Isännöinti & hallitus
kita-LAKI
Henkilötietojen käsittely asunto-osakeyhtiössä
kita-LAKI by Rasmus Kanerva
Tietosuojalainsäädäntö on kehittynyt viime vuosien aikana vauhdilla. Kehityksen myötä henkilötietojen suoja ja tietosuojaoikeudet ovat parantuneet. Tämä on omalta osaltaan lisännyt myös taloyhtiöiden jokapäiväisiä velvollisuuksia henkilötietojen käsittelijänä.
VUONNA 2018 kaikissa EU-maissa alettiin soveltamaan
yleistä tietosuoja-asetusta. Nyt muutamaa vuotta myöhemmin
asetuksen konkreettiset vaikutukset alkavat näkyä: kansalaisten
tietoisuus tietosuojaan liittyvistä oikeuksista mutta myös velvollisuuksista
on lisääntynyt huimasti. Asunto-osakeyhtiöissä
henkilötietojen kerääminen erilaisia käyttötarkoituksia varten
on aina ollut arkipäivää. Aikaisemmin asunto-osakeyhtiöllä
on esimerkiksi ollut lakiin perustuva velvollisuus ylläpitää osakeluetteloa,
joka sisältää osakkaiden henkilötietoja. Nyttemmin
taloyhtiön pitämistä osakeluetteloista on alettu siirtymään
Maanmittauslaitoksen sähköiseen huoneistotietojärjestelmään,
vaikkakin vain harva taloyhtiö on siirron tehnyt. Aikaraja siirron
tekemiselle on tällä hetkellä vuoden 2023 loppuun mennessä.
Osakeluettelon ylläpitäminen ei ole kuitenkaan ainoa
tilanne, jossa taloyhtiön on otettava tietosuojalainsäädäntö
huomioon.
Mitä henkilötiedot ovat?
Henkilötiedon käsite on nykyään laaja. Sillä tarkoitetaan käytännössä
kaikkia niitä tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ei ole lueteltu
tyhjentävästi laissa, vaan mikä tahansa tieto voidaan katsoa
henkilötiedoksi, mikäli sen perusteella yksittäinen henkilö
voidaan tunnistaa joko suoraan tai välillisesti eli yhdistämällä
eri lähteistä saatavia tietoja. Myös taloyhtiöt keräävät henkilötietoja
eri muodoissa. Taloyhtiö kerää henkilötietoja aina kun
se vastaanottaa tietoja, joista asukas on tunnistettavissa. Tällaisia
tilanteita ovat vaikkapa, kun avainten luovutuksista tehdään
lista. Kun taloyhtiö kerää henkilötietoja, muodostuu henkilörekistereitä,
joista taloyhtiö on vastuussa rekisterinpitäjänä.
Rekisterinpitäjänä taloyhtiöllä on velvollisuus informoida asukkaille
millä perusteella henkilötietoja kerätään ja mihin tarkoitukseen
niitä käytetään. Yksinkertainen tapa informointiin on
tietosuojaselosteen julkaiseminen taloyhtiön omilla nettisivuilla
taikka porraskäytävässä.
Tallentava kameravalvonta - tyyppiesimerkki henkilötietojen keräämisestä
Tallentavan kameravalvonnan kautta saatu ääni- ja kuvamateriaalit
ovat henkilötietoja. Taloyhtiöön asennettava kameravalvonta
on usein siinä määrin epätavallinen hankinta, että
päätös siitä on suositeltava tehdä yhtiökokouksessa enemmistöpäätöksellä.
Sillä, mihin kameravalvonta on asennettu taloyhtiössä
ei ole merkitystä arvioidessa taloyhtiön tietosuojalainsäädäntöön
perustuvia velvollisuuksia. Kun kameravalvonnassa
tallentuu ääni- ja kuvamateriaalia, muodostavat ne
henkilörekisterejä. Taloyhtiöstä taas tulee näistä henkilörekistereistä
vastaava rekisterinpitäjä. Henkilörekisteri syntyy silloinkin,
kun materiaali on tallennettuna vain lyhyen ajan. Toisaalta,
jos kameravalvonta ei tallenna materiaalia, ei henkilörekisteriä
myöskään synny.
Rekisterinpitäjänä taloyhtiö määrittää mihin tarkoituksiin
ja millä keinoin henkilötietoja käsitellään. Kameravalvonta on
mahdollista ainoastaan, jos se on yleisesti arvioiden välttämätöntä
etukäteen määritellyn rekisterinpitäjälle kuuluvan tehtävän
suorittamiseksi. Aina ennen kameravalvonnan käyttöönottoa
tulee miettiä, onko olemassa muita vähemmän yksityisyyttä
loukkaavia keinoja, joilla sama tulos saavutetaan.
Perusteltuna syynä voidaan pitää esimerkiksi ilkivallan estämistä
taloyhtiön alueella. Tällöin materiaalia voidaankin käyttää
vain nimenomaiseen tarkoitukseen.
