Henkilötietojen käsittely
Turva-, valvonta- ja lukitusjärjestelmään liittyvien henkilötietojen käsittelytapaa määrittelee Euroopan Unionin yleinen tietosuoja-asetus jonka mukaisesti ennen järjestelmän käyttöönottoa on rekisterinpitäjän huolehdittava, että henkilötietojen käsittelystä on tehty asetuksen mukainen kirjallinen sopimus tai muu jäsenvaltion lainsäädännön mukainen oikeudellinen asiakirja, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään.
Asiakirjassa tulee muun muassa määritellä käsiteltävät henkilötiedot (mihin rekisteriin kuuluvia tietoja käsitellään, mitä tietoja käsitellään) ja käsittelyn kesto, käsittelyn luonne ja tarkoitus sekä rekisterinpitäjän ja käsittelijän oikeudet ja velvollisuudet. Lisäksi asiakirjassa pitää määritellä esimerkiksi salassapitoon, tietoturvaan ja mahdolliseen alihankkijoiden käyttöön ja tietojen edelleen luovutukseen liittyvät asiat.
Tieto henkilötietojen käsittelystä on pidettävä yleisesti rekisteröityjen saatavilla esimerkiksi rekisterinpitäjän toimipaikassa tai verkkopalvelussa. Samaan henkilörekisteriin kuuluvat erikseen pidetyt tietokantarekisterit ja manuaaliset luettelot ja kortistot muodostavat henkilörekisterin, jos niitä käytetään saman tehtävän hoitamiseen.
GDPR
GDPR (General Data Protection Regulation) on tullut EU:n jäsenvaltioiden sovellettavaksi 25.5.2018. Asetuksen tarkoituksena on yhdenmukaistaa EU:n tietosuojakäytäntöjä ja parantaa EU:n kansalaisten yksityisyydensuojaa.
Asetus koskee kaikkia niitä EU:n alueella toimivia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja yrityksen tai organisaation koosta tai toimialasta riippumatta.
TIETOSUOJA-ASETUKSEEN LIITTYVIÄ TERMEJÄ
Henkilötieto: Kaikki sellainen tieto, jolla voidaan tunnistaa ja yksilöidä henkilöitä. Näitä tietoja ovat muun muassa nimi, osoite, henkilötunnus, sähköpostiosoite sekä verkkotunnistetiedot.
Henkilörekisteri: Henkilötietoja sisältävä jäsennelty tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.
Rekisterinpitäjä: Luonnollinen henkilö, yhteisö, virasto, säätiö tai joku muu, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä.
Henkilötietojen käsittelijä: Luonnollinen henkilö, viranomainen, virasto tai joku muu, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, esimerkiksi uutiskirjetyökalun toimittaja.
Alikäsittelijä/alihankkija: Henkilötietojen käsittelijän valtuuttama henkilötietojen käsittelyyn valtuutettu osapuoli. Keskeisimpien henkilötietoja käsittelevien alihankkijoiden käytöstä tulee sopia osapuolten kesken.
Rekisteröity: Rekisterissä oleva tunnistettava tai tunnistettavissa oleva henkilö.
Opt-in: Henkilön itsensä antama suostumus henkilötietojensa keräämiseen ja käsittelyyn.
HENKILÖTIETOJEN KÄSITTELY AJAN LUKOSSA
Ajan Lukko henkilötietojen käsittelijänä tai alikäsittelijänä (rekisterinpitäjänä Asiakas) |
|
AJAN LUKON SISÄISET TIETOSUOJASELOSTEET |
|
Henkilöstöön liittyvät rekisterit (salasanasuojattu) | |
|
|
ASIAKKAIDEMME KÄYTTÖÖN LOMAKEPOHJAT |
|
Tietosuojaselostemalli (täytettävä lomake) | |
Turvajärjestelmän tasapainotestimalli (täytettävä lomake) | |
|
USEIN KYSYTTYÄ TIETOSUOJASTA
Mikä on tietosuojaseloste?
Edellä ladattavissa oleva tietosuojaselosteen mallipohja auttaa rekisterinpitäjinä toimivia kuvaamaan
rekisteröidyille turvajärjestelmään liittyvää henkilötietojen käsittelyä tietosuoja-asetuksen vaatimalla tavalla. Organisaatio voi käyttää omiin tarkoituksiinsa muokkaamaansa mallia ja julkaista sen omissa informointikanavissaan.
