Mitä tarkoittaa GDPR ja vuokralaisten tietojen käsittely asunnon vuokrauksessa?

Uutisia aktiivisesti seuraavat kansalaiset törmäävät lähes päivittäin termiin GDPR, eli General Data Protection Regulation, Suomeksi Tietosuoja-asetus. Mikä se on, ja miksi se on olemassa?

Tiivistettynä, se on EU:n vuonna 2018 asettama asetus, jonka tavoite on se, että kansalaiset voivat hallita nettipalveluihin liittyviä tietoja paremmin. Asetuksen säännöt ovat samat kaikille EU:ssa toimiville yrityksille, riippumatta siitä mistä maasta yritys on kotoisin.

Suomessa asetuksen noudattamista valvoo Tietosuojavaltuutettu, joka löytyy osoitteesta tietosuoja.fi.

Sovelletaanko GDPR -asetusta asunnon vuokrauksessa?

Kyllä. Kaikki henkilötietoja ylläpitävät yritykset ovat velvollisia noudattamaan tietosuoja-asetuksen sääntöjä. Tämä tarkoittaa lähes kaikkia suomalaisia yrityksiä ja muita rekisterinpitäjiä, myös vuokranantajia.

Mitä ovat henkilötiedot

Henkilötietoja ovat esimerkiksi vuokralaisen nimi, sosiaaliturvatunnus, tiliotteet, palkkakuitit, yhteystiedot, vuokralaisen kanssa käymänne sähköpostikeskustelut ja uutiskirjeen tilaustiedot.

Mitä tietosuojaan liittyviä velvollisuuksia minulla on vuokranantajana?

Velvollisuuksia on sen verran paljon, että niiden noudattaminen edellyttää asiaan paneutumista, usein myös asiaan vihkiytyneen ammattilaisen apua: ilman teknistä osaamista esimerkiksi evästeiden hallintajärjestelmän asennus nettisivuille on lähes mahdoton tehtävä, ja sama pätee asetuksen mukaisen tietosuojaselosteen- ja prosessin tekemiseen.

Otsikkotasolla rekisterinpitäjän velvollisuudet tarkoittavat henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Otsikkotason alapuolella velvollisuuksia on kymmeniä, jotka tulee kaikki selvittää rekisterissä oleville henkilöille yksityiskohtaisesti, em. selvitys tulee tehdä tietosuojaselosteessa.

Tärkein velvollisuus on ottaa huomioon rekisteröidyn oikeudet. Käytännössä tämä tarkoittaa sitä, että rekisterin ylläpitäjän velvollisuus on luoda prosessit ja dokumentaatio niin, että kun rekisterissä oleva henkilö ottaa rekisterin ylläpitäjään yhteyttä, ja pyytää ylläpitäjää toimimaan oikeuksiinsa vedoten, tietosuojaselosteessa annettujen ohjeiden mukaan, ylläpitäjän täytyy tietää miten toimia, viiveettä.

Henkilötietojen käsittely

Käsiteltäessä henkilötietoja, rekisteriä ylläpitävät yritykset ovat velvollisia selvittämään asiakkailleen mihin tarkoitukseen-, ja millä tavalla henkilötietoja käsitellään.

Otsikkotasolla, Tietosuojavaltuutetun antamien periaatteiden mukaan henkilötietoja on;

- käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi

- käsiteltävä luottamuksellisesti ja turvallisesti

- kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten

- kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden

- päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä

- säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Otsikkotasojen alapuolella on paljon erilaisia vaatimuksia ja suosituksia, joista alla muutama esimerkki.

Miten tietoa yleensä kerätään?

Yritykset käyttävät erilaisia kanavia kerätäkseen tietoa, esimerkiksi usein asiakas itse antaa tietoja rekisteröitymisen yhteydessä (esimerkiksi nimi), jonka jälkeen tietoa voidaan täydentää käyttäen erilaisia rekistereitä ja käyttäytymistä sivustolla (esimerkiksi luottotietorekisteriä ja ostohistoriaa).

Miten tietoa tulee säilyttää?

