Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka
Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka
Xxxxxxx Xxxxxx-asunnot Oy:n hallitus 22.8.2018, päivitetty 17.1.2023
Sisällys
Sisällys
2.2 Henkilötietojen käsittely 4
2.3 Henkilötietojen käsittelijä 4
3.2 Tietosuojan tavoitteet ja periaatteet 5
3.3 Oletusarvoinen ja sisäänrakennettu tietosuoja 6
4.1 Yhteistyö viranomaisten kanssa 7
4.2 Tietoturvaloukkauksiin valmistautuminen 7
Tietosuoja on perusoikeus, joka turvaa jokaisen oikeuden yksityisyyteen. Tietosuojaa koskevan lainsäädännön tarkoituksena on varmistaa, että henkilötietoja käsitellään yksityisyyttä kunnioittaen. Tietosuojaa koskevaa lainsäädäntöä on uudistettu vuonna 2018 EU:n tietosuoja asetuksen tullessa voimaan.
Tietosuojapolitiikka on yhtiön johdon laatima ja yhtiön hallituksen hyväksymä asiakirja, joka on ohjeistus tietosuojan kehittämiseen ja ylläpitämiseen. Tämä asiakirja on itse tietosuoja-asetuksen (GDPR) lisäksi ylin tietosuojaa ohjaava dokumentti. Tietosuojapolitiikan tavoitteena on luoda yhtiön toimintaperiaatteet ja käytännöt hyvän ja turvallisen henkilötietojen käsittelyn, säilönnän ja prosessoinnin takaamiseksi (tietoturvatason toteuttamiseksi).
Henkilötietojen käsittelylle on aina oltava laissa säädetty käsittelyn oikeusperuste. Kolarin Vuokra- asunnot Oy:ssä henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisten velvoitteiden noudattamiseksi sekä vuokraustoiminnan ja asiakuuden mahdollistamiseksi sekä ylläpitämiseksi.
Vuokraustoiminnassa henkilötietojen käsittelyn tarkoituksena on vuokralaisen valinta ja vuokra- suhteen hoitaminen. Ennen vuokrasopimuksen tekemistä Kolarin Vuokra-asunnot Oy kerää henkilötietoja vuokralaisehdokkaista. Vuokranantajan oikeus käsitellä tietoja perustuu silloin sopimusta edeltävien toimenpiteiden toteuttamiseen, eli vuokralaisen valintaan. Käsittely tapahtuu vuokralaisen pyynnöstä, kun vuokralaisehdokas antaa itse tietonsa yhtiölle.
Vuokrasopimuksen tekemisen yhteydessä yhtiön ja vuokralaisen välille muodostuu sopimussuhde, joka oikeuttaa yhtiön käsittelemään vuokralaista koskevia tietoja. Vuokrasuhteen perusteella henkilötietoja voi käsitellä sopimuksen tekemistä, vuokrasuhteen hoitamista, laskuttamista ja reklamaatiotilanteiden hoitamista varten. Jos vuokrasopimuksen mukaisten velvoitteiden vakuudeksi annetaan henkilötakaus, on yhtiöllä oikeus käsitellä myös takauksen antaneen henkilön tietoja. Perusteena tietojen käsittelylle on tässäkin tapauksessa sopimussuhde, joka muodostuu yhtiön ja takaajan välille.
Vuokralaisen lisäksi asunnossa saattaa asua myös muita henkilöitä, joiden tietoja Kolarin Vuokra- asunnot Oy:llä on tarve käsitellä. Vuokrasopimuksen perusteella yhtiöllä on oikeus käsitellä tietoja myös vuokralaisen kanssa samassa asunnossa asuvasta avo- tai aviopuolisosta, koska nämä ovat lain mukaan yhteisvastuussa vuokrasopimuksen mukaisista velvoitteista asunnossa asuessaan.
