Tietosuoja-asetuksen määritelmät tutuiksi
EU:n tietosuoja-asetuksen velvoitteiden hallitseminen edellyttää tietosuoja-asetuksen olennaisempien käsitteiden ymmärtämistä. Isännöintiliitto ja Kiinteistöliitto ovat yhdessä arvioineet EU:n tietosuoja-asetuksen olennaisia määritelmiä kiinteistötoimialan erityispiirteiden kannalta seuraavasti:
Tietosuojaseloste (ent. rekisteriseloste)
Tietoturvaloukkauksista ilmoittaminen
Tietyt luonnolliseen henkilöön liittyvät tiedot on määritelty tietosuoja-asetuksessa erityiseen asemaan, ja niiden käsittely edellyttää asetuksessa mainitun erityisen perusteen täyttymistä. Esimerkiksi terveyttä, rotua tai etnistä alkuperää taikka uskonnollista vakaumusta koskevat tiedot kuuluvat tähän ryhmään. Tällaisia tietoja hallitus tai isännöinti eivät luonnollisestikaan aktiivisesti kerää, mutta osakkaat/asukkaat saattavat toimittaa tällaisia tietoja esimerkiksi hallintaanottoasian yhteydessä naapurin häiriökäyttäytymisen näytöksi tai pyytäessään maksuaikaa vastikkeen maksuun.
Mikä tahansa henkilötietoja sisältävä tietojoukko, josta tiedot on saatavissa tietyin perustein. HUOM! Henkilörekisteri on eri asia kuin tietojärjestelmä. Henkilörekisterin tietoja voidaan käsitellä useilla eri tietojärjestelmillä tai vaikkapa manuaalisesti.
Henkilötiedolla tarkoitetaan tietosuoja-asetuksessa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tyypillisimpiä taloyhtiöiden ja isännöinnin käsittelemiä henkilötietoja ovat osakkaan ja/tai asukkaan nimi, syntymäaika/henkilötunnus, osoite, sähköpostisoite ja puhelinnumero.
Isännöintiyritys/isännöitsijä, joka tosiasiallisesti käyttää taloyhtiön henkilörekistereitä yhtiön hallinnon hoidossa, on tietosuoja-asetustermein käsittelijä. Käsittelijöitä ovat myös kaikki ne palveluntarjoajat, joille rekisterinpitäjänä oleva isännöintiyritys tai taloyhtiö antaa käyttöoikeuden henkilörekistereihinsä, esimerkiksi isännöintiyrityksen alihankkijana toimiva kirjanpitoyritys/kirjanpitäjä tai taloyhtiön huoltoyhtiö.
Henkilötietojen käsittelylle on aina oltava tietosuoja-asetuksessa säädetty peruste. Tyypillisesti se on esimerkiksi lakisääteisten velvoitteiden hoitaminen (esim. taloyhtiön osakeluettelo), rekisteröidyn suostumus (esim. taloyhtiön nettisivuille rekisteröidyttäessä annettu suostumus) tai sopimus/oikeutettu etu (esim. asukasluettelo).
Henkilö, yhtiö tai säätiö, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä.
Isännöintiyrityksessä käsitellään yrityksen omien henkilörekistereiden lisäksi asiakastaloyhtiön henkilörekistereitä. Taloyhtiön osakeluettelon ja mahdollisesti pidettävän asukasluettelon sekä kunnossapito- ja muutostöiden rekisterin (remonttirekisteri) rekisterinpitäjänä on asunto-osakeyhtiö. Isännöintiyrityksen omia henkilörekistereitä ovat esimerkiksi yrityksen asiakasrekisteri, markkinointirekisteri sekä palkanlaskenta- ja muut työnantajarekisterit.
Suostumuksen henkilötietojen käsittelyyn on oltava kirjallinen, nimenomainen ja selkeä.
Jos rekisterinpitäjä luovuttaa henkilötietoja siten, että tietojen vastaanottajasta tulee rekisterinpitäjä ja tämä alkaa käyttää tietoja omiin tarkoituksiinsa, on kyse tietojen luovuttamisesta. Tietojen luovuttaminen on taloyhtiöissä tänä päivänä hyvin harvinaista.
Termi liittyy rekisterinpitäjä - käsittelijä -suhteeseen, esimerkiksi taloyhtiö antaa henkilörekisteriensä sisältämät henkilötiedot isännöintiyrityksen käsiteltäväksi tai huoltoyhtiölle ovenavauspalvelun toteuttamista varten. Käsittelijä käyttää siirrettyjä tietoja rekisterinpitäjän puolesta ja lukuun.
Tietosuojalla tarkoitetaan rekisteröidyn "tiedollista kotirauhaa" eli ihmisille perustuslaissa turvattua oikeutta elää ilman, että kukaan oikeudettomasti puuttuu siihen. Tietoturvalla tarkoitetaan niitä käytännön toimenpiteitä, joilla pyritään tietosuojan toteuttamiseen: toimenpiteitä ovat niin hallituksen ja isännöinnin osaamisen kasvattaminen sekä ohjeiden laatiminen kuin tekniseltä puolelta palomuurit ja virustorjunta.
Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Tietojen käsittelyssä on noudatettava tietosuojaperiaatteita, joista osaa käsitellään lyhyesti seuraavaksi.: Käyttötarkoitussidonnaisuus velvoittaa keräämään tiedot vain tiettyä yksilöityä käyttöä varten ja käyttämään tietoja vain määriteltyyn tarkoitukseen. Tietojen minimointi velvoittaa keräämään vain asianmukaisia ja olennaisia tietoja, jotka ovat tarpeen käsittelyn tarkoituksen suhteen. Säilytyksen rajoittaminen ohjaa säilyttämään tiedot vain niin kauan kuin on tarpeen. Tietoturvallisuuden varmistaminen velvoittaa ilmoittamaan tietoturvaloukkauksista valvontaviranomaiselle säädetyssä määräajassa. Virheelliset ja puutteelliset tiedot on oikaistava viivytyksettä.
Tietosuojaseloste (ent. rekisteriseloste)
Rekisteröidyille kohdistettu ja heidän saatavillaan oleva selkeä ja helposti ymmärrettävä kirjallinen selostus mm. siitä, mitä tietoja heistä kerätään ja miksi. Rekisteröidyille on tietosuoja-asetuksen mukaan kerrottava entistä laajemmin, läpinäkyvämmin ja aikaisemmassa vaiheessa henkilötietojen käsittelystä. Yhteen tietosuojaselosteeseen voidaan yhdistää tieto kaikista taloyhtiön ylläpitämistä henkilörekistereistä.
Tietoturvaloukkauksista ilmoittaminen
Rekisterinpitäjä on velvollinen ilmoittamaan viranomaisille vähäistä suuremmista tietoturvaloukkauksista. Ilmoitus on toimitettava 72 tunnin kuluessa. Jos tietovuoto aiheuttaa suuren riskin rekisteröidyn henkilötietojen suojalle tai yksityisyydelle, on rekisterinpitäjällä velvollisuus ilmoittaa tietoturvaloukkauksesta myös rekisteröidylle.