Ajankohtaista
<< Palaa takaisin
27.3.2018
Ajankohtaista

EU:n yleinen tietosuoja-asetus GDPR ja kiinteistöyhtiö

Facebooktwitterlinkedin

Paljon puhuttu EU:n yleinen tietosuoja-asetus, GDPR on astunut voimaan ja sen soveltaminen alkaa 25.5.2018.

Uuden, kaikkia EU-maita sitovan lainsäädännön tavoitteena on parantaa henkilötietojen suojaa ja eri henkilörekistereihin rekisteröityjen oikeuksia.

 

Uudella lainsäädännöllä on vaikutuksia myös kiinteistöyhtiöiden arkeen, sillä kiinteistöyhtiöissä on tavallisesti useampia eri tasoisia henkilötietoja sisältäviä järjestelmiä ja listoja, jotka muodostavat henkilörekisterejä. Yleisen keskustelun ja aiheeseen liittyvän viestinnän perusteella yritykset ovat ottaneet asiasta ”koppia”, mutta onkohan asia työn alla esimerkiksi kiinteistöosakeyhtiöissä?

 

Mikä neuvoksi, jos kuulet vasta ensimmäistä kertaa GDPR:stä ja olet kiinteistöosakeyhtiön vastuuhenkilö?

Aikaa ei ole enää paljonkaan toukokuun loppuun, mutta asiaan rivakasti tarttumalla työt saadaan kyllä tehtyä. Alla stepit tietosuoja-asetuksen haltuunottoon:

 

1. Tutustu aiheeseen yleisellä tasolla. Lisätietoa mm. Tietosuojavaltuutetun toimiston nettisivuilta http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

 

2. Tunnista vastuullasi olevan kiinteistön henkilörekisterit. Yleisimmin henkilörekisteri muodostuu mm. seuraavissa järjestelmissä ja listoissa:

  • Avainkuittauslistat ja muut listat, joihin kerätään henkilötietoja (esimerkiksi nimi, puhelinnumero, rekisterinumero jne.)
  • Kulunvalvontajärjestelmä
  • Videovalvontajärjestelmä
  • Rikosilmoitinjärjestelmä, jos henkilökohtaiset koodit
  • Vierailijahallinta- / tilavarausjärjestelmä
  • Muut mahdolliset portaalit (esim. huoltokirjajärjestelmä)

3. Käy läpi järjestelmien ja listojen henkilötiedot ja mieti onko tarpeen kerätä ja säilyttää kaikkea nykyisen prosessin mukaista tietoa. Ole tarkkana siinä, että et jatkossa kerää enää tarpeettomia henkilötietoja kuten esimerkiksi osoitteita tai syntymäaikoja, jos siihen ei ole perustetta.

 

4. Laadi uuden lainsäädännön mukainen rekisteriseloste jokaisesta henkilörekisteristä erikseen, jos esimerkiksi tietojen kerääminen, käsittely ja säilytysaika poikkeavat toisistaan. Huomaa, että uuden lainsäädännön myötä henkilötietoja ei voida säilyttää ns. loputtomasti.

 

5. Mikäli joku palvelukumppanisi suorittaa henkilötietojen käsittelyä palvelutoimintansa yhteydessä, huolehdi, että teet asiasta henkilötietojen käsittelyä koskevan sopimuksen, missä kirjataan ylös osapuolien vastuut ja velvoitteet. Huomioi, että lähes 100 % tapauksissa kiinteistöyhtiö on rekisterinpitäjä ja palvelukumppani henkilötietojen käsittelijä, jolloin tietosuoja-asetuksen määräämät vastuut ovat kiinteistöyhtiöllä. Tästä huolimatta palvelukumppanin velvoitteet ja vastuut on syytä sopia kirjallisella sopimuksella.

 

6. Rekisterinpitäjän osoitusvelvollisuuden myötä GDPR:n haltuunotosta ja hyvien tietosuojakäytäntöjen ylläpitämisestä pitää olla dokumentaatio. Haltuunoton työvaiheista, henkilörekistereiden parissa työskentelevien perehdyttämisestä ja jatkuvasta prosessista pitää siis olla mustaa valkoisella. Kirjaa ylös siis turhaltakin tuntuvat asiat, millä voit osoittaa toteuttaneesi tietosuoja-asetuksen mukaiset velvoitteet ja käytännöt.

 

Mitä, jos ei ole aikaa ja resursseja?

Usein sanotaan, että ”pakko on paras motivaattori”. Lausahduksesta voi olla montaa mieltä, mutta täytyy kuitenkin muistuttaa, että lainsäätäjä on tehostanut sanaansa sanktioin. Tästä syystä emme missään nimessä suosittele jättämään GDPR:n velvoitteita hoitamatta, vaikka ylimääräistä aikaa ei tahtoisi löytyäkään. Huomioi myös, että et voi välttyä velvoitteiltasi ainoastaan päivittämällä jonkin teknisen järjestelmän uudempaan versioon.

 

Olemme omiin asiakkaisiimme yhteydessä GDPR:n aiheuttamista muutoksista keväällä 2018 ja konsultoimme mielellämme myös uusia asiakkaita aiheesta. Ota meihin yhteyttä, niin kerromme mielellämme lisää.

Aarno Ukskoski