GDPR ja turva-ala osa 1: GDPR ja LYTP mukainen tapahtumailmoitus

Lupauduin käsittelemään yksityisen turva-alan lainsäädäntöä tietosuojasääntelyn näkökulmasta. Koska kysymyksiä on useita, käsittelen ne erillisissä kirjoituksissaan kirjoitussarjana. Tämä ensimmäinen kirjoitus käsittelee turva-alan perussääntelyn eli lain yksityisistä turvallisuuspalveluista (jatkossa LYTP) mukaista tapahtumailmoitusta tietosuojasääntelyn näkökulmasta. Käsittelen tässä kirjoituksessa sekä tietojen keräämistä että tietojen käsittelyä. Käsittelen asian suoraan EU:n yleisen tietosuoja-asetuksen eli GDPR:n näkökulmasta, koska se on EU-asetuksena suoraan sovellettavaa oikeutta ja kansallinen tietosuojalaki ei olennaisilta osiltaan eroa siitä, sekä se sisältää useita viittauksia GDPR:n.


Tapahtumailmoituksen sisältö


Tapahtumailmoituksesta säädetään LYTP:n 8 ja 33 §:ssä, vartijoiden ja järjestyksenvalvojien osalta erikseen. Pykälät ovat sisällöltään lähes identtisiä, paitsi että ensimmäinen käsittelee vartijoita ja heidän työnantajaansa, joka on aina turvallisuusalan elinkeinoluvan harjoittaja ja toinen käsittelee järjestyksenvalvojia, joiden työnantajat voivat olla muitakin tahoja. Sääntelyn asettamat velvoitteet ovat kuitenkin samat: kiinniottamisista ja voimakeinojen käytöstä on laadittava kirjallinen tapahtumailmoitus. Voimakeinojen käyttöä tulkitaan tässä laajasti kaikkina toimenpiteinä, joilla puututaan henkilön perusoikeuksiin. (Tähän en mene tämän laajemmin, koska kyseessä olisi jo oman kirjoituksensa aihe)


Koska tapahtumailmoituksen tarkoituksena on turvata kohteen oikeusturva ja viranomaisen valvonnan toteutuminen, vaaditaan tapahtumailmoitukseen tiettyjä tietoja. Näistä säädetään LYTP:n lisäksi valtioneuvoston asetuksessa yksityisistä turvallisuuspalveluista. Tapahtumailmoituksessa on oltava seuraavat tiedot:


- Käytetyt voimakeinot ja havainnot tilanteesta - JV:n tai vartijan tunnistetiedot ja elinkeinoluvan haltija - Tapahtuma-aika ja paikka - Onko käytetty voimakeinoja tai otettu kiinni - Onko käytetty ampuma-asetta (vartija)


Tapahtumailmoituksessa saadaan tämän asetuksen mukaan mainita tarvittaessa toimenpiteen kohteena olevan henkilön tuntomerkit tämän tunnistamista varten ja havaintoja kohdehenkilön käyttäytymisestä ja tilasta. Näitä sallittuja tuntomerkkejä joita voi kirjata ovat nimi, henkilötunnus ja osoite. Tuntomerkit eivät ole vain ulkoisia seikkoja vaan muitakin ihmisen tunnistamiseen sopivia tietoja kuten ikä tai nimi.


GDPR:n vaatimukset


GDPR asettaa henkilötietojen käsittelylle tiettyjä vaatimuksia. Henkilötiedoilla tarkoitetaan tietoja, joiden perusteella yksittäinen ihminen voidaan tunnistaa. Näitä tietoja ovat mm. nimi, henkilötunnus ja osoite. Kaikki mainitut tiedot ovat siis tietoja, joita tapahtumailmoitukseen saadaan kirjata.


GDPR:ää sovelletaan kokonaan tai osittain automaattiseen henkilötietojen käsittelyyn sekä sellaiseen manuaaliseen käsittelyyn, jossa muodostuu henkilörekisteri. Rekisterejä taas ovat kaikki tietojoukot, josta ” josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.” Tämä kattaa siis myös paperimuotoisen säilytyksen manuaalisista tapahtumailmoituksista. Tapahtumailmoitusten luominen ja säilyttäminen kuuluu siten GDPR:n soveltamisalaan.

