Usein kysyttyä asumisesta ja tietosuojasta

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettavaan henkilöön. Henkilötietojen avulla ihminen voidaan tunnistaa suoraan tai välillisesti. Henkilötietojen käsittelyssä on aina noudatettava EU:n tietosuoja-asetuksen vaatimuksia.

Suoraan henkilöön yhdistettäviä henkilötietoja ovat esimerkiksi nimi, puhelinnumero, sähköpostiosoite, kotiosoite, henkilötunnus sekä valo- ja videokuvat, joissa hän esiintyy. Välillisesti henkilöön voidaan liittää myös esimerkiksi tieto asunnon numerosta, valokuvat asunnosta ja muita asuntoa koskevia tietoja. 

Pelkästään nimen ja muiden yksilöintitietojen poistaminen ei siis aina tarkoita, että asukasta ei voisi tunnistaa muista tiedoista. Jos henkilötietoja ei voida erottaa tällaisista tiedoista tai jos henkilö on muuten tunnistettavissa aineistosta, tietoja tulee käsitellä tietosuojalainsäädännön mukaisesti.

Jos remontin yhteydessä kerättävät tekniset tiedot tai kuvat asunnosta ovat yhdistettävissä henkilöön, ne voidaan katsoa henkilötiedoiksi (esimerkiksi remonttitietojen jaotteleminen asunnon numeron perusteella). Tarkat ja laajat mittaustiedot yksityisasunnosta, kuten vesimittarien lukemat tai lämpötilamittaukset, voivat kertoa paljonkin yksittäisen asukkaan elämästä, jos tiedot voidaan yhdistää häneen.  

Henkilötietoja voi olla mahdollista käsitellä teknisesti niin, että ne eivät ole enää yhdistettävissä tiettyyn henkilöön ilman lisätietoja (pseudonymisointi) tai niin, että henkilöä ei voida enää lainkaan tunnistaa niistä (anonymisointi). Niin pitkään, kuin henkilötietoja käsittelevä taho voi palauttaa tiedot takaisin tunnistettavaan muotoon, ne ovat yhä henkilötietoja ja niitä on käsiteltävä tietosuojalainsäädännön mukaisesti. Sitä, ovatko pseudonymisoidut tiedot edelleen henkilötietoja, on aina arvioitava erikseen kunkin tietoja käsittelevän tahon näkökulmasta (ks. esimerkki alla).  

Jos tiedot on yhdistetty suurempaan tietomassaan, eikä siitä voida enää erottaa tietoja yksittäisistä henkilöistä, kyse ei ole henkilötietojen käsittelystä, eikä tietosuojalainsäädäntöä sovelleta. Jos yleisellä tasolla olevat tiedot riittävät, on suositeltavaa käyttää niitä. Henkilötietoja tulee käsitellä vain silloin, kun se on tarpeellista.

Esimerkki 

​​​​Kolmessa taloyhtiön asunnossa on ilmennyt märkätilojen korjaustarpeita, jotka ovat taloyhtiön vastuulla. Korjaustarpeista on tehty alustava kartoitus ja tiloissa on otettu valokuvia. Korjaustarpeet on kuvattu lähietäisyydeltä, eikä valokuvissa näy asukkaiden kuvia, nimiä tai henkilökohtaisia tavaroita. Valokuvat on kuitenkin jaoteltu remontin vuoksi asuntojen numeroiden mukaisesti, ja ovat tämän vuoksi yhdistettävissä asukkaaseen. Siksi valokuvia tulee taloyhtiössä käsitellä henkilötietoina.

Taloyhtiö pyytää tarjouksia korjaustöistä kolmelta remonttiyritykseltä. Tarjouspyynnön liitteenä toimitetaan märkätiloista otetut kuvat, jotta yritykset voivat tehdä tarjouksen työstä. Kuvat toimitetaan yrityksille ilman tietoja asuntojen numeroista, asukkaiden nimistä tai muuta tunnistettavaa tietoa asukkaista. Remonttiyrityksillä ei valokuvien perusteella ole mahdollisuutta tunnistaa asukkaita. Valokuvat eivät siksi ole henkilötietoja vastaanottavalle yritykselle tarjouspyyntövaiheessa. 

Taloyhtiö solmii sopimuksen korjaustöistä remonttiyritys A:n kanssa. Remonttiyritys A:lle luovutetaan tarkemmat tiedot remontoitavista asunnoista ja niiden asukkaista remontin järjestämiseksi. Remonttiyritys A voi näillä lisätiedoilla yhdistää asuntojen valokuvat asukkaisiin. Valokuvia on tällöin käsiteltävä henkilötietoina remonttiyritys A:ssa.  

​​​​​​​Katso myös: 

Lue lisää tietosuojalainsäädännön vaatimuksista henkilötietojen käsittelyssä

Henkilötietojen pseudonymisointi ja anonymisointi

Henkilötunnuksen käsittely on tarpeen moniin tarkoituksiin asumisen velvoitteiden hoitamiseksi. Henkilötunnusta voidaan käsitellä esimerkiksi vuokraustoimintaa varten, laskutukseen, saatavien perimiseksi ja sellaisiin tarkoituksiin, joissa ihmisten yksilöiminen on tärkeää. Henkilötunnusta ei kuitenkaan saa merkitä esimerkiksi laskuihin tai viesteihin tai tulostaa asiakirjoille, jos sille ei ole selkeää tarvetta.  

