• Etusivu
  • Osakas

Kuka vastaa asukkaiden tietosuojasta taloyhtiössä?

Sari Nieminen
Päivitetty 07.10.2025
GDPR taloyhtiössä 1920x1080

Henkilötietojen käsittely ulottuu yllättävän moniin arjen tilanteisiin – osakeluetteloista kameravalvontaan ja älymittareihin. (Kuva Schutterstock)

Taloyhtiöissä käsitellään yllättävän paljon asukkaiden henkilötietoja – useammin kuin moni tulee ajatelleeksi. Osakeluettelo, remonttirekisteri, kameravalvonta, älylukot ja vedenkulutusta seuraavat järjestelmät muodostavat kaikki omat rekisterinsä. Jokainen niistä kertoo jotakin yksittäisestä ihmisestä – joskus enemmän kuin pitäisi. Mutta kuka lopulta vastaa, jos tiedot vuotavat tai niitä käytetään väärin: hallitus, isännöitsijä vai palveluntarjoaja?

EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan kaikissa taloyhtiöissä, mutta sen rinnalla on voimassa Suomen kansallinen tietosuojalaki (1050/2018), joka täsmentää asetuksen soveltamista Suomessa. Lain mukaan rekisterinpitäjän – taloyhtiön – on huolehdittava siitä, että henkilötietojen käsittely täyttää sekä asetuksen että kansallisen lain vaatimukset. Henkilötietolaki ei ole enää voimassa, joten vanhoihin sen mukaisiin käytäntöihin ei voi tukeutua ilman, että ne on päivitetty GDPR:n mukaisiksi.

Tietosuoja-asetus määrittelee henkilötietojen käsittelyperusteet tyhjentävästi. Asetus tuo mukanaan lisää vastuita ja velvollisuuksia rekisterienpitäjille. Sitä vastoin rekisteröityjen oikeudet lisääntyvät. Rekisteröidyllä on oikeus muun muassa pyytää organisaatioilta tietoja omista henkilötiedoistaan ja niiden käytöstä sekä oikeus siirtää ja poistaa omia tietojaan.

Huomio

Huomio

FAKTA. Henkilötietoja ovat kaikki tiedot, jotka pystytään yhdistämään tiettyyn henkilöön. Myös tekninen mittausdata on henkilötietoa, jos sen on yhdistettävissä tiettyyn asukkaaseen, esimerkiksi tapauksessa, jossa asukasluettelon perusteella data on yhdistettävissä asunnossa asuviin.

Mitä tietoja minusta saa kerätä?

Taloyhtiö saa kerätä asukkaistaan vain asumisen hoidon kannalta tarpeellisia tietoja. Rekisteröidyn on tiedettävä, mitä tietoja hänestä kerätään, miksi ja mihin niitä käytetään.

Käytännössä tiedottaminen on helpointa silloin, kun henkilö muuttaa taloyhtiöön. Tarpeettomia tietoja ei saa kerätä, eikä olemassa olevaa dataa saa käyttää muihin tarkoituksiin kuin siihen, johon se on alun perin hankittu.

<p data-block-key="vsdja">Tietosuojan kannalta olennaista on tunnistaa, mitä tietoja taloyhtiö oikeasti tarvitsee ja miksi niitä kerätään. (Kuva Adobe Stock)</p>
Tietosuojan kannalta olennaista on tunnistaa, mitä tietoja taloyhtiö oikeasti tarvitsee ja miksi niitä kerätään. (Kuva Adobe Stock)
Huomio

Huomio

FAKTA. Keräämiseen ja kaikkeen käsittelyyn on oltava jokin laissa mainituista perusteista ja jokaiselle eri käsittelytavalle on oltava hyväksyttävä peruste. Vaikka laillisesti kerätystä datasta olisi analysoimalla mahdollista saada tarkempi kuva asukkaiden elämäntavoista ja käyttäytymisestä, ei taloyhtiöllä ole oikeutta sellaiseen.

Nykyiset laitteet keräävät monenlaista läsnäolotietoa. Saadaan selville, onko asunnossa joku paikalla, kuinka monta henkeä siellä on, mihin kellonaikaan käydään suihkussa, missä huoneissa oleskellaan. Nykyiset datankäsittelyohjelmat pystyvät mittausdatan perusteella tekemään hyvinkin tarkkoja analyysejä ihmisten elämästä.

