Tietosuoja on päivittäisiä valintoja

SKH Isännöinnissä tietosuojaa mietitään joka kerta, kun isännöinnin tietojärjestelmiin tehdään taloyhtiötä koskeva kirjaus.

– Pyrimme maksimaaliseen avoimuuteen. Isännöinti ei voi toimia verhon takana silloin, kun käsittelemme muiden ihmisten rahoja, Juha Kulomäki sanoo.

Tietosuoja ei ole asia, jonka takia helsinkiläisen SKH Isännöinnin toimitusjohtaja Juha Kulomäki valvoisi öitään. Hän sanoo, että tietosuojan perusperiaatteet eivät ole muuttuneet, vain lainsäädäntö on kehittynyt.

– Samat periaatteet, jotka olivat ennen hyviä, ovat sitä myös nyt. Jos perusasiat on ymmärretty ja kunnossa, niin asia on selkeä ja helppo. Niin minä sen näen, Kulomäki sanoo.

GDPR eli General Data Protection Regulation (yleinen tietosuoja-asetus) sääntelee henkilötietojen käsittelyä. Sitä ryhdyttiin soveltamaan kaikissa EU-maissa keväällä 2018.

Asianajaja ja toimitusjohtaja Kai Haarma Asianajotoimisto Kuhanen, Asikainen & Kanervalta on kiertänyt kymmenissä isännöintiyrityksissä kertomassa, mitä tietosuojasta tulisi lain näkökulmasta ymmärtää. Hän sanoo, että laki on ollut voimassa vasta kolme vuotta, eivätkä kaikki sen tulkinnat ole vielä kiveen kirjoitettuja.

Haarman mukaan tietosuojan perusidea on oivaltaa, että henkilötiedoilla on arvoa ja merkitystä, eikä niihin tulisi suhtautua kevyesti. Yleinen väärinymmärrys on kuitenkin, että henkilötietojen käyttäminen olisi muuttunut vaaralliseksi tai vähintään ongelmalliseksi. Haarma painottaa, että tietosuoja-asetus ei ole tuonut mitään sellaista, joka rajoittaisi kiinteistöjen parissa tehtävää työtä.

– Tietosuojan tarkoitus on suojata ihmisten henkilötietoja, mutta ei estää käyttämästä niitä tavanomaiseen työhön, hän sanoo.

Tietosuojaa ei Haarman mukaan pidä pelätä senkään takia, että lain henki on lähinnä ohjaava ja neuvova. Sanktiot tulevat kuvioon silloin, kun kyse on tahallisesta tietojen väärinkäytöstä.

Yksityisyyden rajanveto vaatii tasapainottelua

Asuminen on Haarman mukaan Suomessa melkoisen julkista toimintaa. Esimerkiksi osakasluettelo on täysin julkinen asiakirja: kuka tahansa voi mennä isännöintiyrityksen toimistoon ja pyytää nähtäväkseen taloyhtiön osakeluettelon.

Asukasluettelo ei ole samalla tavalla julkinen. Kuitenkin Digi- ja väestötietovirastolla on osoitepalvelu, josta saa pyytämällä Suomessa asuvien ajantasaiset osoitteet. Vain silloin, jos henkilö on kieltänyt tietojen luovuttamisen tai hänelle on myönnetty turvakielto, tiedon saantia on rajoitettu. Myös perinteiset nimiluettelot rappukäytävässä ovat laillisia.

– Aivan eri asia on, kun isännöitsijä työssään saa tietää aidosti henkilökohtaisia asioita esimerkiksi häiriö- tai maksuvaikeustilanteissa, Haarma sanoo.

Hän ottaa esimerkiksi asunnossa tapahtuneen vesivahingon, joka johtui sairaskohtauksesta. Yhtiökokouksessa saatetaan ihmetellä, mitä tarkoittaa 20 000 euron kuluerä korjauksesta. Osakkaille pitää pystyä kertomaan, että huoneistossa B15 sattui sairaskohtaus, jonka takia vahinko syntyi. Yksityisyyden raja voi mennä esimerkiksi siinä, minkä tyyppinen sairaskohtaus oli kyseessä ja kuka sairaskohtauksen sai.

