Taloyhtiön sähköinen varauskalenteri voi olla tietosuojariski
Sähköisissä varauskalentereissa piilee tietosuojariski. Taloyhtiö on aina vastuussa siitä, että tietosuoja toteutuu. Pahimmassa tapauksessa henkilötiedot ovat julkisesti nähtävillä tai asunto altistetaan murtovarkaudelle.
Sähköisten varauskalentereiden käyttö on lisääntynyt merkittävästi taloyhtiöiden viime vuosina tapahtuneen digiloikan myötä. Digijärjestelmien valinnassa oleellinen huomioitava asia on tietoturva eli toimenpiteet, joilla varmistetaan luottamuksellisuus ja tiedon eheys. Tiedon eheydellä tarkoitetaan sitä, ettei kukaan pääse ilman asianmukaisia valtuuksia muokkaamaan tietoja.
On hyvä pitää mielessä, että tietosuojan toteutuminen edellyttää tietoturvaa, sillä tietoturva tarjoaa keinot henkilötietojen suojaamiseen. Tämä usein unohtuu, kun innostus ottaa vallan ja halutaan nopeasti löytää digitaalinen ratkaisu taloyhtiön yksittäiseen tarpeeseen, kuten yhteistilojen varaamiseen.
”Saamme vuosittain muutamia tarjouspyyntöjä sellaisilta taloyhtiöiltä, jotka päätyvät lopulta käyttämään netistä löytämiään ilmaisia varauskalentereita. Usein unohdetaan kuitenkin tärkein asia eli tietoturva”, toteaa Kitte Hamilton, One4allin toimitusjohtaja.
Sähköisten varauskalentereiden henkilötietojen käsittelyssä voi piillä tietosuojariski
Sähköisissä varauskalentereissa on tietosuojariski, jos henkilötietoja käsitellään salaamattomalla HTTP-protokollalla. Tällöin nimittäin kuka tahansa voi päästä käsiksi henkilötietoihin, jos saa haltuunsa linkin, jonka kautta on pääsy esimerkiksi henkilötietoja sisältävälle lomakkeelle tai varausjärjestelmän tietoihin.
Netissä on myös kaikkien nähtävillä olevia avoimia varauskalentereita taloyhtiöille. Niistä näkyy esimerkiksi taloyhtiön ja saunan varanneen asukkaan asunnon tiedot. Jos murtovaras saa tietää, että asunto A:lla on saunavuoro joka perjantai klo 18–20 välillä, altistaa tämä saunavuoron haltijan murtovarkaudelle.
Taloyhtiön hallituksen vastuulla on varmistaa, että edellä mainitun kaltaisia tilanteita ei pääse tapahtumaan. Salaamattomaan tai avoimeen kalenteriohjelmaan tallennetut tiedot ovat kaikille avoimia, eli suurelle yleisölle julkisesti nähtävissä.
Mitä taloyhtiön tulee huomioida sähköisen varauskalenterin valinnassa?
Sähköisen varauskalenterin, kuten minkä tahansa muunkin ohjelmiston valinnassa, tulee huomioida seuraavat asiat:
- Ohjelmiston tulee täyttää GDPR:n vaatimukset ja kattaa henkilötietojen käsittelyn koko elinkaaren.
- Ratkaisun pitää tukea rekisteröidyn oikeuksien toteutumista sekä henkilötietojen asianmukaista ja turvallista käsittelyä.
- Henkilötietoja tulee suojata luvattomalta ja lainvastaiselta käsittelyltä.
- Suojauksesta pitää huolehtia niin tietojen säilytyksen yhteydessä kuin myös tietojen mahdollisen siirronkin yhteydessä.
- Valinnassa pitää varmistaa, että henkilötiedot ovat vain rajattujen henkilöiden käsiteltävissä eivätkä internetissä julkisesti saatavilla. Tietojen tulee olla suojassa, eikä kenenkään ulkopuolisen tule päästä niihin missään muodossa käsiksi.
Tietosuojaperiaatteiden, kuten tietojen minimoinnin periaatteen, tulee olla sisäänrakennettuna järjestelmässä. Järjestelmän pitää taata, että tietoja poistetaan säännöllisesti ja niitä pitää voida poistaa myös rekisteröidyn pyynnöstä.
Hyvän salauksen lisäksi palveluntarjoajan tulee toteuttaa myös muita teknisiä ja organisatorisia toimenpiteitä, joita ovat esimerkiksi pääsynvalvonta järjestelmiin, tarvittavat tietojen pseudonymisoinnit ja henkilöstön tietosuojakoulutus.
