Ota yhteyttä

Taloyhtiön sähköinen varauskalenteri voi olla tietosuojariski

Sähköisissä varauskalentereissa piilee tietosuojariski. Taloyhtiö on aina vastuussa siitä, että tietosuoja toteutuu. Pahimmassa tapauksessa henkilötiedot ovat julkisesti nähtävillä tai asunto altistetaan murtovarkaudelle.

Sähköisten varauskalentereiden käyttö on lisääntynyt merkittävästi taloyhtiöiden viime vuosina tapahtuneen digiloikan myötä. Digijärjestelmien valinnassa oleellinen huomioitava asia on tietoturva eli toimenpiteet, joilla varmistetaan luottamuksellisuus ja tiedon eheys. Tiedon eheydellä tarkoitetaan sitä, ettei kukaan pääse ilman asianmukaisia valtuuksia muokkaamaan tietoja.

On hyvä pitää mielessä, että tietosuojan toteutuminen edellyttää tietoturvaa, sillä tietoturva tarjoaa keinot henkilötietojen suojaamiseen. Tämä usein unohtuu, kun innostus ottaa vallan ja halutaan nopeasti löytää digitaalinen ratkaisu taloyhtiön yksittäiseen tarpeeseen, kuten yhteistilojen varaamiseen. 

”Saamme vuosittain muutamia tarjouspyyntöjä sellaisilta taloyhtiöiltä, jotka päätyvät lopulta käyttämään netistä löytämiään ilmaisia varauskalentereita. Usein unohdetaan kuitenkin tärkein asia eli tietoturva”, toteaa Kitte Hamilton, One4allin toimitusjohtaja.

Henkilökuvassa Kitte Hamilton, joka tietää miten taloyhtiön sähköisen varauskalenterin tietosuojariskit voi estää toteutumasta.
One4allin toimitusjohtaja Kitte Hamilton alleviivaa, että varauskalentereita ja digitaalisia ratkaisuja valittaessa tulee aina muistaa huomioida tietosuojan toteutuminen.

Sähköisten varauskalentereiden henkilötietojen käsittelyssä voi piillä tietosuojariski 

Sähköisissä varauskalentereissa on tietosuojariski, jos henkilötietoja käsitellään salaamattomalla HTTP-protokollalla. Tällöin nimittäin kuka tahansa voi päästä käsiksi henkilötietoihin, jos saa haltuunsa linkin, jonka kautta on pääsy esimerkiksi henkilötietoja sisältävälle lomakkeelle tai varausjärjestelmän tietoihin.

Netissä on myös kaikkien nähtävillä olevia avoimia varauskalentereita taloyhtiöille. Niistä näkyy esimerkiksi taloyhtiön ja saunan varanneen asukkaan asunnon tiedot. Jos murtovaras saa tietää, että asunto A:lla on saunavuoro joka perjantai klo 18–20 välillä, altistaa tämä saunavuoron haltijan murtovarkaudelle.

Taloyhtiön hallituksen vastuulla on varmistaa, että edellä mainitun kaltaisia tilanteita ei pääse tapahtumaan. Salaamattomaan tai avoimeen kalenteriohjelmaan tallennetut tiedot ovat kaikille avoimia, eli suurelle yleisölle julkisesti nähtävissä.

Mitä taloyhtiön tulee huomioida sähköisen varauskalenterin valinnassa?

Sähköisen varauskalenterin, kuten minkä tahansa muunkin ohjelmiston valinnassa, tulee huomioida seuraavat asiat:

  • Ohjelmiston tulee täyttää GDPR:n vaatimukset ja kattaa henkilötietojen käsittelyn koko elinkaaren.
  • Ratkaisun pitää tukea rekisteröidyn oikeuksien toteutumista sekä henkilötietojen asianmukaista ja turvallista käsittelyä. 
  • Henkilötietoja tulee suojata luvattomalta ja lainvastaiselta käsittelyltä. 
  • Suojauksesta pitää huolehtia niin tietojen säilytyksen yhteydessä kuin myös tietojen mahdollisen siirronkin yhteydessä.
  • Valinnassa pitää varmistaa, että henkilötiedot ovat vain rajattujen henkilöiden käsiteltävissä eivätkä internetissä julkisesti saatavilla. Tietojen tulee olla suojassa, eikä kenenkään ulkopuolisen tule päästä niihin missään muodossa käsiksi.

Tietosuojaperiaatteiden, kuten tietojen minimoinnin periaatteen, tulee olla sisäänrakennettuna järjestelmässä. Järjestelmän pitää taata, että tietoja poistetaan säännöllisesti ja niitä pitää voida poistaa myös rekisteröidyn pyynnöstä. 

Hyvän salauksen lisäksi palveluntarjoajan tulee toteuttaa myös muita teknisiä ja organisatorisia toimenpiteitä, joita ovat esimerkiksi pääsynvalvonta järjestelmiin, tarvittavat tietojen pseudonymisoinnit ja henkilöstön tietosuojakoulutus.  

Rekisterinpitäjällä on jatkuva vastuu henkilötietojen suojaamisessa

“Taloyhtiö on rekisterinpitäjänä vastuussa asukkaisiin ja osakkaisiin nähden henkilötietojen käsittelystä. Taloyhtiön tuleekin aina varmistaa, että taloyhtiön käyttämien palveluntarjoajien eli henkilötietojen käsittelijöiden tietoturva on hyvällä tasolla”, ohjeistaa asianajaja Ville Salonen, asianajotoimisto Magnusson ja One4allin hallituksen jäsen, ja jatkaa:

“Lisäksi käsittelijän kanssa pitää sopia sekä tietosuojaa että tietoturvaa koskevista periaatteista tietojenkäsittelysopimuksessa. Tietosuoja ja tietoturva kulkevat käsi kädessä. Usein sanotaankin, että ilman tietoturvaa ei ole tietosuojaa – tällöinhän ei voitaisi huolehtia henkilön oikeuksien toteuttamisesta henkilötietoja käsiteltäessä.”

