Lupauduin käsittelemään yksityisen turva-alan lainsäädäntöä tietosuojasääntelyn näkökulmasta. Koska kysymyksiä on useita, käsittelen ne erillisissä kirjoituksissaan kirjoitussarjana. Tämä ensimmäinen kirjoitus käsittelee turva-alan perussääntelyn eli lain yksityisistä turvallisuuspalveluista (jatkossa LYTP) mukaista tapahtumailmoitusta tietosuojasääntelyn näkökulmasta. Käsittelen tässä kirjoituksessa sekä tietojen keräämistä että tietojen käsittelyä. Käsittelen asian suoraan EU:n yleisen tietosuoja-asetuksen eli GDPR:n näkökulmasta, koska se on EU-asetuksena suoraan sovellettavaa oikeutta ja kansallinen tietosuojalaki ei olennaisilta osiltaan eroa siitä, sekä se sisältää useita viittauksia GDPR:n.
Tapahtumailmoituksen sisältö
Tapahtumailmoituksesta säädetään LYTP:n 8 ja 33 §:ssä, vartijoiden ja järjestyksenvalvojien osalta erikseen. Pykälät ovat sisällöltään lähes identtisiä, paitsi että ensimmäinen käsittelee vartijoita ja heidän työnantajaansa, joka on aina turvallisuusalan elinkeinoluvan harjoittaja ja toinen käsittelee järjestyksenvalvojia, joiden työnantajat voivat olla muitakin tahoja. Sääntelyn asettamat velvoitteet ovat kuitenkin samat: kiinniottamisista ja voimakeinojen käytöstä on laadittava kirjallinen tapahtumailmoitus. Voimakeinojen käyttöä tulkitaan tässä laajasti kaikkina toimenpiteinä, joilla puututaan henkilön perusoikeuksiin. (Tähän en mene tämän laajemmin, koska kyseessä olisi jo oman kirjoituksensa aihe)
Koska tapahtumailmoituksen tarkoituksena on turvata kohteen oikeusturva ja viranomaisen valvonnan toteutuminen, vaaditaan tapahtumailmoitukseen tiettyjä tietoja. Näistä säädetään LYTP:n lisäksi valtioneuvoston asetuksessa yksityisistä turvallisuuspalveluista. Tapahtumailmoituksessa on oltava seuraavat tiedot:
- Käytetyt voimakeinot ja havainnot tilanteesta - JV:n tai vartijan tunnistetiedot ja elinkeinoluvan haltija - Tapahtuma-aika ja paikka - Onko käytetty voimakeinoja tai otettu kiinni - Onko käytetty ampuma-asetta (vartija)
Tapahtumailmoituksessa saadaan tämän asetuksen mukaan mainita tarvittaessa toimenpiteen kohteena olevan henkilön tuntomerkit tämän tunnistamista varten ja havaintoja kohdehenkilön käyttäytymisestä ja tilasta. Näitä sallittuja tuntomerkkejä joita voi kirjata ovat nimi, henkilötunnus ja osoite. Tuntomerkit eivät ole vain ulkoisia seikkoja vaan muitakin ihmisen tunnistamiseen sopivia tietoja kuten ikä tai nimi.
GDPR:n vaatimukset
GDPR asettaa henkilötietojen käsittelylle tiettyjä vaatimuksia. Henkilötiedoilla tarkoitetaan tietoja, joiden perusteella yksittäinen ihminen voidaan tunnistaa. Näitä tietoja ovat mm. nimi, henkilötunnus ja osoite. Kaikki mainitut tiedot ovat siis tietoja, joita tapahtumailmoitukseen saadaan kirjata.
GDPR:ää sovelletaan kokonaan tai osittain automaattiseen henkilötietojen käsittelyyn sekä sellaiseen manuaaliseen käsittelyyn, jossa muodostuu henkilörekisteri. Rekisterejä taas ovat kaikki tietojoukot, josta ” josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.” Tämä kattaa siis myös paperimuotoisen säilytyksen manuaalisista tapahtumailmoituksista. Tapahtumailmoitusten luominen ja säilyttäminen kuuluu siten GDPR:n soveltamisalaan.