Rekisterinpitäjällä on jatkuva vastuu henkilötietojen suojaamisessa
“Taloyhtiö on rekisterinpitäjänä vastuussa asukkaisiin ja osakkaisiin nähden henkilötietojen käsittelystä. Taloyhtiön tuleekin aina varmistaa, että taloyhtiön käyttämien palveluntarjoajien eli henkilötietojen käsittelijöiden tietoturva on hyvällä tasolla”, ohjeistaa asianajaja Ville Salonen, asianajotoimisto Magnusson ja One4allin hallituksen jäsen, ja jatkaa:
“Lisäksi käsittelijän kanssa pitää sopia sekä tietosuojaa että tietoturvaa koskevista periaatteista tietojenkäsittelysopimuksessa. Tietosuoja ja tietoturva kulkevat käsi kädessä. Usein sanotaankin, että ilman tietoturvaa ei ole tietosuojaa – tällöinhän ei voitaisi huolehtia henkilön oikeuksien toteuttamisesta henkilötietoja käsiteltäessä.”
Taloyhtiö on rekisterinpitäjänä vastuussa henkilötietojen käsittelyn turvallisuudesta
Isännöintiyritys on palveluntarjoajana tyypillisesti henkilötietojen käsittelijä. Taloyhtiö rekisterinpitäjänä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, ja isännöintiyrityksen tulee käsitellä henkilötietoja taloyhtiön antamien ohjeiden mukaisesti.
Isännöintiyritys ja taloyhtiö sopivat henkilötietojen käsittelystä tietojenkäsittelysopimuksessa, jonka liitteeksi tulisi lisätä taloyhtiön antamat kirjalliset ohjeet henkilötietojen käsittelystä.
Taloyhtiön käyttämä isännöintiyritys saattaa tarvita myös varauskalenterin sisältämiä henkilötietoja voidakseen suorittaa taloyhtiön sille osoittamia tehtäviä.
Henkilötietojen käsittely salaamattomalla HTTP-protokollalla rikkoo tietosuojavaatimuksia
Salonen kertoo, että tietosuojavaltuutetun toimiston tutkittavana on ollut tapaus, jossa palveluntarjoaja keräsi asiakkaiden tiedonantopyyntöjä avoimella kotisivulomakkeella. Tapauksessa palveluntarjoaja oli käsitellyt henkilötietoja salaamattomalla HTTP-protokollalla ja säilyttänyt henkilötietoja sisältäviä lomakkeita avoimella verkkopalvelimella.
“Lomakkeilla välitetyt tiedot olivat kulkeneet internetissä avoimesti, ja lisäksi lomakkeelle syötetyt tiedot tallentuivat PDF-tiedostoksi verkkopalvelimen tiedostokansioon, joka oli avoin verkkoon. Tietosuojavaltuutetun toimisto katsoi, että toimija laiminlöi velvollisuuksiaan tietojen asianmukaisessa suojaamisessa ja turvallisessa käsittelyssä läpi tietojen käsittelyn elinkaaren”, Salonen kuvailee tapausta.
Rekisterinpitäjän velvollisuus on tehdä jatkuvaa tietoturvaan liittyvää riskiarviointia
Tietyn ratkaisun käyttöönoton jälkeenkin rekisterinpitäjän on jatkuvasti arvioitava käsittelytoimiaan ja niiden riittävyyttä henkilötietojen suojaamisen näkökulmasta. Siksi järjestelmien valinnassa pitää huomioida järjestelmää ylläpitävän yhteistyökumppanin tietoturvan ja tietosuojan ymmärrys ja niiden toteutus.
Rekisterinpitäjän on varmistettava yhteistyökumppanin valmius toteuttaa jatkuvaa tietoturvaan liittyvää riskiarviointia ja kehitystä niin teknisten kuin organisatoristen toimenpiteiden osalta.
One4all kehittää aktiivisesti tietoturvaa ja huolehtii tietosuojan toteutumisesta
One4allin toiminnassa käsitellään jatkuvasti asiakastietoja. Niiden suojaaminen on meille erityisen tärkeää. Yrityksemme tietoturva- ja tietosuojapolitiikka määrittelee periaatteet tietoaineistoturvallisuudelle ja tiedon turvalliselle käsittelylle sen elinkaaren kaikissa vaiheissa.
Hallinnollisilla käytänteillä varmistamme, että tietoturva- ja tietosuojatoiminta sekä tieturvatavoitteet saavat oikean huomion ja prioriteetin toiminnassamme. Seuraamme ja kehitämme aktiivisesti tietoturvatoimintaamme, minkä ansiosta meillä on myös ajantasainen käsitys tietoturvariskeistä ja uhkista.
”Tietoturva ja tietosuoja ovat läsnä kaikessa One4allin tekemisessä, eikä sen kanssa tehdä kompromisseja”, Hamilton päättää.
Otathan meihin yhteyttä, jos tietosuoja huolettaa tai haluat saada lisätietoja tietoturvatoiminnastamme! Kitte Hamilton 040 761 1923 / kitte@one4all.fi