Asumisen tuottamaa dataa pitää käsitellä huolellisesti ja käyttää harkiten. Niin asuntojen lämpötilatiedon keruu kuin lakisääteisen osakeluettelon ylläpito ovat henkilötietojen käsittelyä, jota säätelee GDPR-tietosuoja-asetus.

Vuonna 2018 voimaan tullut EU:n tietosuoja-asetus GDPR on saanut monet taloyhtiön hallituksen varpailleen. Onko talomme asukasluettelokin asetuksen tarkoittamaa henkilötietoa, josta pitää laatia rekisteriseloste ja kertoa asukkaille? On se, vahvistaa asianajaja Kukka Tommila Properta Asianajotoimisto Oy:stä. Asukasluettelo tai saunavuorojen varauskalenteri ovat tietoja, jotka ovat yhdistettävissä tiettyyn henkilöön. Asetus säätelee kaiken tällaisen tiedon keruuta, olipa kyse yrityksestä, taloyhtiöstä tai yhdistyksestä.

Immateriaalioikeuksiin erikoistunut Tommila toimii Ilmastoviisaat taloyhtiöt -hankkeen asiantuntijana juridisissa kysymyksissä. Hankkeen pilottitaloyhtiöissä asunnoista kerätään mittausdataa, jonka avulla leikataan talojen energiahukkaa. Myös asuntojen lämpötila-, hiilidioksidipitoisuus ja kosteustieto on henkilötietoa, muistuttaa Tommila.

“Koska tieto voidaan asukasluettelon avulla yhdistää asukkaisiin, myös tällaisesta teknisestä mittausdatasta tulee henkilötietoa.”

Joka taloyhtiön velvollisuus

Ennen GDPR:n voimaantuloa julkisuudessa esiintyi uhkakuvia jättisakoista, jos henkilörekisterit eivät ole asetuksen mukaisessa kunnossa. Tommilan mukaan sanktioista ei tässä vaiheessa kannata olla huolissaan. Kansalaisten oikeuksia henkilötietojen käsittelyssä valvovan tietosuojavaltuutetun linja ei tietosuoja-asetuksen alkumetreillä ole ollut erityisen tiukka.

“Ensin kehotetaan korjaamaan toimintaa”, Tommila toteaa.

On kuitenkin muutama asia, jotka Suomen jokaisessa taloyhtiössä pitää miettiä läpi.

“Jokaisen taloyhtiön olisi jo pitänyt tehdä rekisteriseloste henkilötietojen käsittelystä”, Kukka Tommila kertoo.

Hän esittelee omalle taloyhtiölleen laatimaansa rekisteriselostetta, joka kertoo selkokielisesti mitä tietoja taloyhtiössä kerätään, mihin niitä käytetään, ja miten pitkään tietoja säilytetään.

“Osakeluettelon ja remonttirekisterin ylläpito ovat lakisääteisiä velvollisuuksia. Asukasluetteloa taas tarvitaan käytännön asioiden hoitoon. Esimerkiksi vesimaksuja ei pystytä perimään, jos ei tiedetä ketkä talossa asuvat.”

Asukkaiden tietosuojasta huolehtiminen kannattaa aloittaa taloyhtiön hallituksen pohdinnalla siitä, mitä henkilötietoja tarvitaan yhtiön hallinnon hoitamiseen.

“Pitää ymmärtää mikä kaikki on henkilötietoa, kartoittaa yhtiöllä olevat henkilötiedot ja laatia tästä kirjallinen rekisteriseloste. Sen voi jakaa esimerkiksi yhtiökokouksessa. Näin kaikki ymmärtävät, mitä tietoja minusta taloyhtiöllä on, ja mihin niitä käytetään.”

Mallin selosteen tekemiseen saa esimerkiksi Isännöintiliiton sivuilta.

Ilmastoviisaat taloyhtiöt -pilottitaloissa kerättävä mittaustieto pitää sekin luonnollisesti mainita selosteessa.