Listat ja taulut tarkkailun alla
Taloyhtiöiden yleisissä tiloissa on usein näkyvillä erilaisia listoja
sekä nimitauluja. Nimitaulut eivät vakiintuneen tulkinnan
mukaan muodosta henkilörekisteriä ja joissain kunnissa rakennusjärjestyksen
määräykset jopa velvoittavat niiden pitämiseen
rappukäytävässä. Muiden listojen osalta arviointi ei ole
yhtä selkeä: esimerkiksi saunan tai pesutuvan varauslista voi
muodostaa henkilörekisterin. Taloyhtiön johdon on harkittava
tarkkaan, minkälaisella tarkkuudella tietoja merkitään tällaisiin
listoihin. Tietojen minimoinnin periaatteen mukaisesti nimen
ja asunnon numeron kirjoittaminen sijasta tällaisessa listassa
on suositeltavaa käyttää ilmaisua varattu tai kirjata pelkkä
asunnon numero. Tällaiset listat tulee myös hävittää asianmukaisesti,
kun niille ei ole enää käyttöä.
Taloyhtiön vastuu eteenpäin luovutetuista henkilötiedoista
Joissain tilanteissa taloyhtiö voi joutua luovuttamaan henkilötietoja
eteenpäin. Tällainen tilanne voi olla esimerkiksi taloyhtiössä
suoritettavan remontin yhteydessä, jossa urakoitsija
on luvannut vastata viestinnästä. Viestintää varten urakoitsija
tarvitsee osakkaiden puhelinnumerot tai sähköpostit, jotka
ovat tietosuojalainsäädännön mukaisia henkilötietoja. Tietoja
ei voida luovuttaa urakoitsijalle vapaasti, vaan taloyhtiön on
varmistettava, että urakoitsija huolehtii henkilötiedoista tietosuojalainsäädännön
edellyttämällä tavalla. Tämä tapahtuu tyypillisesti
sopimalla asiasta kirjallisesti. Mikäli urakoitsija joutuu
luovuttamaan tietoja vielä eteenpäin, esimerkiksi aliurakoitsijalle,
vastaa urakoitsija siitä, että samoja periaatteita noudatetaan
myös aliurakoitsijan toiminnassa. Taloyhtiön tulisi aina
sopia, että urakoitsija huolehtii tietojen asianmukaisesta hävittämisestä
sen jälkeen, kun tietoja ei enää tarvita niiden alkuperäiseen
tarkoitukseen.
Henkilötietojen käsittely käytännössä
Tyypillisesti isännöitsijä huolehtii sopimukseen perustuen henkilötietojen
käsittelemisestä taloyhtiössä. Henkilötietoja tulee
käsitellä asianmukaisesti ja rekisteröidyn, eli sen ketä henkilötieto
koskee, tietosuoja huomioon ottaen. Henkilötietoja sisältävät
dokumentit ja muu materiaali on säilytettävä turvallisesti,
esimerkiksi lukitussa tilassa, johon kaikilla ei ole pääsyä.
Henkilötiedot voidaan tottakai säilyttää myös sähköisessä
muodossa, esimerkiksi pilvipalvelussa. Tiedot pidetään luonnollisesti
myös salassa ja niitä käytetään ainoastaan ennakolta
määritettyyn tarkoitukseen. Taloyhtiön on arvioitava,
kuinka kauan on tarpeellista säilyttää henkilötietoja. Jos kyse
on esimerkiksi kameravalvonnasta, joka on asennettu ilkivallan
ehkäisemiseksi, tallennettu materiaali tulisi poistaa muutaman
päivän kuluessa kuvaamisesta. Jos ilkivaltaa on tapahtunut,
vauriot huomataan tavallisesti 1–2 päivän kuluessa ja
siten pidempi säilytysaika ei ole perusteltu. Myös laki asettaa
velvollisuuksia tiettyjen henkilörekisterien säilytysajan suhteen:
vanhojen osakkaiden tietoja säilytetään osakeluettelossa
asunto-osakeyhtiölain mukaisesti 10 vuotta siitä, kun uusi osakas
on merkitty. Remonttirekisterin sisältävät henkilötiedot taas
säilytetään koko yhtiön olemassaolon ajan.
Mikäli taloyhtiön tietosuojakysymykset aiheuttavat päänvaivaa,
ota rohkeasti yhteyttä meihin, Asianajotoimisto Kuhanen,
Asikainen & Kanervaan. Olemme johtava kiinteistöalan
juridiikkaan erikoistunut asianajotoimisto. Tuemme asunto- ja
kiinteistöosakeyhtiöitä, kiinteistöalan yrityksiä, yhteisöjä ja
säätiöitä sekä yksityishenkilöitä kaikissa oikeudellista asiantuntemusta
vaativissa tilanteissa. Toimistomme sijaitsevat Helsingissä
sekä Tampereella, mutta palvelemme maan laajuisesti.
Rasmus Kanerva
Lakimies, OTM
Asianajotoimisto Kuhanen, Asikainen & Kanerva Oy
www.kak-laki.fi
Julkaistu: 02/2021