Isännöintiliitto: väärinkäsityksiä EU:n tietosuoja-asetuksesta

Lisää valoa rekistereihin. Tietosuoja-asetus on yleinen henkilötietojen suojaa sääntelevä EU-määräys, joka koskee kaikkia yrityksiä ja yhteisöjä, jotka käsittelevät henkilötietoja. Kuva: Jaana Ahti-Virtanen

Tänään 25.5.2018 astuu voimaan EU:n yleinen tietosuoja-asetus (GDPR), joka koskee yritysten ja yhteisöjen ohella myös taloyhtiöitä. Liikkeellä on paljon väärinkäsityksiä asiasta, joista Isännöintiliitto kumoaa viisi yleisintä.

Väärinkäsitys 1: GDPR on isännöintiyrityksen keksimä turha palvelu, jota taloyhtiö ei tarvitse. Tietosuoja-asetus on yleinen henkilötietojen suojaa sääntelevä EU-määräys, joka koskee kaikkia yrityksiä ja yhteisöjä, jotka käsittelevät henkilötietoja. Tietosuoja-asetuksen tarkoituksena on tarkentaa ja yhtenäistää käytäntöjä henkilötietojen käsittelyssä. Asetuksen asettamat velvoitteet koskevat myös taloyhtiöitä.

Väärinkäsitys 2: Taloyhtiöissä ei ole valmistauduttu tietosuoja-asetukseen. Monet taloyhtiöiden hallitukset ovat heränneet asiaan viime tipassa. Isännöintialalla on kuitenkin valmistauduttu tietosuoja-aikaan jo usean kuukauden ajan. Isännöintiliiton tuoreen Yritysbarometrin mukaan toukokuun puolessa välissä jo yli 90 % isännöintityrityksistä oli laatinut tai laatimassa tietosuojaselosteet asiakastaloyhtiöiden henkilötietojen käsittelystä.

Väärinkäsitys 3: Taloyhtiöissä noudatetaan jo henkilötietolakia, joten GDPR ei tuo lisätöitä kenellekään. Uuden asetuksen myötä ns. näyttötaakka henkilötietojen oikeanlaisesta käsittelystä muuttuu nykyisestä: rekisteripitäjänä olevan taloyhtiön pitää pystyä osoittamaan, että se toimii asetuksen mukaisesti. Käytännössä osoitusvelvollisuus edellyttää henkilörekisterien ja käsittelyprosessien kirjaamista dokumentteihin. On kuvaavaa, että monien yritysmaailman rekisteripitäjien GDPR-työ on kestänyt helposti yli vuoden.  Asetuksen noudattamista aletaan todennäköisesti valvoa aiempaa tarkemmin, ja joka tapauksessa seuraukset ovat tuntuvat, jos taloyhtiö suhtautuu asiaan välinpitämättömästi. Taloyhtiön johdossa pitää siis tehdä entistä huolellisempaa tietosuojatyötä.

Väärinkäsitys 4: Taloyhtiön on pakko käyttää isännöinnin tarjoamaa GDPR-palvelua. Hallituksen vastuulla on huolehtia tietosuoja-asetuksen noudattamisesta taloyhtiössä. Taloyhtiön hallitus toimii rekisterinpitäjän edustajana eikä tätä vastuuta voi siirtää isännöinnille. Käytännön työtä hallituksen ei tarvitse tehdä itse, vaan sen voi sopimuksella siirtää isännöinnin tehtäväksi. Tähän työhön liittyviä vastuita ja velvoitteita ovat muun muassa dokumenttien laatiminen ja rekisteröityjen informointi. Jos hallitus ei ole tyytyväinen hankkimaansa isännöintiin, palveluista kannattaa neuvotella isännöintiyrityksen kanssa. Tarvittaessa voi pohtia, vastaako hankittu isännöintipalvelu taloyhtiön tarpeita.

Väärinkäsitys 5: Mitään tietoja ei saa jatkossa lähettää sähköpostilla. Kaikkien toimijoiden pitää arvioida henkilötietojen käsittelyyn sisältyvät riskit. Järjestelmien, kuten sähköpostin, kohdalla se tarkoittaa sitä, että valitaan sellainen tekninen palvelu, joka takaa riittävän tietoturvan. Esimerkiksi isännöitsijäntodistus sisältää henkilötietoja, ja henkilötietoja lähetettäessä on aina oltava erittäin huolellinen. Isännöitsijäntodistuksen saa kuitenkin lähettää sähköpostilla, mikä on käytännössä nopein ja tilaajaystävällisin tapa toimittaa todistus.