25.5.2018 tuli voimaan EU:n yleinen tietosuoja-asetus, joka tunnetaan kirjainlyhenteellä GDPR, General Data Protection Regulation.
On erinomaisen ihmeellistä havaita, että GDPR on saanut eri tahot kummastelemaan tietosuoja-asioita ja havahtumaan niiden olemassaoloon vasta nyt, vaikka Suomessa on ollut voimassa kansallinen tietosuojalaki jo 20 vuotta, eikä laki ole sallinut aikaisemminkaan suhtautua ihmisten henkilötietojen hallussapitoon leväperäisesti taikka levitellä henkilötietoja avoimesti. Ehkä syynä on tietämättömyys aikaisemmasta, tai sitten se, että passiivisesta henkilötietojen varjelusta on siirrytty aktiiviseen henkilötietojen suojaamiseen asettamalla yrityksille toimintavelvoitteita.Ja nuo velvoitteet pakottavat toimimaan.
Tietosuoja-asetusta sovelletaan käytännössä aina, kun yksityisen ihmisen henkilötietoja käsitellään yrityksissä riippumatta siitä, tapahtuuko käsittely sähköisissä tietojärjestelmissä tai esimerkiksi manuaalisesti paperimuotoisesta asiakaskortistosta. Henkilötiedon määritelmä on asetuksessa laaja, mutta selkokielellä todettuna kyse on henkilötiedoista, jos niiden perusteella voidaan tietää tai saada selville, kenestä yksilöstä on kyse.
TIETOJA, joilla ihminen voidaan tunnistaa tietyksi henkilöksi ovat esimerkiksi nimet, henkilötunnukset, kännykän sijaintitiedot, verkkotunnistetiedot, hänelle tunnusomainen fyysinen, fysiologinen, geneettinen, psyykkinen, taloudellinen, kulttuurillinen ja sosiaalinen seikka. Henkilötietoja ovat nimenomaisesti ihmiseen liittyvät tiedot. Yrityksiä ja yhteisöjä koskevat tiedot eivät siis ole henkilötietoja, mutta yrityksessä toimivan henkilönnimi- ja muut henkilötiedot taas sitä ovat. Henkilötietoja ovat siten esimerkiksi myös valvontakameran tallenteet ja sähköisten ovikorttien jättämät kulkutiedot.
Myös asunto-osakeyhtiöt ovat tietosuoja-asetuksen piirissä, koska asuntoyhtiöt käsittelevät henkilötietoja toiminnassaan. Asunto-osakeyhtiöissä on hallituksen asiana saattaa yhtiön tilanne vastaamaan tietosuoja-asetusta. Asetus on luonut velvoitteen yhtiöille laatia kirjallisen tietosuojaselosteen, asukkaiden ja osakkaiden informointivelvoitteen, velvoitteen antaa rekisterissä olevalle henkilölle tämän pyynnöstä ja maksutta hänestä rekisterissä olevat yksityiskohtaiset tiedot. Se, että tiedonsaanti on sen pyytäjälle lähtökohtaisesti maksutonta, ei tarkoita sitä, etteikö isännöitsijä voisi periä maksua tästä silloin, kun isännöitsijä on tietojen antajana, kuten varmaan suurimmaksi osaksi tulee olemaan.
LISÄKSI merkittävänä velvoitteena ovat yhtiön hallussa olevien henkilötietojen ja -rekistereiden käyttämisen ulkoistamissopimukset niiden tahojen kanssa, jotka näitä tietoja käyttävät. Näitä asuntoyhtiön kannalta relevantteja tahoja ovat esimerkiksi isännöintitoimistot ja huoltoyhtiöt. Ulkoistamissopimukset on syytä laatia tarkasti ja asetuksen edellyttämällä tavalla. Ja vaikka asetus ei kaikkia sopimuskohtia määrittelekään, on asuntoyhtiöiden syytä ottaa sopimusehtoina sopimuksiin myös muut tärkeiksi yleisesti sopimuksissa havaitut seikat kuten esimerkiksi kustannusten jakautuminen ja vahingonkorvausvastuu.