Vuokralaisen henkilötunnuksen käsittely on perusteltua vuokrasuhteen velvoitteiden hoitamiseksi. Lasten henkilötunnusten järjestelmälliselle keräämiselle ei kuitenkaan ole perustetta asunnon vuokrauksen yhteydessä. 

Henkilötunnusta ei ole tarkoitettu tunnistamiseen vaan ainoastaan henkilöiden erottamiseen toisistaan. Rekisterinpitäjä, kuten taloyhtiö, ei saa rakentaa tunnistamiskäytäntöjään pelkästään henkilötunnuksen ja nimen kysymisen varaan. Henkilötunnusta saa kuitenkin kysyä yhtenä tietona muiden joukossa henkilön tunnistamista varten, jos sitä voi verrata jo hallussa olevaan tietoon.  

Henkilötunnuksen käsittelystä on säädetty tarkasti tietosuojalaissa (1050/2018, 29 §). Henkilötunnusta saa käsitellä henkilön suostumuksella tai jos siitä säädetään laissa. 

Katso myös: 

​​​​​​​Usein kysyttyä henkilötunnuksesta 

Apulaistietosuojavaltuutetun päätös 7089/152/19 Finlex-palvelussa 

Se, mitä tietojasi vuokranantajalla, taloyhtiöllä, huoltoyhtiöllä tai isännöitsijällä on oikeus käsitellä, riippuu esimerkiksi siitä, mihin tarkoitukseen henkilötietoja tarvitaan ja minkä tyyppisistä tiedoista on kyse. Usein henkilötietoja tarvitaan esimerkiksi taloyhtiön palveluiden tai hallinnon hoitamiseksi, isännöintitoimiston huoltopalveluja varten tai vuokrasopimuksen velvoitteiden vuoksi. 

Henkilötietojen käsittelyyn ei aina tarvita henkilön suostumusta, vaan se voi olla mahdollista myös muilla perusteilla, kuten lakisääteisen velvollisuuden tai oikeutetun edun nojalla. 

Jos vuokranantaja, taloyhtiö, huoltoyhtiö tai isännöitsijä pyytää sinulta tietoja, joiden merkitystä tai käyttötarkoitusta et ymmärrä, voit kysyä lisätietoja suoraan niiltä. Sinulla on halutessasi oikeus tarkistaa, mitä sinua koskevia henkilötietoja käsitellään ja mihin tarkoituksiin. Esitä tarkastuspyyntö suoraan rekisterinpitäjälle, eli esimerkiksi taloyhtiön hallitukselle tai isännöintiyritykselle. 

Jos et saa vastausta pyyntöösi kuukauden kuluessa tai katsot vastauksen perusteella, että oikeuksiasi on loukattu, voit ottaa yhteyttä tietosuojavaltuutettuun. Toimita tietosuojavaltuutetulle pyyntö, jonka esitit ja siihen saamasi vastaus. 

Katso myös: 

​​​​​​​Kun haluat tarkastaa tietosi 

Tee ilmoitus tietosuojavaltuutetulle

Henkilötietojen lähettämisessä on aina oltava huolellinen. Tavallisen sähköpostin käytössä on kiinnitettävä huomiota siihen, kuinka arkaluonteisia tai riskialttiita tietoja sähköpostin välityksellä lähetetään. Rekisterinpitäjän, kuten taloyhtiön hallituksen, isännöitsijän tai vuokrayhtiön, on aina arvioitava henkilötietojen käsittelyyn liittyviä riskejä etukäteen. Tekniset välineet, kuten tietojen lähettämiseen käytettävä palvelu sekä vaadittava suojauksen taso on valittava riskien perusteella. Mitä arkaluonteisemmista tiedoista on kyse, sitä paremmin ne on suojattava.

Rekisterinpitäjän vastuulla on varmistaa, että sen käyttämät välineet ovat riittävän tietoturvallisia ja takaavat riittävän tietosuojan. Tästä velvollisuudesta ei voi poiketa pyytämällä henkilöltä suostumusta sellaisen alustan tai viestintävälineen käyttöön, joka ei täytä näitä vaatimuksia. 

Tietosuojavaltuutettu on katsonut, että jos sähköpostissa lähetetään sellaisia tietoja, joissa ei ole mitään arkaluonteista, riskialtista tai salassa pidettävää, tavallisen sähköpostin käyttö voi olla riittävää. Tällaisia tietoja voivat olla esimerkiksi tavallinen asiakaspalveluviestintä. 

Sen sijaan suojaamattoman sähköpostin käyttö ei ole suositeltavaa arkaluonteisten ja salassa pidettävien tietojen, kuten sosiaali- ja terveydenhuollon palveluihin liittyvien tietojen lähettämiseen. Myöskään henkilötunnuksen lähettämistä tavallisella sähköpostilla ei suositella. Taloyhtiö, isännöitsijä tai vuokrayhtiö eivät kuitenkaan ole vastuussa siitä, mitä viestintäkanavaa asukas tai osakas on itse päättänyt käyttää omien tietojensa lähettämiseen. 