Vaikka on laillista kerätä näitä tietoja esimerkiksi lämmitysjärjestelmien ohjaamiseen tai vesivahinkovuotojen paikantamiseen, tarkempaa analyysiä ja asukkaiden "kyttäämistä" sellaista ei missään tapauksessa saa tehdä. Tietoja saa käyttää vain ehdottoman välttämättömiin tarkoitusperiin, kertoo asianajaja Kukka Tommila, ilmastoviisaat taloyhtiöt -hankkeen luennolla.

Tietosuojaseloste ajan tasalle

Jokaisella taloyhtiöllä on oltava ajantasainen tietosuojaseloste. Siitä tulee ilmetä, mitä tietoja kerätään, miksi ja kuka niitä käsittelee.

Seloste on oltava asukkaiden nähtävillä ja sen tulee olla helposti ymmärrettävä. Yksi seloste riittää, kunhan siinä on koottuna tiedot kaikista taloyhtiön ylläpitämistä rekistereistä.

<p data-block-key="c17dy">Taloyhtiön hallitus vastaa viime kädessä siitä, että asukkaiden tiedot käsitellään turvallisesti ja lainmukaisesti. (Kuva Adobe Stock)</p>
Taloyhtiön hallitus vastaa viime kädessä siitä, että asukkaiden tiedot käsitellään turvallisesti ja lainmukaisesti. (Kuva Adobe Stock)

Rekisterinpitäjä, käsittelijä ja sopimukset

Taloyhtiö on useimmiten henkilötietojen rekisterinpitäjä, koska se päättää tietojen keräämisestä ja käyttötarkoituksesta. Isännöitsijä, huoltoyhtiö tai kameravalvontapalvelu toimii tällöin henkilötietojen käsittelijänä, joka käsittelee tietoja taloyhtiön lukuun.

Rekisterinpitäjän ja käsittelijän välinen suhde on aina sovittava kirjallisesti. Sopimuksen on sisällettävä vähintään ne ehdot, jotka EU:n tietosuoja-asetuksen artikla 28 edellyttää, kuten tietojen suojaaminen, luottamuksellisuus ja poistaminen toimeksiannon päättyessä.

Jos käsittelyä tekee useampi taho (esimerkiksi isännöintiyritys ja turvayhtiö), taloyhtiön hallituksen tulee varmistaa, että jokaisella on sopimuksellinen velvoite noudattaa tietosuojaa ja että vastuut on dokumentoitu.

Vaikutustenarviointi korkean riskin käsittelyistä

Jos taloyhtiö ottaa käyttöön järjestelmän, joka voi aiheuttaa korkean riskin yksityisyydelle – esimerkiksi laajamittaisen kameravalvonnan, kasvojentunnistuksen tai älyjärjestelmän, joka seuraa asumisen yksityiskohtia – on tehtävä vaikutustenarviointi (Data Protection Impact Assessment, DPIA).

Arviointi dokumentoi käsittelyn riskit ja sen, miten ne hallitaan. Tietosuojavaltuutetun toimiston verkkosivuilta löytyy mallipohjia ja ohjeita arvioinnin laatimiseen.

Huomio

Huomio

FAKTA. GDPR:n keskeisimmät perusteet:

  • Arvioi tiedonkeruun tarve ja laillisuus
  • Poista tarpeen vaatiessa henkilötiedot
  • Hahmota roolit ja vastuut
  • Laadi kirjalliset asiakirjat tietojen käsittelystä ja perusteista
  • Kerro rekisteröidyille tietojen käsittelystä
  • Huolehdi tietoturvasta
  • Huolehdi sopimuksista alihankkijoiden kanssa, jotka käsittelevät dataa
  • Ilmoita ja dokumentoi, jos tietoturvaa on loukattu
  • Huolehdi rekisteröityjen oikeuksista

Tietoturva ja säilytysajat

Tietosuoja ei toteudu ilman toimivaa tietoturvaa. Taloyhtiön on huolehdittava, että tiedot suojataan teknisin ja organisatorisin keinoin, esimerkiksi pääsynhallinnalla, salasanoilla, salauksella ja säännöllisillä varmuuskopioilla.

Lisäksi jokaiselle henkilörekisterille on määriteltävä tietojen säilytysaika. Kun tietoja ei enää tarvita, ne on poistettava tai anonymisoitava turvallisesti. Säilytysaikoja koskevat päätökset on myös dokumentoitava.

