Tietosuojan perusteet asuin- ja liikekiinteistöissä

  • elokuuta 25, 2020

Taustalla EU:n tietosuoja-asetus (GDPR, General Data Protection Regulation)

EU:n tietosuoja-asetus on nyt ollut voimassa hieman yli neljä vuotta siirtymäajan päättyessä toukokuussa 2018. Näin ollen olemme eläneet jo yli 800 vuorokautta tietosuoja-asetuksen velvoittamaa aikaa. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsikin kolme seuraamusmaksua tietosuojarikkomuksista kuluvan vuoden toukokuussa.

Keskeisimmät termit:

  • Henkilötieto – kaikki sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa ja yksilöidä
  • Henkilörekisteri – jäsennelty henkilötietoja sisältävä tietojoukko, josta tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuullisin kustannuksin
  • Rekisteröity – rekisterissä oleva tunnistettava tai tunnistettavissa oleva henkilö, jonka tietoja käsitellään
  • Rekisterinpitäjä – ylläpitää rekisteriä ja määrittää henkilötietojen käyttötavat ja -tarkoitukset
  • Henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän lukuun rekisterinpitäjän päättämällä tavalla. Henkilötietojen käsittelijä ei saa käsitellä henkilötietoja ilman rekisterinpitäjän kanssa solmittua kirjallista sopimusta
  • Tietosuojavastaava - on organisaation asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa

  •  

    Tuore tietosuojavaltuutetun kannanotto taloyhtiön sähköavaimien käytöstä

 

Muutama viikko sitten fyysiseen turvallisuuteen liittyvä tuorein kannanotto (linkki tietosuoja.fi sivustolle) liittyi sähkölukkojärjestelmän käyttöön ja ovenavaustietojen tallentamiseen. Asunto-osakeyhtiö, joka on rekisterinpitäjän roolissa määritellen henkilötietojen käytön, oli tulkinnut, ettei siihen liity henkilötietojen käsittelyä. Mikäli avaimen yksilöintitieto yhdistetään tiettyyn asuntoon, sähköavaimen käyttäjä on mahdollista tunnistaa. Näin etenkin tilanteessa, kun henkilö asuu yksin, jolloin ovenavaustieto on käytännössä varmuudella yhdistettävissä yksittäiseen henkilöön.

Tässä tullaankin tärkeään huomioon: vaikka tiedot eivät ole suoraan yhdistettävissä henkilöön, ne ovat siitä huolimatta henkilötietoja. Kun henkilötietoja käsitellään, tulee määritellä käsittelyperuste ja huolehtia tietosuoja-asetuksesta tulevista velvoitteista.

Taloyhtiöiden eli rekisterinpitäjän ja isännöitsijöiden toiminnassa henkilötietojen käsittely on normaalia toimintaa. Lakisääteisiin tehtäviin taloyhtiöillä kuuluu mm. osakeluettelon ylläpito. Lisäksi ylläpidettäviä on mm. asukasluettelo ja remonttiluettelo. Taloyhtiön hallitus ja isännöitsijä ovatkin vastuussa, että rekisteröityjen henkilöiden käsittely on järjestetty asianmukaisesti.

 

Miten varmistetaan hyväksyttävä tietosuojan perustaso?

Kun on tarkoitus käsitellä henkilötietoja, on syytä varmistaa hyväksyttävä perustaso ainakin seuraavilla toimilla:

Tunnistetaan rooli henkilötietojen käsittelyssä: rekisterinpitäjä, henkilötietojen käsittelijä vai molempia?

Luodaan sisäinen dokumentaatio, johon koostetaan, miten käsitellään henkilötietoja, joita ovat mm. nimet, puhelinnumerot, sähköpostiosoitteet jne.

  • Dokumentaatiota luotaessa tulee tiedostaa, mitä tietoja kerätään ja millä perusteella. Itse asiassa tietosuoja-asetuksessa on kuusi eri perustetta, joiden mukaan henkilötietojen käsittely ylipäänsä on laillista: rekisteröidyn suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkinen valta ja rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu. Henkilötietojen käsittely ylipäänsä on laillista vain, kun vähintään yksi edellä mainituista perusteista toteutuu.
  •  

Mikäli henkilötietoja käsitellään useammin kuin satunnaisesti, tulee laatia seloste käsittelytoimista. Seloste on sisäinen, joka toimii osana dokumentointia, jolla voidaan osoittaa toimiminen tietosuoja-asetuksen velvoitteiden mukaisesti.

 

Tiedon suojaustoimet valitaan riskiarvion perusteella

Toteutettavien suojausten tulee perustua riskiarvointiin. Mikä on pahinta, mitä voisi tapahtua? Työasema häviää. Henkilötietoja sisältävä mappi katoaa. Tietoturva voi olla fyysistä, inhimillistä tai tekniikkaan perustuvaa. Näin ollen esimerkiksi työasemien ja matkapuhelimien tietoturva on syytä laittaa kuntoon kiintolevyn salauksella, tarpeeksi hyvillä salasanoilla, virustorjunnalla jne. Henkilötietoja sisältävää paperiaineistoa tulee säilyttää lukittavassa kaapissa.

Henkilötietojen käsittelyn tulee olla läpinäkyvää ja rekisteröityjä tulee informoida, miten heitä koskevia tietoja kerätään ja kuinka niitä käytetään. Tietosuoja-asetuksessa ei ole velvoitetta ns. rekisteriselosteesta mutta siitä huolimatta organisaation tulee laatia ja pitää kuvaus henkilötietojen käsittelystä rekisteröityjen saatavilla.

Rekisteröidyillä on oikeus saada tiedot heidän omista henkilötiedoistaan ja niiden säilytyksestä elektronisessa muodossa. Tietojen tulee olla helposti ymmärrettävässä muodossa.

 

Ulkoistettujen palvelujen huomiointi?

Mikäli ulkoistetaan vaikkapa kameravalvonta, vartiointi, palkanmaksu tai IT-tuki ja palveluntarjoajalla on pääsy henkilötietoihin, se on tällöin henkilötietojen käsittelijän roolissa. Tässä tapauksessa tietosuoja-asetus velvoittaa sopimaan henkilötietojen käsittelystä kirjallisesti.

Henkilötietojen käsittelyyn liittyvät vaatimukset on syytä ottaa vakavasti. Tietosuoja-asetuksen laiminlyönnistä voi joutua maksamaan huomattavia vahingonkorvauksia tai hallinnollisia sakkoja.

Jokaisella organisaatiolla on lain määräämiä tietosuojavelvollisuuksia: mm. dokumentointi, ylläpito, esitettyihin pyyntöihin reagoiminen, huomiointi tietoturvallisuuteen ja tietosuojaan vaikuttavista tapahtumista. Tietosuojatyö kannattaakin ottaa osaksi organisaation päivittäistä ja näkyvää toimintaa.

 

Seclionin asiantuntijat ovat käytettävissänne sekä pienissä että suurissa tietosuojaan liittyvissä kehityshankkeissa.

  • Käy lukemassa mitä Tietoturvallisuuden hallintajärjestelmä (ISO 27000 standardi) pitää sisällään (linkki).

  • Seclion Oy on Suomen johtava turvallisuuteen erikoistunut asiantuntijayritys. Tuotamme ainoastaan erityisosaamista vaativia suunnittelu- ja konsultointipalveluita, jonka vuoksi voimme tarjota asiakkaillemme aidosti puolueettomia ja alan toimijoista riippumattomia turvallisuusasiantuntijoita.

    Tutustu asiakkaidemme kokemuksiin palveluistamme täällä.