GDPR asettaa vaatimuksia:
- Käsittelyyn on oltava peruste (6 artikla)
- Mitä henkilötietoja ei saa käsitellä (9 artikla)
- Velvoite antaa tiettyjä tietoja kerättäessä tietoa rekisteröidyltä (13-14 artikla)
- Velvoite antaa rekisteröidylle pääsy häntä koskeviin henkilötietoihin, jos rekisteröity sitä vaatii (15 artikla)
- Velvoite poistaa tiedot seuraavissa tapauksissa (17 artikla)
Käsittelyn peruste (artikla 6)
GDPR 6-artikla määrittää, milloin henkilötietojen käsittely on ylipäätään lainmukaista. Perusteita voivat tämän artiklan 1-kohdan mukaan olla mm. rekisteröidyn suostumus (yleisin peruste) tai sopimuksen täytäntöönpano. Tämä 1-kohdan kuusikohtainen luettelo on tyhjentävä. 6-artiklan 1-kohdan c-alakohta on peruste sille, miksi tapahtumailmoitusten käsittelyyn on lainmukainen peruste: ”käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi”. Koska velvoite laatia ja säilyttää tapahtumailmoitus on laissa, kuten myös tapahtumailmoitukseen kirjattavat tiedot, perustuu henkilötietojen käsittely lakiin.
Ongelmallisin osa tässä kohdassa on tapahtumailmoituksessa sallitut henkilötiedot eli nimi, henkilötunnus ja osoite. Jos nämä eivät ole tarpeen lakisääteisen velvoitteen toteuttamiseksi, ei niitä saa kirjata. Lain edellyttämä peruste kirjaamiselle voisi kuitenkin olla kohteena olleen asiakkaan yksilöinti, joten en näe tästä aiheutuvan ongelmaa käytännön työssä kovinkaan usein, jos näitä tietoja kirjataan. Kannattaa kuitenkin miettiä aina, onko nimen tai henkilötunnuksen kirjaaminen tarpeellista mistään syystä.
Mitä tietoja ei saa käsitellä (artikla 9)
Tiettyjen tietojen käsittely on lähtökohtaisesti kiellettyä. Näitä tietoja ovat esimerkiksi etninen alkuperä, vakaumus, terveystiedot tai seksuaalinen käyttäytyminen. Näitä tietoja saadaan käsitellä vain tiettyjen perusteiden nojalla, jotka tuskin tulevat kyseeseen turva-alalla, paitsi ehkä e-alakohta ”tietoja, jotka rekisteröity on nimenomaan saattanut julkiseksi.” Neuvoisin kuitenkin jättämään kirjaamatta tapahtumailmoitukseen sellaisia tietoja kuten ”somali”, ”se mies jonka jalka on murtunut” tai ” se toisen miehen kanssa seurusteleva”.
