EU:n uusi tietosuoja-asetus (GDPR) astuu voimaan huomenna 25.5.2018. Uudistuksen kynnyksellä olemme saaneet jäsenistöstämme kysymyksiä etenkin huoltoyhtiön ja taloyhtiön välisiin sopimuksiin liittyen. Tässä viime hetken käytännön vinkit asetukseen varauduttaessa.

Tietosuoja-asetus on saanut paljon huomiota, mutta juridisesta näkökulmasta muutokset eivät ole kovin merkittäviä. Esimerkiksi rekisteriselosteen laatiminen henkilötietoja kerättäessä on ollut pakollista tähänkin mennessä. Tietosuoja-asetuksen perimmäisenä lähtökohtana on kuitenkin se, että jokainen yritys, joka kerää ja käsittelee henkilötietoja, ymmärtää asetuksen velvoitteet ja toimii niiden mukaan.

Tietosuojaseloste

Uudessa asetuksessa rekisteriselosteen (jatkossa tietosuojaseloste) osalta muutos liittyy henkilön oikeuksiin saada tietää, mitä tietoja hänestä on kerätty ja oikeuteen vaatia tietojen muuttamista tai kokonaan poistamista.

Tietosuojaselosteessa on kerrottava mm.
1) kuka on rekisterinpitäjä,
2) mitä henkilötietoja rekisteri sisältää,
3) miten ja mitä tarkoitusta varten tietoja kerätään,
4) kenelle tietoja mahdollisesti luovutetaan,
5) kauanko tietoja säilytetään ja milloin tiedot poistetaan,
6) kenellä on pääsy rekisterin tietoihin ja kuka tietoja käsittelee sekä
7) miten rekisterin tekninen toteutus ja tietosuoja on hoidettu.

Selosteen laadinnassa olennaista on siis tunnistaa eri osapuolten roolit (rekisterinpitäjä, käsittelijä) ja niistä seuraavat velvoitteet.

Rekisterinpitäjän tehtävänä on huolehtia, että henkilötietojen käsittelijät ja muut, joilla on oikeus päästä rekisteriin, ymmärtävät että kyse on henkilötiedoista, ja että tietojen käsittelyssä on huomioitava tietosuoja-asetuksen säännökset. Käsittelyllä tarkoitetaan rekisteritietojen keräämistä, päivittämistä ja muuttamista sekä poistamista.

Henkilötietojen käsittelyn ulkoistaminen

On myös huomioitava, että asetuksen 28 artiklan mukaisesta henkilötietojen käsittelyn ulkoistamisesta tulee laatia kirjallinen sopimus. Mikä sitten on henkilötietojen käsittelyn ulkoistamista? Asiaa on helppo havainnollistaa käytännön esimerkein.

Kun esimerkiksi taloyhtiö ulkoistaa asukasrekisterin käsittelyn huoltoyhtiölle tai isännöintitoimistolle, tällöin huoltoyhtiö tai isännöintitoimisto käsittelee rekisteritietoja taloyhtiön lukuun. Taloyhtiö on siis esimerkissä rekisterinpitäjä ja huoltoyhtiö tai isännöintiyritys käsittelijä. Tällaisissa tilanteissa tulee siis laatia kirjallinen sopimus osapuolten välillä henkilötietojen käsittelystä.

Vastaavanlainen tilanne syntyy, kun esimerkiksi huoltoyhtiö ulkoistaa oman talous- ja palkkahallintonsa tilitoimistolle. Tällöin tilitoimistolla on pääsy huoltoyhtiön palkkahallinto-ohjelmaan, joka muodostaa henkilörekisterin. Tilitoimisto on näin ollen käsittelijä, joka käsittelee rekisterissä olevia henkilötietoja huoltoyhtiön eli rekisterinpitäjän lukuun ja tällöin huoltoyhtiön pitää tehdä kirjallinen sopimus tilitoimisto kanssa henkilötietojen käsittelystä huoltoyhtiön lukuun.

Jos sen sijaan tilitoimistolla on käytössä oma talous- ja palkkahallinto-ohjelma, jossa se hoitaa huoltoyhtiön talous- ja palkkahallintoa, silloin tuo kyseinen ohjelma muodostaa tilitoimistossa henkilörekisterin. Tilitoimisto on tässä tapauksessa rekisterinpitäjä ja huoltoyhtiö käsittelijä vain mikäli huoltoyhtiöllä on pääsy tilitoimiston ohjelmaan ja huoltoyhtiö käsittelee henkilötietoja ohjelmassa.

Entä mikä ei ole henkilötietojen käsittelyn ulkoistamista?

Kun esimerkiksi huoltoyhtiöllä on pääsy taloyhtiön ylläpitämään asukasrekisteriin ilman mahdollisuuksia tai oikeuksia tietojen käsittelyyn. Tällainen tilanne voisi toteutua vaikkapa huoltoyhtiön tarjoaman ovenavauspalvelun yhteydessä. Voidakseen avata oven asukkaalle huoltoyhtiö kyllä hyödyntää rekisterin tietoja – ja usein kaiketi asukkaan toimeksiannosta ja suostumuksella, mutta ei sillä tavalla kuten asetuksen 28 artiklassa tarkoitetaan. Tällöin ei ole kysymys henkilötietojen käsittelystä taloyhtiön lukuun.

Henkilötietojen käsittelyn ulkoistaminen ei toteudu myöskään tilanteessa, jossa esimerkiksi IT-alan yritys järjestelmän toimittajana tarjoaa asiakasyritykselle jonkun sähköisen järjestelmän, mutta ei itse käsittele järjestelmässä olevia/säilytettäviä tietoja. Tällöin ei tarvitse tehdä sopimusta järjestelmätoimittajan ja asiakasyrityksen välillä. Rekisterinpitäjänä on tällöin järjestelmän ostanut asiakasyritys, jonka tulee huolehtia rekisteriselosteen laatimisesta sekä siitä, että järjestelmätoimittaja huomioi toiminnassaan tietosuoja-asetuksen vaatimukset ja toimii niiden mukaisesti päästessään katsomaan järjestelmässä olevia henkilötietoja tarvittaessa.

Sopimukset ja rekisteriselosteet

Henkilötietojen käsittelyn ulkoistamista koskevat sopimukset sekä käsittelijää koskevat tietoturvaliitteet kannattaa tehdä yleispätevästi. Rekisteriseloste taas kannattaa laatia huolella. Tällä hetkellä näyttää siltä, että asetuksen 28 artiklan määräys henkilötietojen käsittelyn ulkoistamisesta on leviämässä sinne, minne sitä ei ole tarkoitettu. Suosittelemme, että tässä vaiheessa on hyvä pitää kiinni mahdollisimman tiukoista rajoista ulkoistamissopimusten osalta. Ei ole tarkoituksen mukaista, että sopimusten päivitysrumba leviää kaikkiin mahdollisiin tilanteisiin, vaan ainoastaan niihin, joissa aidosti henkilötietojen käsittely on ulkoistettu.

Tämä on tilanne tällä hetkellä. Jos asiassa syntyy uutta oikeuskäytäntöä myöhemmin, ohjeistusta ja toimintatapoja voidaan tarkentaa.

Pia Gramen

Pia Gramén,
Kiinteistötyönantajat ry:n toimitusjohtaja

Tutustu myös GDPR-linkkilistaamme jäsenextrassa.

Heräsikö lisäkysymyksiä? Kiinteistötyönantajat ry:n jäsenyrityksiä tietosuoja-asetukseen liittyvissä kysymyksissä neuvoo tj. Pia Gramén (ks. yhteystiedot).