Tänään astuu voimaan EU:n yleinen tietosuoja-asetus (GDPR), joka koskee yritysten ja yhteisöjen ohella myös taloyhtiöitä. Liikkeellä on paljon väärää tietoa asiasta.
Väärinkäsitys 1: GDPR on isännöintiyrityksen keksimä turha palvelu, jota taloyhtiö ei tarvitse
Tietosuoja-asetus on yleinen henkilötietojen suojaa sääntelevä EU-määräys, joka koskee kaikkia yrityksiä ja yhteisöjä, jotka käsittelevät henkilötietoja. Tietosuoja-asetuksen tarkoituksena on tarkentaa ja yhtenäistää käytäntöjä henkilötietojen käsittelyssä. Asetuksen asettamat velvoitteet koskevat myös taloyhtiöitä.
Tietosuoja-asetus, kuten lait yleensäkään, ei anna suoria vastauksia taloyhtiöasumisessa vastaan tuleviin moninaisiin tilanteisiin, joissa henkilötietoja käsitellään. Näissä tilanteissa hallitukset kääntyvät usein isännöinnin puoleen, jonka tehtävänä on tietää tai etsiä vastauksia näihin tulkintakysymyksiin.
Väärinkäsitys 2: Taloyhtiöissä ei ole valmistauduttu tietosuoja-asetukseen
Monet taloyhtiöiden hallitukset ovat heränneet asiaan viime tipassa. Isännöintialalla on kuitenkin valmistauduttu tietosuoja-aikaan jo usean kuukauden ajan. Isännöintiliiton tuoreen Yritysbarometrin mukaan toukokuun puolessa välissä jo yli 90 % isännöintityrityksistä oli laatinut tai laatimassa tietosuojaselosteet asiakastaloyhtiöiden henkilötietojen käsittelystä.
Lakiasiantuntijat ovat saaneet jäseniltä viikoittain lukuisia yhteydenottoja, jotka liittyvät henkilötietojen käsittelyn mukauttamiseen GDPR-aikaan. Neuvontapuheluiden perusteella voi todeta, että tietosuoja-asetukseen liittyviä käytäntöjä on luotu isännöintiyrityksissä aikataulussa.
Isännöintiliiton jäsenpalvelussa GDPR on ollut eniten käytetty hakusana. Myös koulutukset ovat olleet suosittuja: helmikuussa kevään pääkoulutuksessa oli paikalla 140 isännöintiyrityksen edustajaa.
Väärinkäsitys 3: Taloyhtiöissä noudatetaan jo henkilötietolakia, joten GDPR ei tuo lisätöitä kenellekään
Uuden asetuksen myötä ns. näyttötaakka henkilötietojen oikeanlaisesta käsittelystä muuttuu nykyisestä: rekisteripitäjänä olevan taloyhtiön pitää pystyä osoittamaan, että se toimii asetuksen mukaisesti. Käytännössä osoitusvelvollisuus edellyttää henkilörekisterien ja käsittelyprosessien kirjaamista dokumentteihin. On kuvaavaa, että monien yritysmaailman rekisteripitäjien GDPR-työ on kestänyt helposti yli vuoden.
Asetuksen noudattamista aletaan todennäköisesti valvoa aiempaa tarkemmin, ja joka tapauksessa seuraukset ovat tuntuvat, jos taloyhtiö suhteutuu asiaan välinpitämättömästi. Taloyhtiön johdossa pitää siis tehdä entistä huolellisempaa tietosuojatyötä.
Käytännössä isännöinti huolehtii:
- siitä, että osakkaat ja asukkaat tietävät, miten taloyhtiössä käsitellään henkilötietoja eli laatii tietosuojaselosteen ja huolehtii sen jakamisesta taloyhtiön viestintäkanavissa
- osakkaiden ja asukkaiden oikeuksien, kuten omien henkilötietojen tarkastusoikeuden, toteuttamisesta
- taloyhtiön ja sen henkilötietoja käsittelevien sopimuskumppaneiden, kuten huoltoyhtiön tai turvapalveluyrityksen, välisten sopimusten laittamisesta GDPR-kuntoon esimerkiksi laatimalla sopimusliite
- osakkaiden ja asukkaiden henkilötietojen säilytysaikojen määrittämisestä ja tarpeettomien tietojen poistamisesta
- siitä, että hallitus pysyy ajan tasalla, jos ja kun taloyhtiön toimintaan tai asetukseen tulee muutoksia.
Väärinkäsitys 4: Taloyhtiön on pakko käyttää isännöinnin tarjoamaa GDPR-palvelua
Hallituksen vastuulla on huolehtia tietosuoja-asetuksen noudattamisesta taloyhtiössä. Taloyhtiön hallitus toimii rekisterinpitäjän edustajana eikä tätä vastuuta voi siirtää isännöinnille. Käytännön työtä hallituksen ei tarvitse tehdä itse, vaan sen voi sopimuksella siirtää isännöinnin tehtäväksi. Tähän työhön liittyviä vastuita ja velvoitteita ovat muun muassa dokumenttien laatiminen ja rekisteröityjen informointi.
Jos hallitus ei ole tyytyväinen hankkimaansa isännöintiin, palveluista kannattaa neuvotella isännöintiyrityksen kanssa. Tarvittaessa voi pohtia, vastaako hankittu isännöintipalvelu taloyhtiön tarpeita.
Väärinkäsitys 5: Mitään tietoja ei saa jatkossa lähettää sähköpostilla
Kaikkien toimijoiden pitää arvioida henkilötietojen käsittelyyn sisältyvät riskit. Järjestelmien, kuten sähköpostin, kohdalla se tarkoittaa sitä, että valitaan sellainen tekninen palvelu, joka takaa riittävän tietoturvan.
Esimerkiksi isännöitsijäntodistus sisältää henkilötietoja, ja henkilötietoja lähetettäessä on aina oltava erittäin huolellinen. Isännöitsijäntodistuksen saa kuitenkin lähettää sähköpostilla, mikä on käytännössä nopein ja tilaajaystävällisin tapa toimittaa todistus.
Lisätietoja:
Jaana Sallmén, lakiasiantuntija, Isännöintiliitto
jaana.sallmen@isannointiliitto.fi
Tommi Leppänen, lakiasiantuntija, Isännöintiliitto
tommi.leppanen@isannointiliitto.fi
Artikkeli 5 väärinkäsitystä tuoreesta tietosuoja-asetuksesta taloyhtiöissä julkaistiin ensimmäisen kerran Isännöintiliitto.