“Rekisteriselosteeseen kirjataan, että taloyhtiössämme kerätään tällaista mittausdataa, ja kerrotaan mihin sitä käytetään.”

Yleinen uskomus on, että henkilötietojen kerääminen perustuu suostumukseen. Taloyhtiöissä asukkaan suostumusta tietojen keruuseen ei yleensä tarvita, sillä tiedonkeruun peruste on tietosuoja-asetuksen mainitsema ns. oikeutettu etu.

“Taloyhtiön hallituksen velvollisuus on huolehtia yhtiöstä ja sen kunnossapidosta. Jos tässä voidaan hyödyntää mittausdataa, on se laillinen peruste tiedon keräämiseen.”

Dataportaalilla oma data hyötykäyttöön

Ilmastoviisaat taloyhtiöt -hankkeen yhtenä tavoitteena on vauhdittaa taloyhtiöiden digiloikkaa. Taloyhtiöissä käsitellään paljon tietoa, korjaussuunnitelmista aina sähkönkulutustietoihin, mutta tiedot ovat hajallaan eri toimijoilla. Hankkeessa rakennettava dataportaali on alusta, jonka avulla asukkaat pääsevät itse hyödyntämään kerättyä dataansa ja luovuttamaan sitä kolmansien osapuolien käyttöön.

“Dataportaali on tietosuoja-asetuksen hengen mukainen lisäpalvelu”, Kukka Tommila kuvailee.

Tietosuoja-asetus antaa taloyhtiölle oikeuden kerätä ja analysoida tietoa itse, esimerkiksi talon kunnossapitoa varten. Portaalin avulla asukas voi sopia oman datansa käytöstä myös kolmansien osapuolien kanssa. Omalle datalle voi tilata vaikkapa erilaisia analyysipalveluja tai hälytyksiä, jos lämpötila tai kosteus ylittävät sallitut raja-arvot.

Dataportaali helpottaa sopimusruljanssin hoitoa, sillä asukas ei pystyisi luovuttamaan dataansa ilman taloyhtiön apua, mutta taloyhtiö ei taas saa sitä tehdä ilman asukkaan suostumusta. Dataportaali helpottaa myös oman datan tarkastelua.

“Tietosuoja-asetuksen perusteella ihmisillä on oikeus saada tietoonsa, mitä tietoja hänestä on kerätty”, Kukka Tommila kertoo.

Usein vastaus tietosuoja-asetuksen mukaiseen tietopyyntöön on pitkä paperituloste. Dataportaalista tiedot saa käsiinsä digitaalisessa muodossa ja reaaliaikaisesti.

Mitkä ovat asiantuntijan vinkit taloyhtiön hallitusten jäsenille, jos talon henkilötietojen käsittely ei vielä ole lainmukaisella tolalla? Aluksi pitää panna yhtiön henkilötietojen käsittelyn tietosuojaseloste kuntoon, neuvoo Tommila. Tietoja pitää myös säilyttää huolellisesti ja tietoturvallisesti – ja käyttää harkiten.

“Kunnossapito on laillinen peruste, uteliaisuuden tyydyttäminen tai naapureiden valvonta sen sijaan ei.”

 

GDPR:n keskeiset velvoitteet henkilötietojen käsittelijöille

• Tiedä, selvitä, järjestä ja tarvittaessa poista henkilötiedot
• Hahmota roolit ja vastuut
• Laadi kirjalliset asiakirjat tietojen käsittelystä
• Informoi rekisteröityjä tietojen käsittelystä
• Huolehdi tietoturvasta
• Sovi tarvittaessa tietojen käsittelystä alihankkijoiden kanssa
• Ilmoita ja dokumentoi, jos tietoturvaa on loukattu
• Huolehdi rekisteröityjen oikeuksista

Lähde: Asianajaja Kukka Tommila, Properta Asianajotoimisto Oy

Teksti: Petja Partanen
Kuva: Helsinki Marketing / Omar El Mrabt