Kirjoitan nyt toisen kerran kysymyksiä herättäneestä aiheesta eli GDPR:n vaikutuksesta turva-alaan. Tällä kertaa käsittelen yksityisetsivätoimintaa GDPR:n näkökulmasta. GDPR on vaikuttanut Suomessa useisiin toimialoihin viime vuosien aikana, ja sen kaikkia vaikutuksia ei vielä ole edes ymmärretty.
Yksityisetsivätoiminta
Yksityisetsivätoiminnasta ei ole omaa lainsäädäntöään. Yksityisetsivätoimintaa voidaan harjoittaa vartioimisliikkeen muodossa, joten soveltuva laki on laki yksityisistä turvallisuuspalveluista (jatkossa LYTP). Koska LYTP 3 § säätää luvanvaraiseksi ”toimeksiantajaan kohdistuvan rikoksen paljastamisen” ovat useat yksityisetsiväpalvelut LYTP:n mukaan luvanvaraisia eli niihin tarvitaan turvallisuusalan elinkeinolupa. Muussa tapauksessa yksityisetsivätoimintaa kohdellaan kuin mitä tahansa elinkeinoa.
GDPR:n ongelmat yksityisetsivätoiminnan kannalta
GDPR asettaa useita rajoituksia ja velvollisuuksia tietojen käytölle. Yksityisetsivätoiminta on käytännössä kokonaan tietojen keräämistä ja käyttöä. Tämän vuoksi GDPR saattaa aiheuttaa useita ongelmia toimialalle, jos tätä mahdollisuutta ei ole huomioitu kansallisessa lainsäädännössä ja annettu alalle riittäviä oikeuksia tietojen käsittelyyn.
1. Artikla 6, käsittelyn lainmukaisuus
GDPR 6 artikla säätää, että henkilötietoja saa käsitellä vain, jos siihen on laista johtuva peruste. Tällaisia seikkoja voivat olla osapuolen suostumus, lakisääteinen velvollisuus tai osapuolten välisen sopimuksen täytäntöön paneminen. Koska yksityisetsivätoiminnassa ei anneta suostumusta tietojen keräämiseen eikä yksityisetsivällä ole lakisääteistä velvollisuutta kerätä tietoja, eivät nämä sovellu. 6-artiklassa kaksi kohtaa voisivat kuitenkin sallia tietojen keräämisen:
E-alakohta:
”Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.”
F-alakohta:
”Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.”
E-alakohdan soveltuvuutta voitaisiin perustella sillä, että joiltain osin yksityisetsiville on siirretty julkista valtaa, koska heillä on tietyiltä osin oikeus puuttua ihmisten perusoikeuksiin siltä osin, kun vartiointiliiketoiminta sen mahdollistaa. Heille on asetettu myös oikeus loukata ihmisten yksityisyyden suojaa sallimalla heille rikoksen paljastamiseen liittyvät tehtävät. Toisaalta tehtävät, joita GDPR ei koskisi, olisivat vain LYTP:n määrittelemät tehtävät.
F-alakohtaa taas käytetään yleisenä varoventtiilinä kaikelle sallittavaksi haluttavalle toiminnalle, mikä ei kuulu a-e -alakohtien alaisuuteen. Yksityisetsivätoiminnassa pyritään usein turvamaan toimeksiannon antajan oikeutettuja etuja, erityisesti rikosten selvittämisessä ja yritystoimeksiannoissa. GDPR:ää säädettäessä esimerkkeinä tällaisesta oikeutetusta toiminnasta pidettiin juuri alueiden kameravalvontaa, erilaisia järjestelyjä korruption paljastamiseksi sekä tietojen tallentamista käytettäväksi todisteena rikoksessa tai siviiliasiassa.
Erityisesti F-alakohdan nojalla katsoisin, että yksityisetsivätoiminnassa tapahtuva tietojen käsittely on GDPR:n mukaan sallittua erityisesti rikostoimeksiannoissa ja yritystoimeksiannoissa. Monissa yksityishenkilöiden toimeksiannoissa taas tietojen käsittelyn lainmukaisuus saattaa olla kyseenalaista.