Jotta taloyhtiössä voidaan käsitellä henkilötietoja, sille on aina oltava laillinen käsittelyperuste. Peruste on määritettävä ennen kuin henkilötietojen käsittely aloitetaan, eikä sitä voi enää kesken käsittelyn vaihtaa toiseen. Käsittelyperuste vaikuttaa siihen, mitä oikeuksia asukkailla ja osakkailla on suhteessa taloyhtiöön. Tietosuoja-asetuksessa on kuusi eri perustetta, joilla henkilötietojen käsittely on mahdollista:

1. rekisteröidyn suostumus
2. sopimus
3. rekisterinpitäjän lakisääteinen velvoite
4. elintärkeiden etujen suojaaminen
5. yleistä etua koskeva tehtävä tai julkinen valta
6. rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Lue lisää käsittelyperusteista 

Henkilötietojen käsittelylle on oltava myös perusteltu tarve. Henkilötietojen käsittely on usein välttämätöntä erinäisten palvelujen toteuttamiseksi. Taloyhtiöllä voi myös olla useita lakisääteisiä velvoitteita, jotka edellyttävät henkilötietojen käsittelyä. 

Lue lisää tietojen minimoinnista

Esimerkki: Nimitaulun pitäminen näkyvillä rappukäytävässä

Vakiintuneessa viranomaistulkinnassa on katsottu, että nimitaulun näkyvillä pitoa voidaan perustella muun muassa pelastustoiminnan helpottamisella. Joissakin kunnissa rakennusjärjestyksessä määrätään velvoitteesta pitää nimitaulua kiinteistön rappukäytävässä.

Esimerkki: Saunan varauslistat ja listat pysäköintipaikkojen haltijoista

Saunan varauslistojen ja pysäköintipaikkojen haltijoiden listan ylläpitäminen on käytännössä välttämätöntä, jotta taloyhtiö voi tarjota tällaisia palveluita. Taloyhtiön on kuitenkin harkittava, millä tarkkuudella merkinnät listoihin on tarpeen tehdä ja kenen saatavilla listat on tarpeen pitää. Erilaisiin vuorolistoihin ei pidä kirjata tarpeettomasti henkilötietoja, joita ei tarvita listan tarkoituksen toteuttamiseksi. Saunan varauslistassa tai yleisissä tiloissa olevassa pysäköintipaikan haltijoiden listassa voi siis käyttää esimerkiksi ”varattu”-merkintää tai huoneiston numeroa, jos tällainen tieto riittää listan ylläpitämiseen. 

Pääsääntöisesti henkilötietoja saavat taloyhtiössä käsitellä ne, joilla on oikeus siihen tehtävänsä tai asemansa vuoksi. Heillä on oltava tietojen käsittelyyn perusteltu tarve. Taloyhtiön on huolehdittava riittävästä ohjeistuksesta henkilötietojen käsittelyyn ja varmistettava, että tietoihin pääsevät vain ne, joilla on siihen oikeus. Henkilötietoja ei saa myöskään jakaa tahoille, joilla ei ole perusteltua syytä niiden käsittelyyn.

Esimerkki: Kenellä on oikeus saada huoneiston kuntokartoitusraportti?

Yksittäisen huoneiston kuntokartoitusraportin saamiseen voi olla perusteltu tarve esimerkiksi taloyhtiön hallituksella, taloyhtiön huollosta ja ylläpidosta vastaavalla huoltoyhtiöllä, huoneiston osakkeenomistajalla, välitysliikkeellä, jolla on voimassa oleva välitystoimeksianto, tai osakkailla silloin, kun raporttia tarvitaan taloyhtiön korjauksista päättämiseen. Henkilötietoja ei kuitenkaan tule jakaa enempää tai laajemmin kuin on tarve. Jos jollekin taholle ei ole tarpeen luovuttaa raportin sisältämää henkilötietoa, se on syytä peittää tai poistaa luovutettavasta versiosta.

Lue lisää tietojen minimoinnista 

Asukkailla ja osakkailla on oikeus saada tietoa henkilötietojensa käsittelystä, ja taloyhtiön on kerrottava siitä heille avoimesti ja oikea-aikaisesti. 

Informointi henkilötietojen käsittelystä tapahtuu tyypillisimmin tietosuojaselosteella, jonka tulee olla helposti ymmärrettävässä muodossa oleva, tiivis selostus taloyhtiön henkilötietojen käsittelystä eli muun muassa siitä, mitä henkilötietoja, mihin tarkoituksiin ja millä tavalla taloyhtiö niitä käsittelee. Tietosuojaselosteen tulee olla helposti nähtävissä esimerkiksi taloyhtiön verkkosivuilla tai rappukäytävän ilmoitustaululla.  

Lisätietoa informoinnista 

Ennen sähköisen muuttoilmoituslomakkeen käyttöönottoa taloyhtiön on varmistuttava siitä, että verkkolomake on riittävän tietoturvallinen ja että se täyttää tietosuojavaatimukset. Lomakkeelle täytettävät tiedot eivät saa välittyä ulkopuolisille tai sellaiselle toimijalle, jonka toimintaa taloyhtiö ei kykene asianmukaisesti valvomaan. 

Taloyhtiön on huolehdittava myös siitä, että lomakkeen kautta ei kerätä tarpeettomia tietoja. Tämä tarkoittaa esimerkiksi, että lomakkeelle ei merkitä kaikille pakolliseksi sellaisen tiedon antamista, jota tarvitaan vain poikkeustapauksissa. Tällaiset tiedot tulisi pyytää erikseen vain tarvittavilta henkilöiltä. 