Muiden asukkaiden, kuten perheeseen kuuluvien lasten osalta vuokranantajan oikeus käsitellä henkilötietoja perustuu vuokranantajan oikeutettuun etuun. Omien oikeuksiensa turvaamiseksi vuokranantajalla on oikeus tietää, keitä asunnossa asuu.
Yhtiön noudattaa tietosuojassa riskiperusteista lähestymistapaa. Tämä tarkoittaa, että tietosuoja- asetuksen velvoitteet ja asianmukaiset suojatoimet suhteutetaan henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Riski voi olla korkeampi silloin, kun käsitellään esimerkiksi erityisiä (arkaluontoisia) henkilötietoja, heikommassa asemassa olevien tietoja tai suuria määriä henkilötietoja. Yhtiö rekisterinpitäjänä arvioi perusteellisesti henkilötietojen käsittelyyn liittyvät riskit, jotta tietosuoja-asetuksen sisäänrakennettu ja oletusarvoinen tietosuoja sekä muut säädetyt velvollisuudet toteutuisivat.
Henkilötieto on kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä tieto. Tunnistettavissa olevalla tarkoitetaan luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa tietojen perusteella. Henkilötietoa on näin ollen muun muassa henkilön nimi, henkilötunnus, sijaintitieto ja yhden tai useamman hänelle tunnusomainen fyysinen, fysiologinen, geneettinen, psyykkinen, taloudellinen, kulttuurillinen tai sosiaalinen tekijä, joiden perusteella henkilön voi tunnistaa.
Kaikenlainen toiminta tai toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin, joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Henkilötietojen käsittelynä pidetään muun muassa tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
2.3 Henkilötietojen käsittelijä
Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
Mikä tahansa jäsenneltyä henkilötietoa sisältävä tietojoukko, josta tiedot on saatavilla tietyin perustein. Vuokraustoiminnassa esimerkiksi vuokra-asuntohakemusten sisältämät tiedot muodostavat henkilörekisterin. Henkilörekisteri syntyy myös yhtiön vuokralaisistaan keräämistä tiedoista.
Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Henkilö, jonka tietoja yhtiössä käsitellään. Rekisteröityjä ovat vuokra-asunnon hakija, vuokralainen ja mahdollinen takaussitoumuksen antanut takaaja. Näiden lisäksi rekisteröityjä voivat olla vuokralaisen kanssa samassa asunnossa asuvat henkilöt.
Tietosuojapolitiikka
Sivu 5 / 7
Oikeus henkilötietojen suojaan on jokaiselle kuuluva perusoikeus. Tämä tarkoittaa, että henkilötietojen käsittelyn on oltava asianmukaista ja sille on aina oltava käsittelyperuste. Henkilötietojen suojalla tarkoitetaan jokaiselle turvattua oikeutta tutustua niihin tietoihin, joita hänestä on kerätty ja tarvittaessa myös saada hänestä kerätyt tiedot korjatuiksi, mikäli tietojen oikaisu on tarpeen.
3.2 Tietosuojan tavoitteet ja periaatteet
EU:n yleinen tietosuoja-asetus muodostaa perustan yhtiön henkilötietojen käsittelylle. Asetuksen periaatteet ohjaavat henkilötietojen käyttöä ja turvaavat rekisteröityjen oikeuksia. Henkilötietojen käsittelyssä noudatetaan seuraavia periaatteita.
Lainmukaisuus, kohtuullisuus ja läpinäkyvyys:
Henkilötietoja käsitellään lainmukaisesti, kohtuullisesti ja rekisteröidyn kannalta läpinäkyvästi. Rekisteröidylle tulee olla läpinäkyvää, miten heitä koskevia tietoja kerätään ja käsitellään ja mihin tietoja kerätään.
Käyttötarkoitussidonnaisuus:
Henkilötietoja kerätään vain tiettyä käyttötarkoitusta varten eikä niitä käytetä myöhemmin tarkoitukseen, jolla ei ole sidonnaisuutta kerättyyn käyttötarkoitukseen.