GDPR asettaa vaatimuksia:


- Käsittelyyn on oltava peruste (6 artikla)

- Mitä henkilötietoja ei saa käsitellä (9 artikla)

- Velvoite antaa tiettyjä tietoja kerättäessä tietoa rekisteröidyltä (13-14 artikla)

- Velvoite antaa rekisteröidylle pääsy häntä koskeviin henkilötietoihin, jos rekisteröity sitä vaatii (15 artikla)

- Velvoite poistaa tiedot seuraavissa tapauksissa (17 artikla)


Käsittelyn peruste (artikla 6)


GDPR 6-artikla määrittää, milloin henkilötietojen käsittely on ylipäätään lainmukaista. Perusteita voivat tämän artiklan 1-kohdan mukaan olla mm. rekisteröidyn suostumus (yleisin peruste) tai sopimuksen täytäntöönpano. Tämä 1-kohdan kuusikohtainen luettelo on tyhjentävä. 6-artiklan 1-kohdan c-alakohta on peruste sille, miksi tapahtumailmoitusten käsittelyyn on lainmukainen peruste: käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi”. Koska velvoite laatia ja säilyttää tapahtumailmoitus on laissa, kuten myös tapahtumailmoitukseen kirjattavat tiedot, perustuu henkilötietojen käsittely lakiin.


Ongelmallisin osa tässä kohdassa on tapahtumailmoituksessa sallitut henkilötiedot eli nimi, henkilötunnus ja osoite. Jos nämä eivät ole tarpeen lakisääteisen velvoitteen toteuttamiseksi, ei niitä saa kirjata. Lain edellyttämä peruste kirjaamiselle voisi kuitenkin olla kohteena olleen asiakkaan yksilöinti, joten en näe tästä aiheutuvan ongelmaa käytännön työssä kovinkaan usein, jos näitä tietoja kirjataan. Kannattaa kuitenkin miettiä aina, onko nimen tai henkilötunnuksen kirjaaminen tarpeellista mistään syystä.


Mitä tietoja ei saa käsitellä (artikla 9)


Tiettyjen tietojen käsittely on lähtökohtaisesti kiellettyä. Näitä tietoja ovat esimerkiksi etninen alkuperä, vakaumus, terveystiedot tai seksuaalinen käyttäytyminen. Näitä tietoja saadaan käsitellä vain tiettyjen perusteiden nojalla, jotka tuskin tulevat kyseeseen turva-alalla, paitsi ehkä e-alakohta ”tietoja, jotka rekisteröity on nimenomaan saattanut julkiseksi.” Neuvoisin kuitenkin jättämään kirjaamatta tapahtumailmoitukseen sellaisia tietoja kuten ”somali”, ”se mies jonka jalka on murtunut” tai ” se toisen miehen kanssa seurusteleva”.


Velvollisuus antaa tietoja, kun rekisteröitävältä kerätään tietoa (artikla 13)


Aina kun rekisteröitävältä kerätään tietoa, rekisterinpitäjän on ilmoitettava tiettyjä tietoja. Näitä tietoja ovat (turvallisuusalalla pienissä yrityksissä olennaiset):


- Rekisterinpitäjä (tapahtumailmoitusten säilyttäjä)

- Henkilötietojen käsittelyn tarkoitukset ja oikeusperusta (henkilön oma oikeusperusta ja LYTP)

- Henkilötietojen vastaanottajat (vastaava hoitaja ja yritys)

- Säilytysaika (kaksi kalenterivuotta alkaen vuoden lopusta)

- Oikeus saada nähdä kerätyt tiedot

- Oikeus valittaa valvontaviranomaiselle


Tämä litania tulisi ilmoittaa henkilölle aina, jos tapahtumailmoitus päätetään laatia tai ryhdytään toimenpiteisiin, jotka edellyttävä tapahtumailmoituksen laatimista. Tiedot on annettava sitten, kun se on sopivaa ja mahdollista. (eli esim. kiinnioton jälkeen tai myöhemmin)