2. 13-14 artiklat, ilmoittaminen kun tietoja kerätään rekisteröidyltä
GDPR 13 artikla velvoittaa antamaan rekisteröidylle tiettyjä tietoja silloin, kun henkilötietoja saadaan. Rekisteröidylle eli tarkkailun kohteelle olisi kerrottava mm. mitä tietoja hänestä kerätään, mihin tarkoitukseen, millä perusteella ja kenen intressien vuoksi. Jos tietoja ei saada rekisteröidyltä itseltään sovelletaan GDPR 14 artiklaa ja tiedot on annettava kohtuullisen ajan, kuitenkin enintään kuukauden kuluessa tai jo aiemmin silloin, kun tiedot luovutetaan muulle vastaanottajalle. Tietojen luovuttamisvelvollisuuteen on kuitenkin tiettyjä poikkeuksia: kansallinen laki säätää tietojen luovuttamisesta tai tietoja koskee salassapitovelvollisuus. Tietoja ei ole saatu rekisteröidyltä itseltään, jos hän ei itse ole niitä tietoisesti luovuttanut.
LYPT 9 § säätää salassapitovelvollisuudesta. Tässä pykälässä todetaan, että elinkeinoluvan haltija ei saa oikeudettomasti ilmaista, mitä on saanut tietoonsa toimeksiannon aikana yksityiselämän piiriin kuuluvasta seikasta. Tätä voitaisiin joissain tulkinnoissa laajentaa siihen, että LYTP 9 § mahdollistaisi sen, että tietoja ei tarvitsi luovuttaa kohteelle GDPR 14 -artiklan 5-alakohdan mukaan. Tämä tulkinta on kuitenkin vähintäänkin hutera, ja oikeuskäytännön arvioitavaksi jää, halutaanko tällainen oikeus salassapitoon antaa turva-alan toimijoille. Toisaalta mahdolliset rangaistukset ovat myös hyvin vähäisiä, koska kyseessä on tulkinnanvarainen säädös.
3. 15 artikla, rekisteröidyn oikeus saada pääsy tietoihin
GDPR 15 artikla antaa henkilöille oikeuden kysyä, käsitelläänkö heitä koskevia tietoja ja jos käsitellään, saada tieto mm. käsittelyn tarkoituksesta ja käsitellyistä tietoryhmistä.
Tämä tarkoittaisi, että jos joku epäilisi itseään tarkkailtavan, hän voisi tehdä jokaiselle lähialueen yksityisetsivälle kyselyn siitä, käsitelläänkö häntä koskevia tietoja. Hänelle tulisi tämän mukaan myös antaa tieto siitä, käsitelläänkö näitä tietoja. 15 artiklan alakohta 4 säätää kuitenkin, että oikeus saada tiedot ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Yksityisetsivätoiminnassa tietojen antaminen saattaisi vaikeuttaa toimeksiantoja huomattavasti, mikä saattaisi vaikuttaa toimeksiantajan oikeuksiin ja vapauksiin, jos toimeksianto liittyisi niiden suojaamiseen. Tämän vuoksi katsoisin, että GDPR mahdollistaa joissain toimeksiannoissa myös kieltäytymisen antamasta tietoa siitä, käsitelläänkö tietoa.
Johtopäätökset
Yksityisetsivätoiminta on voimakkaasti GDPR:n vaikutuksen alla. Useat artiklat voisivat tiukkaan sovellettuna jopa estää toimeksiantojen hoitamisen. GDPR sisältää kuitenkin useita poikkeuksia, joiden alle yksityisetsivätoiminta voisi joissain tapauksissa mennä. Tämä edellyttää kuitenkin riittävän suojeltavan intressin olemassaoloa. Tällainen intressi voi olla olemassa erityisesti rikosten paljastamisessa tai yritysten omaisuuden suojaamisessa. Esimerkiksi pettämistapauksissa tällaista intressiä tuskin on olemassa. Tämän vuoksi yksityisetsivätoiminta saattaa lähivuosina joutua kokemaan murroksen, jos GDPR:n sääntöjä aletaan soveltaa toimialaan.
Toinen merkittävä riski alalle on säännösten tulkinnanvaraisuus. Useat toimeksiannot voitaisiin katsota menevän GDPR:n poikkeuksien alle, mutta tämä on laajasti asiasta päättävän tuomioistuimen harkintavallan alla. Tämän vuoksi koko toiminta voitaisiin katsoa kuuluvan kaikkien GDPR:n vaatimusten soveltamisalaan, mikä lopettaisi käytännössä toimialan. Tämä asia jää nähtäväksi oikeuskäytännössä. Jos tähän päädyttäisiin, asiantilaa voitaisiin muuttaa vain säätämällä siitä laissa.
Lue lisää turva-alan kirjoituksiamme:
Eelis Paukku
Lakimies, toimitusjohtaja
KPF Group Oy
Muita kirjoituksia aiheesta:
Tapahtumailmoitus ja GDPR