– Samoin kun ollaan taloyhtiön hallituksessa, pitää osata erottaa roolit: Tässä asemassa saamani tiedot eivät kuulu muille, vaikka olisi niin mukava kertoa meheviä tarinoita, Haarma sanoo.

Varmista sopimus ja sen tietosuojaliite

Tietosuojasta ja tietoturvasta puhutaan arkikielessä iloisesti sekaisin. Ne ovat kuitenkin kaksi eri asiaa.

Tietosuojavaltuutetun määrittelyn mukaan tietosuoja on perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Tietosuojan tarkoituksena on osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä. Henkilötietojen käsittelyyn on aina oltava jokin lain määrittelemä peruste, kuten oikeutettu etu tai henkilön suostumus.

Tietoturva taas on yksi tietosuojan toteuttamisen keino. Sen tarkoitus on suojata tietoaineisto ja tietojärjestelmät. Tietoturva tarkoittaa muun muassa organisatorisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen.

– Aina kun annamme taloyhtiön henkilötietoja jonkun muun käsiteltäväksi, esimerkiksi vartiointiliikkeelle tai huoltoyhtiölle, välissä on oltava sopimus: kirjallinen tietosuojaliite, jossa kerrotaan, miten tietoja saa ja pitää käsitellä. Siinä kuvaillaan, miten tietoja taltioidaan, kuka niitä pääsee katsomaan, mitä niillä tehdään, kuinka pitkään säilytetään ja niin edelleen, Haarma sanoo.

Jotta voisi varmistua, että tietosuojaliitteeseen kirjatut asiat myös todellisuudessa toimivat halutulla tavalla, tietosuoja-asetus antaa oikeuden auditointiin.

– Palveluntuottajan kanssa voi käydä määräajoin auditointikeskustelun, jossa selvitetään, miten tietoja oikeasti on käsitelty: missä tiedot ovat, kuka niihin pääsee käsiksi, miten ne on suojattu, tuhotaanko vanhoja tietoja ja niin poispäin, Haarma sanoo.

Tietosuoja pohdintaan joka kirjauksessa

SKH Isännöinnin Juha Kulomäki sanoo, että tietosuojalainsäädäntö on lisännyt osaamisvaatimuksia isännöintiyrityksessä. Kulomäen mukaan heillä ajattelu lähtee siitä, että jokaisen isännöintiyrityksen työntekijän täytyy ajatella olevansa julkaisija, jolla on julkaisijan vastuu.

– Kirjaamme taloyhtiöille tarinaa joka päivä, koko ajan. Jokaisen kirjauksen kohdalla pääsemme miettimään kirjauksen julkisuutta, Kulomäki sanoo.

Perjantaisin SKH Isännöinnin hoitamien taloyhtiöiden osakkaille lähtee kirje, johon on koottu isännöinnin eri järjestelmistä viikon aikana kerääntyneet taloyhtiön kirjaukset sen mukaan, miten niiden julkisuus on kirjaushetkellä määritelty.

– Siksi jokainen työntekijä pääsee miettimään joka kirjauksen kohdalla, mikä on tietosuojan taso, ja mille joukolle tämä voidaan julkaista. Tietenkin pyritään maksimaaliseen avoimuuteen, koska ei isännöinti voi toimia verhon takana silloin, kun käsittelemme muiden ihmisten rahoja. Julkisuuden määrittelee tietosuoja, Kulomäki sanoo.

Hänen mukaansa on vielä helppo muistaa, että  perjantaikirjeeseen eivät kuulu ihmisten puhelinnumerot eivätkä sähköpostiosoitteet. Pohdintaa tarvitaan kuitenkin esimerkiksi silloin, kun kyse on osakkaiden ja asukkaiden henkilökohtaisen elämän puolelle läikkyvistä asioista.