Tietojen siirto ja pilvipalvelut

Jos taloyhtiö käyttää ulkopuolisia palveluja, kuten pilvipohjaisia isännöintiohjelmistoja tai kameravalvontajärjestelmiä, on varmistettava, että palveluntarjoaja sijaitsee EU:n tai ETA:n alueella tai että tietojen siirrolle EU:n ulkopuolelle on käytössä EU:n hyväksymät suojatoimet (kuten vakiosopimuslausekkeet).

Taloyhtiön hallituksen vastuulla on varmistaa, että nämä ehdot täyttyvät ja että palveluntarjoaja antaa riittävät takuut tietoturvasta.

Sanktioita ja osoitusvelvollisuus

Taloyhtiön hallitus ja isännöitsijä vastaavat siitä, että henkilötiedot käsitellään lain ja asetusten mukaisesti. Viime kädessä vastuu on aina hallituksella.

Tietosuoja-asetuksen laiminlyönneistä voi seurata huomautuksia, määräyksiä tai hallinnollisia sanktioita. Yhtiön on pystyttävä osoittamaan, että se noudattaa asetusta – tämä on niin sanottu osoitusvelvollisuus.

Jos käsittely on jo GDPR:n ja tietosuojalain mukaista, lisätoimet liittyvät lähinnä dokumentointiin ja vastuukäytäntöjen varmistamiseen.

<p data-block-key="rd8hb">Tietosuoja ei ole vain asiakirja, vaan jatkuva prosessi, joka vaatii hallitukselta valppautta ja dokumentointia. (Kuva Adobe Stock)</p>
Tietosuoja ei ole vain asiakirja, vaan jatkuva prosessi, joka vaatii hallitukselta valppautta ja dokumentointia. (Kuva Adobe Stock)

Lisäksi on huomioitava, että henkilötietojen joutuessa vääriin käsiin tulee viranomaisille ilmoittaa asiasta mahdollisuuksien mukaan 72 tunnin kuluessa asian ilmitulosta. Tällaisia tilanteita voi tulla eteen muun muassa, jos tiedot tuhoutuvat tai päätyvät tietomurron kohteeksi.

Valvontaviranomainen ja seuraamukset

Tietosuojaa valvoo Suomessa Tietosuojavaltuutetun toimisto. Jos taloyhtiö laiminlyö tietosuojasäännökset, valvontaviranomainen voi antaa huomautuksia, määräyksiä tai hallinnollisia sakkoja.

Hallinnollinen sakko voi olla enintään 20 miljoonaa euroa tai 4 prosenttia toiminnan vuotuisesta liikevaihdosta, kuitenkin ottaen huomioon toiminnan luonne ja laajuus. Taloyhtiöiden kohdalla sanktiot määräytyvät käytännössä lievempinä ohjauksina tai huomautuksina.

Taloyhtiön hallitus on viime kädessä vastuussa siitä, että rekisteröityjen oikeudet toteutuvat ja tietoturvariskit hallitaan.

Huomio

Huomio

FAKTA. Taloyhtiöissä tyypillisin ja usein käyttökelpoisin käsittelyperuste on oikeutettu etu. Oikeutetun edun olemassaolo arvioidaan niin sanotulla tasapainotestillä, jossa rekisterinpitäjän tarvetta punnitaan rekisteröidyn perusoikeuksia vasten. Perusteen on oltava rekisterinpitäjän tai rekisteröidyn oma tarve. Taloyhtiöllä on oikeutettu etu kerätä sellaista tietoa, joka on tarpeen esimerkiksi kunnossapitovastuun täyttämiseksi. Kustannussäästöt ja ilmastoystävällisyys kelvannevat myös perusteiksi.

Miten turvallisin mielin?

Taloyhtiön on tunnistettava, mitä henkilötietoja se käsittelee, miksi ja millä perusteella. Turhia tietoja ei saa kerätä, ja säilytysaika on aina rajattava. Vanhentuneet tai tarpeettomat tiedot on poistettava huolellisesti.

Jos henkilötietojen käsittely ulkoistetaan – esimerkiksi kameravalvonnan, älylukkojen tai pilvipalvelun muodossa – palveluntarjoajan kanssa on tehtävä kirjallinen sopimus tietosuoja-asetuksen (GDPR artikla 28) mukaisesti. Taloyhtiö vastaa aina siitä, että sopimukset ja käytännöt ovat lainmukaisia, vaikka käytännön toteutus olisi muualla.

Tietosuojan hallinta ei ole yksittäinen dokumentti vaan jatkuva prosessi. Hallituksen kannattaa tarkistaa vuosittain, ovatko rekisterit ja tietoturvakäytännöt ajan tasalla – ja päivittää ne aina, jos järjestelmissä, isännöinnissä tai lainsäädännössä tapahtuu muutoksia.

