Kaksi vuotta sitten voimaan astuneen EU:n tietosuoja-asetuksen siirtymäaika on umpeutunut. Asetuksen käytännön soveltaminen koskee myös taloyhtiöitä.
EU:n yleinen tietosuoja-asetus on tullut voimaan 25.5.2016 ja kahden vuoden siirtymäajan jälkeen asetuksen käytännön soveltaminen alkaa 25.5.2018. Taloyhtiön tietosuojakysymykset ja henkilörekisterit on siis saatettava vastaamaan asetusta siirtymäajan kuluessa ja 25.5.2018 mennessä. EU:n tietosuoja-asetus korvaa nykyisen henkilötietolain (22.4.1999/523). Kovin radikaaleja muutoksia asetus ei kuitenkaan henkilötietolakiin verrattuna tuo tullessaan.
Henkilörekisterit taloyhtiössä
Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Tyypillisimpiä taloyhtiön ja isännöinnin käsittelemiä henkilötietoja ovat osakkaan ja/tai asukkaan nimi, syntymäaika/henkilötunnus, osoite, sähköpostiosoite ja puhelinnumero.
Henkilörekisteri muodostuu mistä tahansa henkilötietoja sisältävästä tietojoukosta, josta tiedot ovat saatavilla tietyin perustein. Tyypillisimpiä taloyhtiön henkilörekistereitä ovat osakeluettelo ja asukasluettelo. Näiden rekistereiden osalta on taloyhtiö rekisterinpitäjä.
Taloyhtiön isännöitsijä on tyypillisesti kuitenkin se, joka taloyhtiön puolesta käsittelee henkilötiedot, koska käytännössä isännöitsijäyritys useasti isännöintisopimuksen perusteella, taloyhtiön puolesta, ylläpitää henkilörekisterit. Käsittelyllä tarkoitetaan nimittäin toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista. Isännöintiyritys toimii silloin käsittelijänä.
Huomioitava on, että jos henkilötietoja käsittelee muu taho, kun rekisterinpitäjä, on käsittelystä sovittava kirjallisesti. Silloin kun isännöitsijä käsittelee henkilötiedot taloyhtiön puolesta, on isännöitsijän/isännöintiyrityksen kanssa sovittava henkilötietojen käsittelystä isännöintisopimuksessa. Määräykset henkilötietojen käsittelyyn liittyen, jotka ovat aikaa ennen EU:n tietosuoja-asetusta, eivät enää riitä, vaan henkilötietojen käsittelystä on määriteltävä tarkemmin. EU:n tietosuoja-asetus ei kuitenkaan tarkoita, että koko isännöintisopimus olisi ns. ”avattava” vaan tietosuoja-asioista voidaan sopia ja todeta erillisessä tietosuojaliitteessä, joka liitetään isännöintisopimukseen.
Henkilötiedot tulee käsitellä entistä huolellisemmin
EU:n tietosuoja-asetuksen myötä ylipäätään huolellisen käsittelyn vaatimus korostuu ja toimintatapoja taloyhtiössä on syytä tarkastella kriittisin silmin. Syytä olisi käydä läpi peruskäsitteet, esim. henkilötieto, rekisterinpitäjä ja käsittelijä. Tunnistaa oma rooli ja toiminta ja pohtia ketkä ylipäätään henkilötietoja käsittelevät. Noudatetaanko käsittelyssä täsmällisyyttä ja luottamuksellisuutta, onko käsittely sidottua käyttötarkoitukseen, eli ei siis tallenneta kuin välttämätöntä ja virheetöntä tietoa. On osattava vastata siihen, mikä on tietojen käsittelyperuste, tarkoittaen millä perusteella on oikeutettu käsittelemään henkilötiedot, eli onko saatu rekisteröidyn suostumus, onko pohjana sopimus tai esimerkiksi lakisääteinen velvoite. Uutena vaatimuksena on tietojen rajattu säilytysaika ja tarvittaessa on asetettava muistutus vanhaksi käyvien tietojen poistamisesta, jottei henkilötietoja säilytetä pidempään kuin on tarpeen. Syytä on tietenkin kartoittaa myös mitä rekistereitä toiminnassa on ylipäätään käytössä. On pohdittava ovatko kaikki rekisterit tarpeellisia ja ovatko kaikki rekisterissä olevat tiedot tarpeellisia.
Niille taloyhtiöille, joiden toiminnassa on jo huomioitu henkilötietolain vaatimukset, tuo EU:n tietosuoja-asetus mukanaan vain vähäisiksi katsottavia lisävelvoitteita. Niissä taloyhtiöissä, joissa tietosuojasta ei ole toistaiseksi huolehdittu, on viimeistään nyt aika huomioida tietosuojavelvoitteet asianmukaisesti.
Aiheesta on tulossa opaskirja: Tietosuoja taloyhtiössä – miten taloyhtiön ja isännöitsijän tulee hallita henkilötietoja? (Kai Haarma ja Tommi Leppänen). Opas ilmestyy Kiinteistöalan Kustannus Oy:ltä toukokuussa.
Juttu on julkaistu Suomen Kiinteistölehdessä 4/2018.
Artikkeli Tietosuoja-asetus taloyhtiössä julkaistiin ensimmäisen kerran Kiinteistölehti.