Tietoja saa säilyttää ainoastaan niin kauan kun on tarpeen, ja säilytyksen periaatteet tulee dokumentoida ja ilmoittaa rekisteröidyille. Asetus ei määrittele aikarajoja henkilötietojen säilytykselle, vaan asettaa vaatimuksen henkilötietojen säilytyksen tarpeesta. Henkilötietojen säilytyksen tarvemääritys ei voi olla ‘varmuuden vuoksi’ vaan sen on perustuttava kahteen asiaan:

- Tosiasiallinen tarve, esimerkiksi lista vuokranmaksuista ja maksun ajankohdasta.

- Lakisääteisiin vaatimuksiin, esimerkiksi kirjanpito.

Miten tietosuojakäytäntö ilmoitetaan rekisteröidyille?

Rekisteriä ylläpitävän yrityksen tehtävänä on perustella ja dokumentoida henkilötietojen käsittely. Tarkoitukseen käytetään tietosuojaselostetta, jossa avataan henkilötietojen käsittely, usein yksityiskohtaisesti, pitäen sisällään esimerkiksi tietojen säilytysajan, käsittelyperusteen sekä mahdolliset eri henkilötietojen säilytysajat eri käyttötarkoituksiin.

Miten Secure Screen Oy käsittelee henkilötietoja?

Vuokratieto.fi -palvelua ylläpitävä Secure Screen Oy ylläpitää henkilötietorekisteriä, ja käsittelee tietoja yllä mainittujen periaatteiden mukaisesti.  Palvelu on rakennettu nimenomaan pitämään huoli käyttäjien tietoturvasta, ja henkilötietojen käsittely ei tee tähän poikkeusta, esimerkiksi;

- Luotaessa raportteja, ainoastaan tarpeellinen tieto säilytetään, ja loput tuhotaan välittömästi.

- Vuokranhakija näkee, kuka raportteja on katsellut (vuokranantajannimi ja yritys).

- Raportit voidaan helpolla tavalla piilottaa hakutuloksista, tai tuhota kokonaan.

- Kaikki käyttäjät tunnistetaan vahvalla tavalla, eli pankkitunnisteella.

Lue yksityiskohtainen selvitys henkilötietojen käsittelystä Secure Screen Oy:n Tietosuojaselosteesta täällä.

Miten Secure Screen Oy voi auttaa vuokranantajaa tietoturva-asioissa?

Vuokratieto -palvelun käyttäminen helpottaa merkittävästi asetuksen noudattamista: useimmat tietoturvaan liittyvät velvollisuudet tulevat hoidetuksi Vuokratieto -sovelluksen kautta, kuten esimerkiksi rekisterissä olevan henkilön oikeus;

- saada tietoa henkilötietojensa käsittelystä

- saada tutustua tietoihin

- oikaista tietoja

- poistaa tiedot ja tulla unohdetuksi

- rajoittaa tietojen käsittelyä

- siirtää tiedot järjestelmästä toiseen

- vastustaa tietojen käsittelyä

- olla joutumatta automaattisen päätöksenteon kohteeksi ilman suostumusta.

Vuokratieto -palvelun prosessit ja menetelmät helpottavat vuokranantajan työtä, poistamalla useita tietosuojaan liittyviä kipukohtia. Käytännössä tämä tarkoittaa sitä, että tietoturvaan liittyvät prosessit ja menetelmät on dokumentoitu Vuokratieto -palvelun tietosuojaselosteessa, pitäen sisällään kuvauksen esimerkiksi kaikista yllämainituista velvollisuuksista vuokranhakijaa kohtaan (rekisteröidyn oikeudet).

Esimerkiksi ”oikeus saada tutustua tietoihin” tarkoittaa sitä, että rekisteröity saa nähtäväkseen saman raportin kuin minkä vuokranantaja näkee, ja ”oikeus poistaa tiedot ja tulla unohdetuksi” tarkoittaa sitä, että rekisteröity voi milloin tahansa poistaa kaikki raportin tiedot järjestelmästä, lopullisesti.

Kaikki pyynnöt ja tapahtumat kirjataan ylös, eli kun rekisteröity pyytää tietojaan poistettavaksi, tiedot poistetaan ja ainoa jäljelle jäävä tieto on poiston ajankohta, jonka rekisteröity voi myöhemmin tarkistaa.

Haluatko tietää lisää tietoturvastamme? 

Lue tietosuojaseloste täällä, tai ota yhteyttä osoitteessa apua@vuokratieto.fi.