä nimenomaan teidän taloyhtiönne näkökulmasta?
  4. Onko taloyhtiössänne yhdessä rakennettuja tietoliikenneyhteyksiä tai sähköpostijärjestelmiä?
  5. Oletteko arvioineet tietoturvan tason ja tehneet siitä tarvittavan ohjeistuksen?
  6. Oletteko ottaneet huomioon mahdolliset identiteettivarkaudet?
  7. Oletteko ottaneet maineriskin huomioon?
  8. Huolimaton ja piittaamaton toiminta voi johtaa vahingonkorvauksiin tai sanktioihin. Oletteko ottaneet tämän huomioon?
  9. Onko taloyhtiön hallituksen jäsenille järjestetty koulutusta, jotta he tuntevat tietosuoja-asetuksen ja ymmärtävät sen tärkeyden taloyhtiön toiminnassa?
  10. Käsittelevätkö kaikki taloyhtiön hallintoon osallistuvat hallussaan olevia henkilötietoja turvallisesti ja kuinka vanhat ja tarpeettomat tiedot tuhotaan henkilöiden vaihtuessa?

Lehtijuttuja

Tässä on kaksi erittäin käytännönläheistä lehtijuttua, jotka kuvaavat esimerkinomaisesti asunto-osakeyhtiön ja sen hallituksen henkilötietojen käsittelyn problematiikkaa.

https://www.kauppalehti.fi/uutiset/rikolliset-kaivavat-henkilotietoja-jopa-roska-astioista-identiteettivarkauden-uhriksi-joutuu-yha-useampi/25615acf-e128-4c5d-9fb8-e2e5017060a3

https://www.kauppalehti.fi/uutiset/taloyhtioissa-pesii-uusi-turvallisuusriski-viranomainen-lukot-kannattaa-vaihtaa/e92508ed-ad08-40a2-a0b4-ed946f1bd612

Palvelua toteuttamassa