Sähköisellä lomakkeella kerätyt tiedot tulee hävittää, kun niille ei ole enää tarvetta. 

Lue lisää organisaatioiden tietosuojavelvollisuuksista 

Kun taloyhtiö valitsee viestintäkanavia, sen on syytä tutustua ennen palvelun käyttöönottoa huolellisesti palveluiden käyttöehtoihin, turvallisuuteen ja tietosuojakuvauksiin. 

Sosiaalisen median palvelut eivät yleensä ole suositeltavia välineitä taloyhtiön henkilötietojen käsittelyyn, sillä niiden käyttöehdot ovat usein vakiomuotoisia, eikä taloyhtiöllä ole mahdollisuutta vaikuttaa niihin. Sosiaalisen median palvelut käsittelevät tyypillisesti käyttäjien henkilötietoja myös omiin tarkoituksiinsa. Taloyhtiö ei voi vaatia, että asukkaat käyttävät sosiaalisen median palvelua olennaisten asumiseen liittyvien tietojen saamiseksi. 

Jos taloyhtiö perustaa ryhmän vapaamuotoista viestintää varten, on huomioitava henkilötietojen käsittelyyn liittyvät roolit ja vastuut. Taloyhtiö saattaa olla rekisterinpitäjä ryhmässä käsiteltävien henkilötietojen osalta, tai se voi toimia yhteisrekisterinpitäjänä sosiaalisen median alustan kanssa. Tämä riippuu alustasta ja sen ehdoista. 

Molemmissa tilanteissa taloyhtiö on vastuussa ryhmässä tapahtuvasta henkilötietojen käsittelystä ja sen on noudatettava rekisterinpitäjän velvollisuuksia. Taloyhtiön on muun muassa määriteltävä, mihin tarkoituksiin tietoja käsitellään ja kerrottava siitä ryhmän jäsenille. 

Asukkaat voivat perustaa vapaamuotoisia ryhmiä myös itse. Tällaiseen ryhmään liittyvä henkilötietojen käsittely ei ole taloyhtiön vastuulla, jos se ei hallinnoi ryhmää, käytä sitä tiedottamiseen, moderoi keskustelua tai muuten määrittele ryhmän ehtoja ja sitä, miten henkilötietoja käsitellään, ja asukkailla on aidosti mahdollisuus hoitaa asumiseen liittyviä asioita kuulumatta ryhmään. 

Lue lisää organisaatioiden tietosuojavelvollisuuksista ​​​​​​​

Tietosuoja-asetuksessa säädetään tarkastusoikeudesta, jonka perusteella henkilöllä on oikeus saada tietää, mitä tietoja hänestä käsitellään. 

Omien henkilötietojen tarkastaminen on lähtökohtaisesti maksutonta. Vain poikkeustapauksessa, eli kun tietojen pyytäminen on jatkuvaa, kohtuutonta tai ilmeisen perusteetonta, taloyhtiö voi periä tarkastusoikeuden käyttämisestä kohtuulliset hallinnolliset kulut. 

Isännöitsijäntodistuksen toimittamisesta voidaan asunto-osakeyhtiölain nojalla vaatia kohtuullinen korvaus. 

Kun asukas tai osakas haluaa tutustua itseään koskeviin henkilötietoihin, taloyhtiön on toimitettava hänelle jäljennös käsiteltävistä tiedoista. Jos henkilö esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei hän toisin pyydä. Tarkastuspyynnölle ei ole säädetty muotovaatimuksia, eikä pyynnön esittämiseen voi vaatia vain tietyn yhteydenottokanavan, kuten tietyn lomakkeen käyttämistä tai asiointia paikan päällä. 

Taloyhtiön on vastattava asukkaan pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa. Jos pyyntöjä on monta tai ne ovat monimutkaisia, määräaikaa voidaan jatkaa enintään kahdella kuukaudella. Määräajan jatkamisesta on ilmoitettava pyynnön esittäjälle ja se on perusteltava. 

Pyynnöstä kieltäytymiseen on oltava lainmukainen peruste. Esimerkiksi:

• Oikeus saada jäljennös tiedoista vaikuttaisi haitallisesti muiden ihmisten oikeuksiin ja vapauksiin.
• Pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti. Taloyhtiön on osoitettava perusteettomuus tai kohtuuttomuus, tai vaihtoehtoisesti se voi periä pyynnön toteuttamisesta kohtuullisen maksun.
• Tiedon antaminen saattaisi haitata rikosten ehkäisemistä tai selvittämistä tai vahingoittaa yleistä järjestystä ja turvallisuutta.
• Tiedon antamisesta saattaisi aiheutua vakavaa vaaraa yksilön terveydelle tai hoidolle tai hänen tai jonkun muun oikeuksille.

Kieltäytymisen perusteista säädetään tietosuoja-asetuksen 12 artiklassa, 15 artiklan 4 kohdassa sekä tietosuojalain 31 ja 34 pykälissä.

Lue lisää tarkastusoikeuden toteuttamisesta

Esimerkiksi isännöintiyritys, huoltoyhtiö tai urakoitsijayritys voivat käsitellä henkilötietoja taloyhtiön lukuun. Silloin ne ovat henkilötietojen käsittelijöitä, ja taloyhtiö on rekisterinpitäjä. Rekisterinpitäjä päättää, millä tavoilla ja mihin tarkoituksiin henkilötietoja käsitellään ja sillä on velvollisuus antaa käsittelyä varten ohjeet henkilötietojen käsittelijöille. 