Rekisteröidyn oikeus saada pääsy häntä koskeviin tietoihin (artikla 15)


Rekisteröidyllä on oikeus vaatia, että hänelle annetaan seuraavat tiedot, jos henkilötietoja käsitellään (turva-alalla relevantit):

- Keräämisen/käsittelyn tarkoitukset (laki velvoittaa)

- Henkilötietoryhmät (kerättyjen tietojen tyyppi)

- Säilytysaika

- Oikeus valittaa valvontaviranomaiselle


Velvollisuus poistaa tiedot


Rekisterinpitäjä on myös GDPR:n mukaan velvollinen poistamaan tiedot, jos ne on poistettava kansallisen lain mukaan. Tällainen laki on mm. LYTP, joka vaatii poistamaan tiedot kuukauden kuluessa säilytyspäivän päättymisestä eli kahden kalenterivuoden päättymisestä alkaen kalenterivuoden päättymisestä jona tiedot on kerätty. Muita perusteita vaatia poistamista ei GDPR:n mukaan ole, joten tapahtumailmoituksen poistamisessa ja säilyttämisessä voidaan toimia LYTP:n mukaisesti.


Yhteenveto


Seuraavat GDPR:n asettamat vaatimukset tulee huomioida tapahtumailmoituksissa:

- Ilmoittaa kohteelle että tietoja kerätään, LYTP:stä johtuva peruste ja säilytysaika.

- Kielto kerätä tiettyjä tietoja (etnisyys, seksuaalisuus ja terveys keskeisimmät)

- Velvollisuus antaa tietoa kerätyistä tiedoista rekisteröidylle tämän sitä vaatiessa.


Lue lisää turva-alan kirjoituksiamme:

https://www.kpflaki.com/blog/categories/turva-ala


Eelis Paukku

Lakimies, toimitusjohtaja

KPF Group Oy




















Muita turva-alan kirjoituksiani

Voimankäyttövälineiden tarpeeton kantaminen: https://www.kpflaki.com/blog/voimank%C3%A4ytt%C3%B6v%C3%A4lineiden-tarpeeton-kantaminen

Mitä ottaa huomioon asiakkaan avustaessa järjestyksenvalvojaa tai vartijaa: https://www.kpflaki.com/blog/osapuolten-oikeudet-ja-velvollisuudet-asiakkaan-auttaessa-järjestyksenvalvojaa-tai-vartijaa

Järjestyksenvalvojan oikeus kuvata töissä:

https://www.kpflaki.com/blog/järjestyksenvalvojan-oikeus-kuvata-töissä

Työntekijän oikeus poistaa asiakas: https://www.kpflaki.com/blog/ravintolan-tarjoilijan-oikeus-poistaa-asiakas-ravintolasta

Ravintolan oikeudesta valita asiakkaansa: https://www.kpflaki.com/blog/ravintolalla-on-oikeus-valita-asiakkaansa-yksi-väärinymmärretyimpiä-lauseita ja https://www.kpflaki.com/blog/miksi-asiakas-ei-voi-tulla-ravintolaan-likaisissa-vaatteissa-vaikka-tätä-ei-erikseen-kielletä

Mitä liputtomalle asiakkaalle oikeastaan saa tehdä: https://www.kpflaki.com/blog/voiko-ilman-lippua-olevan-poistaa-yleisötapahtumasta

Hätävarjelu, voimankäyttö ja kamppailulajit: https://www.kpflaki.com/blog/hätävarjelu-voimankäyttö-ja-kamppailulajit

Järjestyksenvalvojan valtuuksien käyttö mahdollisena ongelmana työsuhteelle: https://www.kpflaki.com/blog/voiko-järjestyksenvalvoja-joutua-ongelmiin-valtuuksiensa-käytöstä

Käsitteiden väkivalta- ja voimakäyttö eroista: https://www.kpflaki.com/blog/väkivalta-voimakäyttö

392 katselukertaa

© 2018 KPF GROUP OY

  • Facebook Social Icon
  • LinkedIn Social Icon
  • Twitter Social Icon