Henkilökuvassa Ville Salonen, joka muistuttaa sähköisen varauskalenterin tietoturvauhkista.
One4allin hallituksen jäsen Ville Salonen muistuttaa, että taloyhtiö on rekisterinpitäjänä vastuussa asukkaisiin ja osakkaisiin nähden henkilötietojen käsittelystä.

Taloyhtiö on rekisterinpitäjänä vastuussa henkilötietojen käsittelyn turvallisuudesta

Isännöintiyritys on palveluntarjoajana tyypillisesti henkilötietojen käsittelijä. Taloyhtiö rekisterinpitäjänä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, ja isännöintiyrityksen tulee käsitellä henkilötietoja taloyhtiön antamien ohjeiden mukaisesti. 

Isännöintiyritys ja taloyhtiö sopivat henkilötietojen käsittelystä tietojenkäsittelysopimuksessa, jonka liitteeksi tulisi lisätä taloyhtiön antamat kirjalliset ohjeet henkilötietojen käsittelystä.

Taloyhtiön käyttämä isännöintiyritys saattaa tarvita myös varauskalenterin sisältämiä henkilötietoja voidakseen suorittaa taloyhtiön sille osoittamia tehtäviä.

Henkilötietojen käsittely salaamattomalla HTTP-protokollalla rikkoo tietosuojavaatimuksia

Salonen kertoo, että tietosuojavaltuutetun toimiston tutkittavana on ollut tapaus, jossa palveluntarjoaja keräsi asiakkaiden tiedonantopyyntöjä avoimella kotisivulomakkeella. Tapauksessa palveluntarjoaja oli käsitellyt henkilötietoja salaamattomalla HTTP-protokollalla ja säilyttänyt henkilötietoja sisältäviä lomakkeita avoimella verkkopalvelimella.

“Lomakkeilla välitetyt tiedot olivat kulkeneet internetissä avoimesti, ja lisäksi lomakkeelle syötetyt tiedot tallentuivat PDF-tiedostoksi verkkopalvelimen tiedostokansioon, joka oli avoin verkkoon. Tietosuojavaltuutetun toimisto katsoi, että toimija laiminlöi velvollisuuksiaan tietojen asianmukaisessa suojaamisessa ja turvallisessa käsittelyssä läpi tietojen käsittelyn elinkaaren”, Salonen kuvailee tapausta.

Kuva tietokoneesta, jonka ruudulla näkyy sähköinen varauskalenteri.
Sähköisten varauskalentereiden käyttö on lisääntynyt merkittävästi taloyhtiöissä. Digijärjestelmien valinnassa oleellinen huomioitava asia on tietoturva.

Rekisterinpitäjän velvollisuus on tehdä jatkuvaa tietoturvaan liittyvää riskiarviointia

Tietyn ratkaisun käyttöönoton jälkeenkin rekisterinpitäjän on jatkuvasti arvioitava käsittelytoimiaan ja niiden riittävyyttä henkilötietojen suojaamisen näkökulmasta. Siksi järjestelmien valinnassa pitää huomioida järjestelmää ylläpitävän yhteistyökumppanin tietoturvan ja tietosuojan ymmärrys ja niiden toteutus. 

Rekisterinpitäjän on varmistettava yhteistyökumppanin valmius toteuttaa jatkuvaa tietoturvaan liittyvää riskiarviointia ja kehitystä niin teknisten kuin organisatoristen toimenpiteiden osalta.

One4all kehittää aktiivisesti tietoturvaa ja huolehtii tietosuojan toteutumisesta 

One4allin toiminnassa käsitellään jatkuvasti asiakastietoja. Niiden suojaaminen on meille erityisen tärkeää. Yrityksemme tietoturva- ja tietosuojapolitiikka määrittelee periaatteet tietoaineistoturvallisuudelle ja tiedon turvalliselle käsittelylle sen elinkaaren kaikissa vaiheissa.

Hallinnollisilla käytänteillä varmistamme, että tietoturva- ja tietosuojatoiminta sekä tieturvatavoitteet saavat oikean huomion ja prioriteetin toiminnassamme. Seuraamme ja kehitämme aktiivisesti tietoturvatoimintaamme, minkä ansiosta meillä on myös ajantasainen käsitys tietoturvariskeistä ja uhkista. 

”Tietoturva ja tietosuoja ovat läsnä kaikessa One4allin tekemisessä, eikä sen kanssa tehdä kompromisseja”, Hamilton päättää.

Otathan meihin yhteyttä, jos tietosuoja huolettaa tai haluat saada lisätietoja tietoturvatoiminnastamme! Kitte Hamilton 040 761 1923 /  [email protected]

Jaa: Facebook · LinkedIn · Twitter

Tuotteet ja palvelut

Asiakastarinat

Saattaisit olla kiinnostunut myös näistä

Haluatko kuulla lisää tai kysyä lisätietoja?

Soita tai lähetä minulle sähköpostia – kuulisin mielelläni kuinka voimme olla avuksesi. Yhteydenotto ei sido sinua mihinkään.

Henry Hietavala, myynti