EU:n tietosuoja-asetukseen reagoimisen deadline lähestyy. Ensi toukokuuhun mennessä jokaisen henkilötietoja toiminnassaan käsittelevän organisaation – myös isännöintiyrityksen – tulee täyttää tietosuoja-asetuksen eli GDPR:n vaatimukset.

Johdolla on vastuu siitä, että yritys toimii henkilötietojen käsittelyssä voimassaolevien määräysten mukaisesti. Pykäliä noudattamalla vältetään ennen kaikkea sanktiot, jotka tietosuoja-asetuksen rikkomisesta ovat tuntuvat. Suurin hyöty henkilötietojen oikeaoppisessa käsittelyssä tulee kuitenkin siitä, että samalla vaikutetaan positiivisesti isännöintiyrityksen toimintakulttuuriin sekä vältetään asiakkaiden henkilötietojen käsittelyvirheet. Huolimattomuus henkilötietojen käsittelyssä voi aiheuttaa yritykselle ikävää julkisuutta ja taloudellisia korvausvastuita.

Isännöintiyrityksellä on henkilötietojen käsittelyssä kaksoisrooli: yhtäältä se on rekisterinpitäjänä omien henkilö- ja asiakasrekistereidensä osalta, toisaalta se on käsittelijänä asiakastaloyhtiöidensä rekistereiden osalta. Siksi tietosuoja-asetuksen haltuunotto on isännöinnissä syytä jakaa kahteen osaan, ja miettiä molemmat osa-alueet erikseen. Kun isännöintiyrityksen tietosuojaharjoitus on tehty, on myös asiakastaloyhtiöiden henkilötietojen käsittelyn prosessit jo hyvällä mallilla. Taloyhtiökohtaiselta tarkastelulta ei voi harjoituksessa välttyä – hyvällä työnantajan ohjeistuksella isännöitsijät pystyvät yhtiökokouskiireidenkin keskellä tekemään oman osuutensa harjoituksesta.

Tietojen keruu perusteltava

Rekisterinpitäjän näkökulmasta merkittävin muutos on, että jatkossa tietosuoja-asetuksen noudattaminen pitää pystyä osoittamaan. Osoitusvelvollisuus edellyttää isännöintiyrityksen omien ja sen hoitamien taloyhtiöiden henkilörekistereiden ja niissä olevien henkilötietojen asetuksenmukaisen käytön dokumentointia. Miksi tietoja kerätään? Mitä tietoja kerätään ja mihin niitä saa käyttää? Miten on huolehdittu tietoturvasta? Miten toimintaa pitää muuttaa tietosuoja-asetuksen takia? Osoitusvelvollisuus tarkoittaa pitkälti samaa kuin käännetty todistustakka, joka on tuttu esimerkiksi asunto-osakeyhtiölain isännöitsijän vastuuta koskevista vahingonkorvaussäännöksistä: vastuusta vapautuakseen pitää näyttää huolellinen, tietosuoja-asetusmielessä oikeanlainen toiminta toteen.

Rekisterinpitäjän toiminnan mukauttamista GDPR-asetusaikaan ja sen dokumentointia voi verrata taloyhtiömaailmasta tuttuun nykymuotoiseen pelastussuunnitelman laatimiseen. Vanhan pelastuslain aikaan riitti, että täytti valmiin lomakkeen ruksimalla rasteja ruutuihin ja täydentämällä yhteystietokohdat, nykyisin täytyy aidosti arvioida kiinteistön vaaranpaikkoja ja turvallisuuden kehityskohteita. Toiminnan mukauttaminen tietosuoja-asetusta vastaavaksi edellyttää samanlaista ajattelua. Henkilötietojen käsittely täytyy ottaa isännöintiyrityksessä kokonaisvaltaisesti haltuun.

Tutustu myös Isännöintiliiton GDPR-sivustoon, johon on koottu usein kysyttyjä kysymysiä tietosuoja-asetuksesta.
Tietosuoja-asetuksen käytännön kokemuksia käsitellään Isännöintipäivillä 12.-13.9.2018. Ilmoittaudu mukaan!