Rekisterissä saa olla vain tietosuojaselosteen mukaisia henkilötietoja, ja vain toiminnan kannalta tarpeellisia ajantasaisia tietoja saa käsitellä. Yhtiöiden on syytä tarkistaa rekisterinsä, jotta siellä ei ole virheellisiä, vanhentuneita tai väärien henkilöiden henkilötietoja, sekä tarpeen mukaan päivitettävä rekisterinsä. Nähdäkseni asetuksessa määritellyt arkaluonteiset tiedot ja niiden tuomat lisävelvoitteet yrityksille eivät kuulu asuntoyhtiöiden hallussa pidettäviin tietoihin tai toiminnan piiriin. Mainittakoon, että henkilötunnus ei ole asetuksen tarkoittama arkaluonteinen tieto. Asetuksen mukaan arkaluonteisia tietoja ovat muun ohella etninen alkuperä, poliittiset mielipiteet, uskonnollinen suuntautuminen, ammattiliiton jäsenyys, terveyttä koskevat tiedot ja seksuaalinen suuntautuminen.
Jotta henkilötietoja saisi käsitellä ja pitää hallussa, on yhtiöllä oltava asetuksessa mainittu peruste tietojen käsittelyyn. Perusteita on asetuksessa kuusi, ja niistä pääsääntöisesti kaksi koskee asunto-osakeyhtiöitä. Asuntoyhtiöillä osakerekisterin ja remonttirekisterin ylläpito ja käyttö perustuvat asunto-osakeyhtiölaissa säädettyyn yhtiön lakisääteisiin velvoitteisiinja lisäksi yhtiöiden yleisesti ylläpitämän asukasrekisterin oikeutettuun etuun henkilön osakkuuden, jäsenyyden tai muun tällaisen liitynnän, kuten tässä yhteydessä esimerkiksi vuokralaisen asumisen perusteella. Rekisterit ja niissä olevat henkilötietojen lajit on muun ohella mainittava tietosuojaselosteessa.
ASETUKSEN noudattamista valvoo tietosuojavaltuutettu ja hänen toimistonsa, joka on tarkoitus muuttaa nimeltään tietosuojavirastoksi. Asetuksen noudattamatta jättäminen on sanktioitu: valvontaviranomaisella on oikeus määrätä hallinnollisia sakkoja sekä kieltää yritykseltä henkilötietojen käsittely väliaikaisesti tai pysyvästi. Hallinnollisen sakon määrä on riippuvainen rikotun velvoitteen laadusta, ja sakko on enimmillään 20 miljoonaa euroa tai 4 prosenttia yrityksen edeltävän tilikauden liikevaihdosta sen mukaan, kumpi on suurempi.
On selvää, että edellä kerrottu on saanut aikaan vipinää taloyhtiöissä. Tässä on nostettu esiin vain asetuksen pääkohtia ja pyritty selkeään asioiden esittämiseen, jotta viimeisimmätkin taloyhtiöt havahtuvat toimimaan.
Lopuksi on todettava, että helposti voidaan asetusta myös kritisoida ja miettiä, onko kyseinen EU:n tuoma sääntely meillä edes tarpeen vai aiheuttaako se vain uutta ja turhaa työtä ja toteutuuko se edes samalla tasolla koko EU:n alueella. Toisaalta ihmisten yksityisyyttä ja henkilöllisyyttä on suojattava alati teknistyvässä ja sähköistyvässä maailmassa.
Lakipostia-palstalla käsitellään asunto-osakeyhtiölakia ja sen tulkintaa koskevia asioita. Kysymyksiin vastaa asianajaja, varatuomari Pasi Orava Asianajotoimisto J. Rajamäki Oy:stä.
Aiheita voi lähettää osoitteeseen riina.takala-karppanen@rpt.fi tai postitse Riina Takala-Karppanen, Kiinteistöposti, Ruukinkuja 3, 02330 Espoo.
Kaikkiin viesteihin on liitettävä mukaan kysyjän yhteystiedot.