Henkilötietojen käsittelystä on sovittava kirjallisesti. Käsittelysopimuksen puuttuminen on tietosuoja-asetuksen vastaista. Käsittelysopimuksessa on määriteltävä

• Taloyhtiön puolesta suoritettavan henkilötietojen käsittelyn kohde ja kesto
• Millä tavoilla henkilötietoja käsitellään ja mihin tarkoituksiin
• Millaisia henkilötietoja käsitellään (esim. yhteystiedot tai maksutiedot) ja keitä ne koskevat (esim. osakkaat tai vuokralaiset)
• Rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet ja oikeudet

Käsittelysopimuksessa on lisäksi vahvistettava, että henkilötietojen käsittelijä

• Käsittelee henkilötietoja ainoastaan taloyhtiön antamien kirjallisten ohjeiden mukaisesti
• Varmistaa, että sen alaisuudessa toimivat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet luottamuksellisuuteen tai ovat salassapitovelvollisuuden alaisia
• Toteuttaa kaikki tarvittavat toimenpiteet käsittelyn turvallisuuden varmistamiseksi
• Noudattaa toisen henkilötietojen käsittelijän (ns. alikäsittelijän) käyttöön liittyviä velvoitteita. Alikäsittelijää ei saa käyttää ilman taloyhtiön etukäteen antamaa kirjallista lupaa.
• Auttaa taloyhtiötä mahdollisuuksien mukaan vastaamaan yksilöiden tietosuojaoikeuksia koskeviin pyyntöihin. Velvollisuudet ja vastuut tulee määritellä sopimuksessa selkeästi. Taloyhtiö on itse päävastuussa oikeuksien toteuttamisesta. 
• Auttaa taloyhtiötä käsittelyn turvallisuuden varmistamisessa, tietoturvaloukkauksista ilmoittamisessa ja tietosuojaa koskevien vaikutustenarviointien tekemisessä
• Poistaa tai palauttaa taloyhtiön ohjeistuksen mukaisesti kaikki henkilötiedot taloyhtiölle palvelun tarjoamisen päätyttyä. Mahdolliset jäljennökset tulee tuhota, ellei niiden säilyttämiseen ole lakisääteistä velvollisuutta. 
• Saattaa taloyhtiön saataville kaikki tiedot, joilla voidaan osoittaa, että yleisen tietosuoja-asetuksen velvollisuuksia noudatetaan
• Mahdollistaa auditoinnit, kuten tarkastukset, sekä osallistuu niihin. Auditoinnit voivat olla rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tahon suorittamia.

Esimerkki

​​​​​​​Taloyhtiö voi sopia käsittelysopimuksessa huoltoyhtiön kanssa käytännöstä, jossa huoltoyhtiöllä on oikeus saada asukasluettelon tiedot, jotta ovi avataan vain asukasluetteloon kirjatulle asukkaalle, jonka henkilöllisyys voidaan varmentaa esimerkiksi henkilöllisyystodistuksella.

Katso myös: 

​​​​​​​Henkilötietojen käsittelijät

Henkilötietojen käsittelijän velvollisuudet 

Kun taloyhtiö toimii rekisterinpitäjänä, se on vastuussa myös sen lukuun suoritettavasta henkilötietojen käsittelystä. Esimerkiksi taloyhtiön käyttämä isännöintiyritys, huoltoyhtiö, urakoitsija tai verkkopalveluntarjoaja (kuten asiakirjojen sähköinen säilytyspalvelu tai verkkolomakepalvelu) voi käsitellä henkilötietoja taloyhtiötä varten. 

Jos esimerkiksi huoltoyhtiö tai verkkopalveluntarjoaja ei noudata tietosuojasääntelyä silloin, kun se käsittelee henkilötietoja taloyhtiön lukuun henkilötietojen käsittelijän roolissa, seuraamukset tietosuojasääntelyn rikkomisesta voivat kohdistua rekisterinpitäjänä toimivaan taloyhtiöön. 

Huoltoyhtiö, isännöintiyritys ja muut henkilötietojen käsittelijät ovat myös itse vastuussa siitä, että niiden toiminnassa noudatetaan tietosuoja-asetusta ja taloyhtiön antamia ohjeita henkilötietojen käsittelystä. Lisäksi ne voivat olla vastuussa taloyhtiölle henkilötietojen käsittelysopimuksen rikkomisesta.

Lisätietoja henkilötietojen käsittelijöistä 

Myyjällä ja välitysliikkeellä on velvollisuus antaa ostotarjousta harkitsevalle kaikki keskeiset tiedot ostopäätöksen tekemistä varten. Tiedonantovelvollisuudesta säädetään laissa kiinteistöjen ja vuokrahuoneistojen välityksestä (1074/2000, nk. välityslaki). 

Kun asunto myydään vuokrattuna, tarjousta harkitsevalle saa kertoa vuokrasuhteeseen liittyvistä asioista (esim. vuokrasopimuksen ehdot, vuokrasuhteen kesto, vuokranmaksu tai mahdolliset ongelmat). Välitysliikkeen on kuitenkin varmistettava, ettei ostajaehdokkaalle annettaviin asiakirjoihin sisälly sellaisia henkilötietoja, jotka ovat tarpeettomia ostopäätöksen kannalta. Tarpeettomat henkilötiedot on peitettävä tai poistettava. Vuokralaisen yhteystietoja ei saa antaa ilman tämän lupaa.