Kolarin Vuokra-asunnot Oy saa kerätä ja käsitellä toiminnan tarkoituksen kannalta tarpeellisia henkilötietoja. Vuokraustoiminnassa tarpeellisia ovat sellaiset tiedot, joiden avulla yhtiö pystyy varmistumaan vuokralaisen henkilöllisyydestä, maksukyvystä ja huoneiston huolellisesta hoidosta. Jos vuokrasopimuksen mukaisten velvoitteiden vakuudeksi annetaan henkilötakaus, yhtiön on tarpeen varmistua myös takaajan henkilöllisyydestä ja maksukyvystä.
Lisäksi vuokra-asunnon hakija tai vuokralainen saattaa olla halukas esittämään oma aloitteisesti asunnon vuokraamisen kannalta merkityksellisiä tietoja tai asiakirjoja. Tällaisten tietojen kerääminen on sallittua, kun ne kerätään vuokra-asunnon hakijan tai vuokralaisen suostumuksella.
Tietojen minimointi:
Henkilötietojen kerääminen rajataan ja minimoidaan suhteessa keräämisen tarkoitukseen ja henkilötietojen ovat asianmukaisia ja olennaisia.
Täsmällisyys:
Henkilötiedot ovat täsmällisiä ja mahdolliset virheelliset tiedot korjataan viipymättä.
Säilytyksen rajoittaminen:
Tietoja säilytetään henkilön tunnistettavassa muodossa niin kauan kuin se on tarpeen tietojen käsittelyn kannalta.
Eheys ja luottamuksellisuus:
Tietosuojapolitiikka
Sivu 6 / 7
Henkilötietojen käsittelyssä varmistetaan tietojen eheys ja luottamuksellisuus. Tietoja suojataan teknisin ja organisatorisin keinoin luvattomalta ja lainvastaiselta käsittelyltä, häviämiseltä ja tuhoutumiselta.
Rekisterinpitäjän osoitusvelvollisuus:
Rekisterinpitäjä on sitoutunut noudattamaan asetusta ja sen periaatteita ja dokumentoimaan toimet, joilla tietosuojaa toteutetaan oletusarvoisesti ja sisäänrakennetusti.
3.3 Oletusarvoinen ja sisäänrakennettu tietosuoja
Yhtiön tavoitteena on luoda oletusarvoinen ja sisäänrakennettu tietosuoja. Tällä tarkoitetaan sitä, että organisaation alkaa toimia tietosuoja-asetuksen vaatimusten mukaisesti päivittäisessä toiminnassaan. Yhtiö käyttää toiminnassaan nykyaikaista ja tietoturvallista teknologiaa riskiperusteisuus huomioon ottaen. Henkilöstölle tarjotaan koulutusta ja ohjeistuksia tietoturvaan ja tietosuojaan liittyen.
Tietosuoja-asetus huomioidaan julkisten hankintojen kilpailutuksessa. Olemassa olevat sopimukset käydään läpi ja päivitetään vastaamaan tietosuoja-asetuksen vaatimuksia. Uusissa sopimuksissa toimitaan tietosuoja-asetuksen vaatimusten mukaisesti. Tietosuoja-asetus huomioidaan myös kaikissa uusissa projekteissa.
Henkilöstö koulutetaan tuntemaan tietosuoja-asetuksen sisältö. Tämä koskee erityisesti henkilötietoja käsitteleviä työntekijöitä. Lisäksi ulkopuolisilta henkilötietojen käsittelijöiltä odotetaan asetuksen mukaista tietojenkäsittelyä.
Ohjeistuksien tulee olla kaikkien saatavilla. Henkilötietojen käsittelyä valvotaan asetuksessa edellyttämällä tavalla. Kaikki tietosuojan toteuttamiseen liittyvät toimenpiteet pyritään dokumentoimaan. Kehitysehdotuksia ja riskejä voi esittää aina yhtiön johdolle.