– Esimerkiksi jos taloyhtiö laittaa osakkaan perintään, siitä ei kerrota. Häiriötilanteissa voidaan kertoa, että C13:sta raportoidaan häiriöistä, mutta ei sitä, kuka häiriöilmoituksen tekijä oli. Myöskään lisäavainten tilaamisesta ei kerrota, hän kertoo.

Taloyhtiön hallituksen jäsenillä on riviosakkaita laajempi oikeus tiedonsaantiin. Kulomäki sanoo, että esimerkissä, jossa sairauskohtaus aiheuttaa vesivahingon, hallituksen täytyy tietää vesivahingon syy siihen asti, kun sillä on taloyhtiön kannalta merkitystä. Hallitushan esimerkiksi asioi vakuutusyhtiön kanssa.

– Meiltä toimitetaan tietoa vain sähköisesti ja dokumentoidusti, koska pitää pystyä tarvittaessa osoittamaan, mitä on toimitettu ja miksi, Kulomäki sanoo.

Henkilörekistereitä ei voi välttää

Kulomäen mukaan on luonnollista, että isännöintiyrityksessä käsitellään henkilörekistereitä. Siitä on isännöintisopimuksen tietosuojaliitteessä kerrottu. Lisäksi monissa taloyhtiöissä käytetään rekisteriä kerääviä laitteita, kuten valvontakameroita ja lukitusjärjestelmiä.

– Ne eivät ole vaikea juttu, kunhan on tiedostettu, että rekisteri on, se kirjataan taloyhtiön tietosuojaliitteeseen, ja se on luotettavalla tavalla järjestetty siten, että siihen ei ole asiattomalla pääsyä. Monesti on tarpeellista järjestää niin, ettei isännöintikään sinne pääse. Ei meillä ole tarvetta katsella niitä, Kulomäki toteaa.

Hän sanoo suoraan, että ei menisi ostamaan kameravalvontaa pieneltä ja tuntemattomalta yritykseltä, jonka luotettavuudesta ei ole kokemusta.

– Yleinen huolellisuuden periaate ostamistilanteessa on järkevää, kuten taloyhtiöiden kohdalla aina. Taloyhtiön tehtävä on välttää riskejä ja tehdä asumisen palveluita. Siksi kannattaa ostaa vain luotettaviksi tiedetyiltä toimittajilta, hän miettii.

Lisäsuojaa sitä tarvitseville

Toisinaan SKH Isännöinnille on tullut vastaan osakkaita ja asukkaita, jotka tarvitsevat tavanomaista tietosuojaa tarkempaa yksityisyyttä.

– Jos henkilöllä on turvakielto, silloin hänestä ei käytännössä kerrota mitään. Silti voidaan kertoa, että huoneistossa B13 on hana rikki, koska sen korjaamiseen käytetään muiden rahaa. Mutta sitä ei kerrota, kuka huoneiston omistaa, Kulomäki sanoo.

Taloyhtiöiden osakkaat ja asukkaat voivat halutessaan merkitä tietoihinsa, että ovat julkisuuden henkilöitä.

– Heistä kerrotaan normaalia vähemmän esimerkiksi perjantaikirjeissä ja muissa tilanteissa, joissa rajaaminen on mahdollista, hän kertoo.

Kulomäki naurahtaa, että julkista osakeluetteloa kysyvät käytännössä vain Seiska-lehden toimittajat.

– Meiltä toimitetaan tietoa vain sähköisesti ja dokumentoidusti, koska pitää pystyä tarvittaessa osoittamaan, mitä on toimitettu ja miksi, hän kertoo.

Kulomäki sanoo, että isännöintiyrityksen tietosuojalinjaukset perustuvat lopulta valintaan siitä, halutaanko toimia mahdollisimman avoimesti.

– Jos valitsee avoimuuden, niin sitten pitää ymmärtää tietosuoja-asiat.

Teksti: Mari Schildt    Kuvat: Aleksi Poutanen

Lue myös:

Jäsenohje Mapissa: Tietosuoja-asetus isännöintiyrityksessä