Mikä on tietosuojasopimus?
Tietosuoja-asetuksen 28 artiklan mukaan:
”Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.
Toisille yrityksille henkilötietojen käsittelyyn liittyviä palveluita tuottavien yritysten kirjallisesti sovittava, että ne saavat käyttää alihankkijoita. Tietosuoja-asetuksen 28 artiklan mukaan henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa (=sopimus)
Milloin taloyhtiö saa käsitellä henkilötietoja sähköisen lukitusjärjestelmän yhteydessä?
Henkilötietojen käsittely edellyttää tietosuoja-asetuksen mukaista oikeusperustetta. Peruste on määritettävä ennen henkilötietojen käsittelyn aloittamista. Henkilötietojen käsittely perustuu tyypillisesti taloyhtiön oikeutettuihin etuihin, jolloin oikeusperusteena on rekisterinpitäjän
oikeutettu etu (tietosuoja-asetus, 6 artiklan 1 kohdan f alakohta).
Sähköisen lukitusjärjestelmän käyttöön liittyvät oikeutetut edut ovat ensisijaisesti taloyhtiön tilojen käytön hallinta, omaisuuden suojaaminen sekä vahinkotilanteiden tai omaisuusrikosten selvittäminen.
Mikä on oikeutetun edun tasapainotesti?
Henkilötietojen käsittelyn perustuessa oikeutettuun etuun (esim. kiinteistön turvallisuuden takaaminen) on tehtävä dokumentoitu tasapainotesti. Tasapainotestin tarkoitus on arvioida etujen tasapainoa suhteessa rekisteröityjen etuihin. Tasapainotestin erillinen dokumentoiminen on tarpeellista, jotta rekisterinpitäjä pystyy täyttämään osoitusvelvollisuutta koskevan vaatimuksen.
https://tietosuoja.fi/rekisterinpitajan-oikeutettu-etu
Tasapainotestiä ei tule julkaista taloyhtiön informointikanavissa, vaan se on tarkoitettu vain sisäiseen käyttöön.
Jos käytetään jotain muuta oikeusperustetta, esim. suostumusta, tasapainotestiä ei tarvita. Sen sijaan on hyvä muistaa, että suostumuksen käytölle on myös tiukat erityisedellytykset, ks. https://tietosuoja.fi/rekisteroidyn-suostumus
Miten henkilötietojen säilytysaika on määritetty?
Tietosuoja-asetuksessa ei ole määritelty henkilötietojen säilytysaikoja, eikä myöskään säilytysajan
laskentaperusteita. Tietosuoja-asetuksen mukaan henkilötietojen säilytysaika tulee määrittää henkilötietojen käyttötarkoituksen näkökulmasta. Henkilötietoja saa säilyttää vain niin kauan, kuin henkilötiedot ovat tarpeen henkilötietojen käyttötarkoituksen kannalta.
Rekisterinpitäjän vastuulla on varmistaa, että henkilöä koskevat perus- ja yksilöintitiedot sekä henkilölle myönnetyt kulkuoikeudet poistetaan sen jälkeen, kun taloyhtiön ja kyseessä olevan henkilön välinen asianmukainen suhde päättyy, eikä henkilön ole enää tarpeellista saada pääsyä taloyhtiön tiloihin.
Turvajärjestelmän tietojen säilytysaika on tarpeellinen, jotta organisaatio pystyy selvittämään sen
tiloissa mahdollisesti tapahtuvat vahinkotilanteet tai omaisuusrikokset.
Vahinkotilanteen tai omaisuusrikoksen
selvittämisen yhteydessä rekisterinpitäjä voi lisäksi säilyttää tapahtumalokitietoa niin kauan kuin se on
tarpeellista korvausten hakemiseksi, lakisääteisen velvoitteen noudattamiseksi taikka oikeusvaateen
laatimiseksi, esittämiseksi tai puolustamiseksi.
Kuka saa katsoa kameravalvontatallenteita?
Kameravalvonnalle ei ole olemassa omia erityissäännöksiä, vaan siihen sovelletaan samoja sääntöjä, kuin muuhunkin henkilötietojen keräämiseen. Lue lisää.
Mistä voin kysyä lisätietoja?
Autamme toimittamiimme järjestelmiin liittyvissä tietosuojakysymyksissä asiakaspalvelu@ajanlukko.fi tai 03 2541 600.