Viime viikkoina minulta on kysytty muutamia kertoja, miten GDPR suhtautuu tietojen keräämiseen esimerkiksi aiemmin myymälästä varastaneista henkilöistä, jotta voitaisiin estää tulevia varkauksia esimerkiksi estämällä näiden henkilöiden saapuminen kauppaan. Tässä kirjoituksessa avaan, onko tällainen rekisteri näpistelijöistä sallittua ja jos on, niin millä edellytyksin.
Rekisterin sallittavuus
Pääsääntöisesti henkilötietojen keräämistä elinkeinotoiminnan käyttöön sääntelee EU:n yleinen tietosuoja-asetus eli GDPR, ja sitä kansallisesti täydentävä tietosuojalaki. Lähtökohtana GDPR:n 6-artiklassa on, että henkilötietojen käsittely on kiellettyä, jos pykälässä sitä ei erikseen nimetä sallituksi. Sallittua henkilötietojen käsittely voi olla seuraavilla perusteilla:
1. Rekisteröidyn suostumus. Ei sovellu näpistelijöiden tapauksessa.
2. Sopimuksen täytäntöönpanemiseksi. Näpistelijöiden ja kaupan välillä ei ole sopimusta.
3. Lakisääteisen velvoitteen noudattamiseksi. Näpistelijöistä ei tarvita tietoa minkään lakisääteisen velvoitteen noudattamiseksi.
4. Elintärkeiden etujen suojaamiseksi. Omaisuuden suoja ei ole tällainen elintärkeä etu. Elintärkeitä etuja ovat mm. terveys ja turvallisuus.
5. Yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi. Kauppiaan eduksi kerättävä rekisteri ei ole yleistä etua varten kerättävä eikä kauppias tai muu elinkeinonharjoittaja yleensä käytä julkista valtaa.
6. Oikeutettujen etujen suojaamiseksi. Tällä perusteella näpistelijöistä voitaisiin kerätä tietoa, tähän liittyy kuitenkin rajoituksia.
GDPR:n perustelukappaleessa 47 oikeutetun edun todetaan olevan kyseessä myös silloin, jos rekisteröidyn ja rekisterinpitäjän välillä ei ole asiakkuus- tai sopimussuhdetta, jos kyseisiä tietoja kerätään esimerkiksi petosten estämistarkoituksessa. Petos on yksi omaisuusrikos muiden joukossa, joten voidaan analogisesti arvioida, että myös näpistysten ja varkauksien torjumiseksi on mahdollista kerätä ja käyttää henkilötietoja.
Henkilötietojen kerääminen ja käyttäminen tällä perusteella kuitenkin edellyttää 6-artiklan mukaan myös sitä, että rekisteröidyn perusoikeudet ja -vapaudet ylittävät tämän suojaintressin tarpeen. Tämä kohta vaatii tulkintaa, mutta jos aiemmin todettiin, että henkilötietojen kerääminen petosten torjumiseksi olisi sallittua, niin saman suojan tulisi ulottua myös näpistyksiin ja varkauksiin. Asetuksen perusteluiden mukaan rekisterinpitäjän oikeutettuja etuja olisi punnittava rekisteröidyn perusoikeuksia vasten seuraavilla perusteilla:
” voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä”
Nämä ongelmat henkilötietojen keruulla voidaan ohittaa esimerkiksi lapulla, jossa todetaan, että ”kaikkien myymälästä tavaraa varastaneiden henkilöiden kuvat, nimet ja muut heiltä saadut henkilötiedot otetaan talteen ja niitä käytetään tulevien omaisuusrikosten ennaltaehkäisemiseksi”. Tällöin myymälästä varastavien henkilöiden tulee ymmärtää, että lopputuloksena voi olla nimen ja naaman jääminen talteen ja ns. porttikielto kyseiseen liikkeeseen.
Joissain tapauksissa en voi kuitenkaan suositella tätä tietojen keräämistä. Saman 6-artiklan mukaisesti perusoikeuksille ja -vapauksille on annettava huomattava paino, jos rekisteröity on lapsi. Tämän vuoksi alle 18-vuotiaiden tietojen kerääminen samaan tarkoitukseen vaatii huomattavasti painavammat perusteet kuin aikuisen kohdalla, minkä vuoksi lasten tietojen käyttö kyseiseen tarkoitukseen on oikeudellisesti huomattavasti riskialttiimpaa.
Miten tietoja kerätessä tulee toimia
Tiedot kerätessä tulee toimittaa tietyt tiedot rekisteröidylle:
1. Rekisterinpitäjän tämän mahdollisen edustajan identiteetti ja yhteystiedot. Tämä tarkoittaa kauppiaan yritystä ja yhteystietoja.
2. Tapauksen mukaan tietosuojavastaavan yhteystiedot.
3. Henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste (tulevien omaisuusrikosten estäminen).
4. Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan (tässä kohtaa riittää omaisuudensuojan mainitseminen).
Myös seuraavat tiedot tulee toimittaa:
1. Henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit. Tämä voi olla tietty vuosimäärä.
2. Rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen.
3. Oikeus tehdä valitus valvontaviranomaiselle.
Tietojen antamiseksi ei tarvitse juosta myymälävarkaan perään, vaan riittää, että tiedot ovat jatkuvasti myymälässä käyvien henkilöiden saatavilla, esimerkiksi tuulikaapissa olevalla julisteella tai jaossa olevilla irtolehtisillä.
Mitä tietoja saa kerätä
Tietosuoja-asetuksen 6-artiklan perusteella. Vain sellaisia tietoja saa kerätä, jotka ovat tarpeen keräämisen tarkoituksen täyttämiseksi. Tällaisia tietoja ovat ainakin nimi ja tunnistetiedot, kuten ulkonäkö, kuva, ikä ja sukupuoli. Myös aiemmista näpistyksistä olevat tiedot saadaan pitää tallessa. Tietoja on säilytettävä siten, että kukaan ylimääräinen henkilö ei pääse niihin käsiksi eli kuvien julkaiseminen esimerkiksi myymälän seinällä ei ole sallittua.
Johtopäätökset
On mahdollista kerätä tietoa myymälävarkaista ja muista tulevien rikosten estämiseksi GDPR:n estämättä, koska GDPR mahdollistaa tietojen keräämisen omaisuuden suojaamiseksi. Tällainen käsittely tosin edellyttää, että rekisteröidylle annetaan tietyt tiedot. Tietojen antamiseksi riittää todennäköisesti tietojen keräämistä koskevien tietojen pitäminen yleisesti nähtävillä esimerkiksi myymälän ovella.
Lue lisää turva-alan kirjoituksiamme:
Eelis Paukku
Lakimies, toimitusjohtaja
KPF Group Oy