Velvollisuus antaa tietoja, kun rekisteröitävältä kerätään tietoa (artikla 13)
Aina kun rekisteröitävältä kerätään tietoa, rekisterinpitäjän on ilmoitettava tiettyjä tietoja. Näitä tietoja ovat (turvallisuusalalla pienissä yrityksissä olennaiset):
- Rekisterinpitäjä (tapahtumailmoitusten säilyttäjä)
- Henkilötietojen käsittelyn tarkoitukset ja oikeusperusta (henkilön oma oikeusperusta ja LYTP)
- Henkilötietojen vastaanottajat (vastaava hoitaja ja yritys)
- Säilytysaika (kaksi kalenterivuotta alkaen vuoden lopusta)
- Oikeus saada nähdä kerätyt tiedot
- Oikeus valittaa valvontaviranomaiselle
Tämä litania tulisi ilmoittaa henkilölle aina, jos tapahtumailmoitus päätetään laatia tai ryhdytään toimenpiteisiin, jotka edellyttävä tapahtumailmoituksen laatimista. Tiedot on annettava sitten, kun se on sopivaa ja mahdollista. (eli esim. kiinnioton jälkeen tai myöhemmin)
Rekisteröidyn oikeus saada pääsy häntä koskeviin tietoihin (artikla 15)
Rekisteröidyllä on oikeus vaatia, että hänelle annetaan seuraavat tiedot, jos henkilötietoja käsitellään (turva-alalla relevantit):
- Keräämisen/käsittelyn tarkoitukset (laki velvoittaa)
- Henkilötietoryhmät (kerättyjen tietojen tyyppi)
- Säilytysaika
- Oikeus valittaa valvontaviranomaiselle
Velvollisuus poistaa tiedot
Rekisterinpitäjä on myös GDPR:n mukaan velvollinen poistamaan tiedot, jos ne on poistettava kansallisen lain mukaan. Tällainen laki on mm. LYTP, joka vaatii poistamaan tiedot kuukauden kuluessa säilytyspäivän päättymisestä eli kahden kalenterivuoden päättymisestä alkaen kalenterivuoden päättymisestä jona tiedot on kerätty. Muita perusteita vaatia poistamista ei GDPR:n mukaan ole, joten tapahtumailmoituksen poistamisessa ja säilyttämisessä voidaan toimia LYTP:n mukaisesti.
Yhteenveto
Seuraavat GDPR:n asettamat vaatimukset tulee huomioida tapahtumailmoituksissa:
- Ilmoittaa kohteelle että tietoja kerätään, LYTP:stä johtuva peruste ja säilytysaika.
- Kielto kerätä tiettyjä tietoja (etnisyys, seksuaalisuus ja terveys keskeisimmät)
- Velvollisuus antaa tietoa kerätyistä tiedoista rekisteröidylle tämän sitä vaatiessa.
Lue lisää turva-alan kirjoituksiamme:
Eelis Paukku
Lakimies, toimitusjohtaja
KPF Group Oy
Muita turva-alan kirjoituksiani
Voimankäyttövälineiden tarpeeton kantaminen: https://www.kpflaki.com/blog/voimank%C3%A4ytt%C3%B6v%C3%A4lineiden-tarpeeton-kantaminen
Mitä ottaa huomioon asiakkaan avustaessa järjestyksenvalvojaa tai vartijaa: https://www.kpflaki.com/blog/osapuolten-oikeudet-ja-velvollisuudet-asiakkaan-auttaessa-järjestyksenvalvojaa-tai-vartijaa
Järjestyksenvalvojan oikeus kuvata töissä:
Työntekijän oikeus poistaa asiakas: https://www.kpflaki.com/blog/ravintolan-tarjoilijan-oikeus-poistaa-asiakas-ravintolasta
Ravintolan oikeudesta valita asiakkaansa: https://www.kpflaki.com/blog/ravintolalla-on-oikeus-valita-asiakkaansa-yksi-väärinymmärretyimpiä-lauseita ja https://www.kpflaki.com/blog/miksi-asiakas-ei-voi-tulla-ravintolaan-likaisissa-vaatteissa-vaikka-tätä-ei-erikseen-kielletä
Mitä liputtomalle asiakkaalle oikeastaan saa tehdä: https://www.kpflaki.com/blog/voiko-ilman-lippua-olevan-poistaa-yleisötapahtumasta
Hätävarjelu, voimankäyttö ja kamppailulajit: https://www.kpflaki.com/blog/hätävarjelu-voimankäyttö-ja-kamppailulajit
Järjestyksenvalvojan valtuuksien käyttö mahdollisena ongelmana työsuhteelle: https://www.kpflaki.com/blog/voiko-järjestyksenvalvoja-joutua-ongelmiin-valtuuksiensa-käytöstä
Käsitteiden väkivalta- ja voimakäyttö eroista: https://www.kpflaki.com/blog/väkivalta-voimakäyttö