Rekisteröidyn oikeudet käytännössä

Asukkaalla tai osakkaalla on oikeus saada tieto siitä, mitä hänestä on tallennettu, ja pyytää virheellisten tietojen oikaisua tai poistamista. Hän voi myös vastustaa tietojen käsittelyä, jos se perustuu oikeutettuun etuun, tai pyytää käsittelyn rajoittamista.

Taloyhtiön on vastattava pyyntöön ilman aiheetonta viivytystä – pääsääntöisesti kuukauden kuluessa. Näistä prosesseista on hyvä antaa käytännön ohje asukkaille esimerkiksi tietosuojaselosteen yhteydessä.

Huomio

Huomio

FAKTA. Jos asukas itse haluaa analyysejä omasta datastaan, asukkaiden tulee itse tilata sellaiset palveluntarjoajalta. Tällöin palveluntarjoaja käsittelee tietoja rekisteröidyn kanssa tehdyn sopimuksen mukaan. Taloyhtiö toimii asiassa mahdollistajana ja toimittaa mitatun datan palveluntarjoajalle rekisteröidyn puolesta ja suostumuksella. Tällaiset analyysit toimitetaan ainoastaan analyysin tilaajalle. Taloyhtiöllä ei ole perusteita saada tällaista tietoa.

Seuraa ohjeita ja käytä Tietosuojavaltuutetun materiaaleja

Tietosuoja ei ole kertaluonteinen tehtävä, vaan jatkuvaa huolellisuutta. Hallituksen kannattaa seurata Tietosuojavaltuutetun toimiston ohjeita ja varmistaa säännöllisesti, että yhtiön käytännöt ja sopimukset ovat ajan tasalla. Ajantasaiset ohjeet löytyvät osoitteesta tietosuoja.fi.

Fakta-osiot: asianajaja Kukka Tommila, Ilmastoviisaat taloyhtiöt -hanke luennot

Info

Info

Lue lisää aiheesta

Osakas
taloyhtiön hallitus
tietoturva
laki
määräykset
taloyhtiön hallinnointi
Kiinnostuitko? Tilaa ilmainen omataloyhtio.fi-uutiskirje:

Sinua voisi kiinnostaa myös:

Viikon kysymys: Voiko taloyhtiö periä muistisairaan aiheuttamat turhat palohälytyskulut?
Osakas
Viikon kysymys: Voiko taloyhtiö periä muistisairaan aiheuttamat turhat palohälytyskulut?
Osakekirjan kuolettaminen
Osakas
Osakekirjan kuolettaminen
Mitätön päätös
Osakas
Mitätön päätös
Taloyhtiön edustaminen: Kuka saa edustaa?
Osakas
Taloyhtiön edustaminen: Kuka saa edustaa?
Viikon kysymys: Oliko oikea päätös lähettää remonttilasku osakkaalle?
Osakas
Viikon kysymys: Oliko oikea päätös lähettää remonttilasku osakkaalle?
Viikon kysymys: Taloyhtiön hallussa olevien autopaikkojen jakaminen
Osakas
Viikon kysymys: Taloyhtiön hallussa olevien autopaikkojen jakaminen
Jäsenen esteellisyys ja sen vaikutukset päätöksentekoon
Osakas
Jäsenen esteellisyys ja sen vaikutukset päätöksentekoon
Taloyhtiön ylimääräinen yhtiökokous käytännössä
Osakas
Taloyhtiön ylimääräinen yhtiökokous käytännössä
Kenestä taloyhtiön turvallisuuspäällikkö ja mitä hän tekee käytännössä?
Osakas
Kenestä taloyhtiön turvallisuuspäällikkö ja mitä hän tekee käytännössä?
Vastikerästien perintä taloyhtiössä
Osakas
Vastikerästien perintä taloyhtiössä
Tilinpäätöksen rekisteröinti
Osakas
Tilinpäätöksen rekisteröinti
Kiinteistöjuristin puheenvuoro: Terve taloyhtiö ja hyvä hallinto
Osakas
Kiinteistöjuristin puheenvuoro: Terve taloyhtiö ja hyvä hallinto

Luetuimmat

skeleton
skeleton
skeleton
skeleton
skeleton
skeleton
skeleton

Uusimmat

skeleton
skeleton
skeleton
skeleton
skeleton
skeleton
skeleton
skeleton
skeleton
skeleton
skeleton
skeleton