Rekisterinpitäjällä on velvollisuus informoida rekisteröityjä tietojen käsittelystä. Tiedot on esitettävä tiiviisti läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Yhtiö informoi rekisteröityjä lähtökohtaisesti toimipisteillään. Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö häntä koskevia tietoja ja jos käsitellään, hänellä on oikeus saada tiedot itselleen. Rekisteröidyllä on oikeus tietojensa korjaamiseen ja rajoittamiseen.
Lisäksi rekisteröidyllä on oikeus saada tieto mahdollisesta tietoturvaloukkauksesta, mikäli loukkaus aiheuttaa korkean riskin henkilön oikeuksille ja vapauksille.
Yhtiö on luonut prosessit, jotta rekisteröityjen oikeudet toteutuisivat. Prosesseja kehitetään säännöllisesti.
Yhtiön hallitus hyväksyy tietosuojapolitiikan ja vastaa tarvittavien edellytysten luomisesta niiden toteuttamiseksi.
Tietosuojapolitiikka
Sivu 7 / 7
Henkilötietojen käsittelyn lainmukaisuudesta vastaa yhtiön johto. Johdon vastuulla on huolehtia tietosuojan ja tietoturvan riittävästä resursoinnista ja siitä, että se on oletusarvoista ja sisäänrakennettua. Johdon on varmistettava, että tietosuoja- ja tietoturvaohjeistukset sekä tietoverkon käyttösäännöt ovat henkilöstön hallussa ja että jokainen käy tietosuojaan liittyvän koulutuspäivän.
Yhtiön johto toimii tietosuoja-asioissa asiantuntijoina. Johto kehittää organisaation tietosuojaa. Mikäli henkilöstön jäsen huomaa toiminnassa, järjestelmissä tai prosesseissa henkilötietojen käsittelyyn liittyviä ongelmia, vaaroja tms. voi hän ottaa luottamuksellisesti yhteyttä yhtiön johtoon.
Johto vastaa myös teknisen tietoturvan kehittämisestä, tietojärjestelmien toiminnasta, päivittämisestä ja turvallisuudesta saamiensa resurssien ja toimintavaltuuksien osalta.
Yhtiön koko henkilöstö ja sopimuskumppanit ovat vastuussa siitä, että noudattaa annettuja tietosuoja- ja tietoturvaohjeistuksia. Jokaisella on myös velvollisuus ilmoittaa havaitsemistaan puutteista ja väärinkäytöksistä yhtiön johdolle.
4.1 Yhteistyö viranomaisten kanssa
Rekisterinpitäjällä on velvollisuus toimia yhteistyössä valvontaviranomaisen kanssa heidän niin pyytäessä. Henkilötietojen vaihto on tältä osin lainsäädäntöön perustuvaa.
Tietosuojavaltuutettu on viranomainen, joka ohjaa, neuvoo ja valvoo henkilötietojen käsittelyä henkilötietolain mukaisesti. Tietosuojavaltuutettu käyttää päätösvaltaa tarkastusoikeuden toteuttamista ja tiedon korjaamista koskevissa asioissa sekä antaa ratkaisuja rekisterinpidon lainmukaisuudesta ja rekisteröityjen oikeuksien toteutumisesta.
4.2 Tietoturvaloukkauksiin valmistautuminen
Rekisterinpitäjän velvollisuutena on ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojeluviranomaiselle ja rekisteröidylle. Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Rekisterinpitäjä on sitoutunut ilmoittamaan valvontaviranomaiselle loukkauksesta 72 tunnin kuluessa loukkauksen ilmitulosta.
Rekisterinpitäjä on velvollinen ilmoittamaan loukkauksesta myös rekisteröidylle, mikäli loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille. Rekisterinpitäjä dokumentoi kaikki henkilötietojen tietoturvaloukkaukset.