Koko vuokrasopimusta ei saa näyttää ostajaehdokkaille esimerkiksi asuntonäytössä, ellei vuokralainen ole antanut tähän suostumustaan. Vuokrasopimus voidaan esittää ostotarjousta harkitsevalle niin, että siitä peitetään vuokralaisen henkilötiedot. Koko vuokrasopimus voidaan näyttää asunnon ostajaehdokkaalle tarjouksen tekemisen yhteydessä. 

Välityslain 10§:ssä säädetään erikseen tiedoista, jotka välitysliikkeen on esitettävä ennen kiinteistökaupan tai maavuokrasopimuksen tekemistä. Ostajaehdokkaalle on esitettävä mm. jäljennös vuokrasopimuksesta sekä todistus vuokraoikeuden kirjaamisesta ja sitä koskeva rasitustodistus, jos kaupan kohteena on vuokraoikeus rakennuksineen. 

Katso myös:

​​​​​​​Tietojen minimointi

Lisätietoja välitysliikkeiden valvonnasta AVI:n verkkosivuilla. Välitystoimintaa valvoo 1.1.2026 alkaen Lupa- ja valvontavirasto. 

Tietosuojavaltuutetun päätös 7221/163/18 vuokrasopimuksesta annettavista tiedoista Finlex-palvelussa

Asunnosta pois muuttavaa ei voida vaatia luovuttamaan henkilötietojaan tuleville asukkaille. Muuttoon liittyvät järjestelyt esimerkiksi vuokralaisen vaihtuessa eivät edellytä suoraa yhteydenpitoa uuden ja vanhan vuokralaisen välillä. 

Jos taloyhtiöllä on käytössä sähköinen muuttoilmoituslomake, lomakkeen pakollisissa kentissä ei saa vaatia, että pois muuttava asukas antaa yhteystietonsa ulkopuolisille, kuten asunnon vuokraamisesta kiinnostuneille. Hän voi kuitenkin halutessaan vapaaehtoisesti antaa yhteystietonsa.

Välitysliike saattaa kerätä asuntonäyttöön osallistuvien nimet ja yhteystiedot joko ennen näyttöä tai sen aikana. Tämä voi olla perusteltua erityisesti, jos asunnossa asutaan edelleen tai jos näyttöön on odotettavissa suuri määrä osallistujia.

Välitysliikkeellä on velvollisuus suojata näytettävän asunnon asukkaan ja omistajan omaisuutta vahingonteoilta ja varkauksilta. Siksi voi olla perusteltua varmistaa, että näyttöön osallistuvat ovat tavoitettavissa ja yksilöitävissä mahdollisissa ongelmatilanteissa.

Myös asuntonäyttöön liittyvien henkilötietojen keräämisessä on varmistettava, ettei tarpeettomia tietoja kerätä. 

Välitysliikkeellä on velvollisuus myös informoida asuntonäytöllä kävijöitä henkilötietojen käsittelystä riittävästi ja kertoa muun muassa tietojen käyttötarkoituksesta ja säilytysajoista. 

Katso myös:

Informointi henkilötietojen käsittelystä

Jos henkilötiedot on kerätty ainoastaan asuntonäyttöön osallistumista varten, niitä voidaan säilyttää ainoastaan niin kauan, kuin niitä tarvitaan tähän tarkoitukseen. Tietoja ei saa säilyttää vain varmuuden vuoksi, vaan niille on oltava selkeä tarve. 

Jos vuokra-asuntonäyttöön osallistunut henkilö on tehnyt hakemuksen asunnosta, hakemuksen tietoja on säilytettävä viisi vuotta vuokraustoimeksiannon päättymisestä. Tästä lakisääteisestä säilytysajasta säädetään välitysliikelain 10 §:n 3 momentissa (laki kiinteistönvälitysliikkeistä ja vuokrahuoneiston välitysliikkeistä 1075/2000). 

Lue lisää säilytyksen rajoittamisesta 

Asuntonäytöllä kävijöiden yhteystietoja ei saa käyttää sähköiseen suoramarkkinointiin, ellei heiltä ole pyydetty suoramarkkinointiin erikseen suostumusta. 

Katso myös:

​​​​​​​​​​Usein kysyttyä suoramarkkinoinnista 

Sähkölukkojärjestelmien keräämät kulunvalvontatiedot ovat henkilötietoja, ja niiden käsittelyssä on noudatettava tietosuojalainsäädäntöä. 

Kulunvalvonnalle on oltava perusteltu tarve, eikä kulunvalvontatietoja saa kerätä vain varmuuden vuoksi. Tarpeellisuutta tulee arvioida sen perusteella, mitä kulunvalvonnalla tavoitellaan. Ennen järjestelmän käyttöönottoa taloyhtiön on arvioitava, voidaanko nämä tavoitteet saavuttaa vähemmän yksityiselämän suojaan kajoavilla keinoilla. Tämä arviointi tulee dokumentoida.

