Tietosuoja-asioita ei ole priorisoitu kiinteistö- ja rakennusalalla, mutta EU:n tietosuoja-asetus GDPR toi niihin uusia velvoitteita. Hankkeessa luotiin sähköinen kanava sekä vakioitu toimintatapa asetuksen noudattamiseen alalla.

Mihin etsittiin ratkaisua?

EU:n tietosuoja-asetus eli GDPR (General Data Protection Regulation) tuli voimaan 25.5.2018, jolloin henkilötietojen käsittelyssä oli ruvettava noudattamaan uusia säännöksiä. Asetuksen piirissä ovat kaikki organisaatiot ja yritykset, jotka käsittelevät EU:n kansalaisten henkilötietoja tai henkilötietoja EU:n alueella.

GDPR toi siis myös kiinteistö- ja rakennusalalle uusia velvoitteita henkilötietojen käsittelylle ja tehosti tietosuojaa merkittävillä hallinnollisilla sanktioilla ja vastuunjakosäännöillä.

Tietosuoja-asioita ei ole aiemmin priorisoitu kiinteistö- ja rakennusalalla, ja lähinnä vain suurimmat toimijat ovat voineet panostaa niihin. Tästä huolimatta alalla käsitellään isoa määrää henkilötietoja.

Jos kiinteistö- ja rakennusalan toimijat eivät ymmärrä tai huomioi GDPR-vaatimuksia, alan digitalisointi ja uusien toimintatapojen omaksuminen voi estyä tai viivästyä. Tämä johtuu esimerkiksi siitä, että kiinteistö- ja rakennusalan verkoston eri osapuolet eivät välttämättä luota toistensa kykyyn toimia voimassaolevan lain mukaisesti.  

Tavoite: vakioida GDPR-toimintamalli 

Hankkeen tavoitteena oli luoda sähköinen kanava sekä vakioitu toimintatapa tietosuoja-asetuksen noudattamiseen kiinteistö- ja rakennusalalla. 

Mitä hankkeessa tehtiin? 

Kokeiluhankkeen ensimmäisessä vaiheessa testattiin GDPR-työkalun toimivuus kiinteistö- ja rakennusalalla, tunnistettiin alan erityistarpeet ja tuotettiin erityistarpeita vastaavia mallidokumentteja.

Lisäksi tuotettiin käytännön ratkaisuja, kuten vakioitu toimintatapa ja sähköinen kanava, jonka kautta rekisteröidyt voivat tarkastaa omat tietonsa MyData-palvelun avulla. MyData on henkilötietojen hallinnan ja käsittelyn periaate, jonka mukaan ihmisillä on oltava mahdollisuus hallita ja hyödyntää valtioiden heistä keräämiä henkilötietoja, kuten teletunnistetietoja, terveystietoja tai liikkumistietoja.

Toisessa vaiheessa edetään laajempaan kiinteistö- ja rakennusalan yritysjoukkoon. Mukaan otetaan myös ulkopuoliset kouluttajat, jotka tukevat tarvittaessa prosessia. Viimeisessä vaiheessa toimintamalli laajennetaan kattamaan kiinteistö- ja rakennusalalla koko pk-sektorin yritysjoukkoa, jota tuetaan koulutusohjelmalla ja yrityskohtaisilla kouluttajilla.

Kenelle tästä on hyötyä?

Kiinteistö- ja rakennusalan yrityksille ja niissä työskenteleville ihmisille. 

Mitä tuloksia kokeilu tuotti? 

Hankkeessa toteutettiin yhteinen koulutuskiertue yhdessä Rakennusteollisuuden kanssa kymmenellä eri paikkakunnalla. Koulutuskiertueen kohderyhmäksi valikoitui ennen kaikkea päätoteuttajat. Lisäksi samalle koulutuskiertueelle osallistui sähköalan yrityksiä. Etsimme koulutuskiertueelle mukaan myös tukipalveluita tarjoavia yhteistyökumppaneita, kuten Citrus ja Ahertava, jotka kykenivät tarvittaessa toimimaan yritystasolla ja auttamaan rakennusyhtiöitä.

Lisäksi loimme projektin yhteydessä KIRA-alan yritysten ja KIRA-alan IT-palveluita käyttävien yritysten avuksi GDPR-kartoituksessa ja työssä helpottavan Tilaajavastuu GDPR -palvelun yhteistyössä Citruksen kanssa. 

Alkuperäisen suunnitelman mukaisesta projektista toteutettiin koulutusjakso ja GDPR sovellus. GDPR-valmiudesta kertovan merkin toteutus jätettiin urakoitsijoilta pois, koska kiinnostusta ei ollut. Merkki tuodaan kuitenkin järjestelmä- ja palveluntoimittajien käyttöön helpottamaan palveluiden hankintaa. Hankkeen tuloksena syntyi KIRA-alalla paremmin suunnattuja GDPR-palvelupaketteja.