Sähkölukkojärjestelmä tulee asentaa niin, että se ei kerää kulunvalvontatietoja liiallisesti. Taloyhtiön on varmistettava, että se kerää kulunvalvontatietoja vain sellaisista tiloista, joissa se on tarpeellista. Tallentavat sähkölukot voidaan esimerkiksi asentaa vain tiettyjen tilojen oviin. Jos siis esimerkiksi vain taloyhtiön irtaimistovarastossa on tarve kulunvalvonnalle, sitä ei voida tällä perusteella asentaa rakennuksen kaikkiin oviin.

Kulunvalvontalaitteiden ja -järjestelmien hankinnassa on kiinnitettävä huomiota niiden turvallisuuteen ja teknisiin ominaisuuksiin. Sähkölukkojärjestelmä voi tallentaa tiedot paikallisesti lukkopesään tai esimerkiksi pilveen. Henkilötietoihin liittyvät riskit ovat usein pienemmät, jos laite tallentaa tiedot vain paikallisesti. 

Taloyhtiön on syytä arvioida sähkölukkojärjestelmän mahdollisia riskejä ennen sen käyttöönottoa ja tehdä asianmukaiset riskienhallintatoimenpiteet. Sen on esimerkiksi huolehdittava, että sähkölukkojärjestelmän palveluntarjoajan kanssa tehtävässä sopimuksessa määritellään selkeästi henkilötietojen käsittelyyn liittyvät roolit ja vastuut.  

Taloyhtiön on varmistettava, että 

• kulunvalvonnan käyttöönotto on perusteltua ja tarpeellista
• kulunvalvonnasta syntyvien henkilötietojen käsittelylle on tietosuoja-asetuksen mukainen käsittelyperuste
• asukkaita informoidaan kulunvalvontatietojen käsittelystä avoimesti ja selkeästi
• kulunvalvonnasta syntyviin henkilötietoihin on pääsy vain henkilöillä, joilla on oikeus käsitellä niitä
• kulunvalvontalaitteet ja -järjestelmät keräävät vain tarpeellista tietoa 
• kulunvalvonnasta syntyville henkilötiedoille määritellään asianmukainen säilytysaika, joka perustuu käyttötarkoituksen mukaiseen tarpeeseen
• henkilötietojen käsittelyyn liittyvät riskit on arvioitu etukäteen ja tarvittavat toimet riskien hallitsemiseksi on tehty.

Katso myös:

​​​​​​​Henkilötietojen käsittelyperusteet 

Henkilötietojen käsittelystä informointi

Apulaistietosuojavaltuutetun päätös asuintalon sähkölukkojärjestelmään liittyvästä henkilötietojen käsittelystä Finlex-palvelussa 

Jos taloyhtiö ottaa käyttöön sähkölukkojärjestelmän, sen on suunniteltava jo etukäteen kulunvalvontatiedoille asianmukainen säilytysaika. Tietojen säilytysajan pituus riippuu siitä, mihin tarkoituksiin kulunvalvontatietoja säilytetään. 

Taloyhtiön tulee huolehtia, ettei se epähuomiossa hyväksy sellaisenaan sähkölukkojen oletusasetusten mukaista säilytysaikaa. Säilytysaika tulee määrittää sen ajanjakson mittaiseksi, jonka ajan tiedot ovat aidosti tarpeellisia niiden käyttötarkoitusta varten. 

Katso myös: 

​​​​​​​Henkilötietojen säilytyksen rajoittaminen

Apulaistietosuojavaltuutetun päätös asuintalon sähkölukkojärjestelmään liittyvästä henkilötietojen käsittelystä Finlex-palvelussa 

Taloyhtiö vastaa siitä, että kameravalvonta on toteutettu turvallisesti ja lainmukaisesti. Ota seuraavat seikat huomioon, kun suunnittelet ja toteutat kameravalvontaa taloyhtiön tiloissa:

1. Selvitä ennen kameravalvonnan käyttöönottoa, onko käytettävissä muita, vähemmän yksityisyyteen puuttuvia keinoja. Dokumentoi arviointi. 
2. Määrittele kuvattavat alueet niin, että ne vastaavat kameravalvonnan tarkoituksia ja tarpeita. Varmista, että kamerat eivät kuvaa alueita, joissa se ei ole tarpeen. 
3. Huomioi kameroiden sijoittamisessa kotirauhan suoja. Varmista, ettei asukkaiden tai muiden ihmisten yksityisyyteen puututa kameravalvonnalla enempää kuin on välttämätöntä sen tarkoitusta varten.
4. Varmista, että kameravalvonnasta syntyville henkilötiedoille on laillinen käsittelyperuste.
5. Määrittele, miten asukkaiden tietosuojaoikeudet toteutetaan kameravalvontatallenteiden osalta.
6. Laadi henkilötietojen käsittelystä sisäinen dokumentointi. Sisällytä siihen tarvittaessa esimerkiksi seloste käsittelytoimista ja tietosuojan vaikutustenarviointi.
7. Määrittele, kenellä taloyhtiössä tai esimerkiksi isännöintitoimistossa tai huoltoyhtiössä on työtehtäviensä tai asemansa vuoksi oikeus katsoa tai käsitellä tallenteita. 
8. Ohjeista kameravalvontatietojen käsittelystä henkilötietojen käsittelijöinä toimivia tahoja, kuten isännöitsijää, turvallisuuspalvelua tai huoltoyhtiötä. 
9. Määrittele, miten tallenne suojataan sivullisilta ja millaiset tietoturvatoimet ovat käytössä.
10. Tiedota kameravalvonnan alkamisesta, toteuttamisesta ja siitä, miten ja missä tilanteissa mahdollisia tallenteita käytetään. Informoi selkeästi ja läpinäkyvästi mm. siitä, kuka on kameravalvonnassa syntyvien tietojen rekisterinpitäjä, henkilötietojen käsittelyn tarkoituksista sekä käsittelyperusteesta, henkilötietojen vastaanottajista (eli kenelle tietoja luovutetaan), tietojen säilytysajoista ja tietosuojaoikeuksista.
11. Ilmoita kameravalvonnasta ja sen tavasta näkyvästi niissä tiloissa, joissa kameravalvontaa toteutetaan.
12. Käytä tallenteita vain etukäteen suunnittelemiisi ja ilmoittamiisi laillisiin käyttötarkoituksiin, joita varten kameravalvonta on otettu käyttöön.
13. Määritä tallenteiden säilytysaika ja hävitä ne heti, kun niitä ei enää tarvita.

Lue myös vastaus kysymykseen ”Saako taloyhtiö asentaa valvontakameran rappukäytävään tai piha-alueelle?”

Katso myös: 

​​​​​​​​​​​​​​Euroopan tietosuojaneuvoston ohje kameravalvonnasta ​​​​​​​

Henkilötietojen käsittelyperusteet

Rekisteröidyn oikeudet 

Informointi henkilötietojen käsittelystä

Siihen, milloin kameravalvontaa saa tehdä tai mihin valvontakamerat saa sijoittaa, ei voida antaa kaikkiin tilanteisiin sopivaa yleispätevää ohjetta. Taloyhtiön on arvioitava tapauskohtaisesti omaa tilannettaan, kun se harkitsee kameravalvonnan käyttöönottoa. 

Kameravalvonnan laillisuuden kannalta olennaista on se, mitä tarkoituksia varten ja millä tavalla valvontaa toteutettaisiin, miten siitä informoitaisiin ja miten tallenteita käsiteltäisiin. Taloyhtiön on etukäteen määritettävä tarkasti, mikä olisi kameravalvonnan tarkoitus, ja millaisia perusteita sille on. 

Taloyhtiön on myös arvioitava, onko olemassa vaihtoehtoisia keinoja, joita voitaisiin käyttää kameravalvonnan sijaan ja jotka puuttuisivat yksityisyydensuojaan kameravalvontaa vähemmän. On myös hyvä harkita, voidaanko kameravalvontaa tehdä vähemmän yksityisyyteen kajoavilla tavoilla. Valvonta voidaan esimerkiksi rajata vain tiettyihin kellonaikoihin. Pelkkää kuvaa tallentava kameravalvonta puuttuu yksityisyyden suojaan vähemmän kuin kuvaa ja ääntä tallentava järjestelmä. 

Kameran sijoittamisessa on huomioitava erityisesti valvonnan tarkoitus sekä kotirauhan suoja. Kotirauhan suojaa ei saa loukata kuvaamalla esimerkiksi yksityisasuntojen ovia tai yksityisasuntoihin johtavaa rappukäytävää ilman asukkaiden suostumusta.

Taloyhtiön on varmistettava, että kamerat eivät kuvaa sellaisilla alueilla, joissa se ei ole tarpeen kameravalvonnan tarkoituksen kannalta. Jos tarkoitus on esimerkiksi suojata pyörävarastoa mahdollisilta varkauksilta, roskakatoksen kuvaaminen ei ole tarpeellista tähän tarkoitukseen. 

Lue myös vastaus kysymykseen ”Mitä taloyhtiön tulee ottaa huomioon, kun se harkitsee kameravalvonnan asentamista asuintalon tiloihin?”

Lue lisää käsittelyperusteista

Kun yksityishenkilö kuvaa pihaansa valvontakameralla, siihen saattaa soveltua niin kutsuttu kotitalouspoikkeus. Se tarkoittaa, että tietosuojalainsäädäntöä ei sovelleta, jos kyse ainoastaan henkilökohtaisesta tai kotitaloutta koskevasta toiminnasta. 

Yksityishenkilönkin tulee huolehtia, ettei hän syyllisty esimerkiksi salakatseluun tai -kuunteluun tai loukkaa muiden yksityisyydensuojaa. Tämä on huomioitava erityisesti kameroiden sijoittelussa ja suuntaamisessa. Kameravalvontaa tekevä vastaa lähtökohtaisesti itse siitä, että hänen toimintansa on lainmukaista.

Tietosuojavaltuutetun toimiston toimivaltaan ei kuulu rikosten tutkinta, vaan rikoslain soveltaminen ja tulkinta kuuluu poliisille ja viime kädessä tuomioistuimille. 

Esimerkki:

Omakotitalon asukas seuraa ja kuvaa omaa puutarhaansa valvontakameralla. Kiinteistö on aidattu, ja vain asukas ja hänen perheensä käyvät puutarhassa säännöllisesti. Jos kameravalvonta kohdistuu vain omalle pihalle, eikä se ei ulotu edes osittain yleiseen tilaan, kadulle tai naapurikiinteistölle, kyse kotitalouksia koskevasta poikkeuksesta, eikä kuvaamiseen tässä tapauksessa sovelleta tietosuojalainsäädäntöä.