Ulkotilojen valvonnassa GDPR-informoinnin haaste on toinen kuin sisätiloissa: alueelle pääsee tyypillisesti useasta kohdasta, säätila vaihtelee neljän vuodenajan mukaan ja valvottu alue rajautuu usein yleisten kulkureittien tai naapurikiinteistöjen reunaan. Tietosuojavaltuutetun toimisto on todennut, että kameravalvonta on henkilötietojen käsittelyä myös ilman tallennusta — ja juuri ulkotiloissa GDPR 13 artiklan informointivelvoite kohdataan ennen kuin yksikään kuvakehys on tallentunut. Tämä sivu käsittelee kolmea ulkotilojen erityiskysymystä: kylttien sijoittelua ja näkyvyyttä eri säissä, suhteellisuusperiaatetta julkisten alueiden reunalla sekä WP29-kerroksellisen informoinnin sovellusta ulkoympäristössä.
Miten kyltit sijoitetaan ulkoalueen kulkureittien ja aitojen kulmiin?
Sisätiloissa kyltti sisäänkäynnin yläpuolella riittää useimmiten. Ulkona kuvaus alkaa usein jo silloin, kun lähestyjä on kymmenien metrien päässä rakennuksesta — siksi kyltti pitää sijoittaa kuva-alueen reunaan, ei kohteeseen. GDPR 13 artiklan “ennakollinen informointi” tarkoittaa konkreettisesti, että käyttäjä havaitsee kyltin ennen kuin kamera tallentaa ensimmäisen kuvan hänestä.
Ulkotilojen kylttien sijoitusperiaatteet:
- Kyltti jokaisen sisäänkulun alkuun – portit, aitaaukot, kulkureittien suut
- Asennuskorkeus 1,8–2,2 m: ei lumen peittoon, ei näköalueen yläpuolelle
- Heijastava pinta tai oma LED-valaistus pimeää aikaa varten
- Kontrastiväri talvitaustaa vastaan – lumi peittää valkoiset kyltit
- Useita kylttejä laajalla pihalla: yksi pääportilla ei riitä, jos käyttäjä voi astua alueelle muualta
Laajalla teollisuuspihalla tai logistiikkakeskuksen alueella kylttejä tarvitaan tyypillisesti 4–8 kappaletta. Jos vain pääportti on merkitty mutta huoltoreitti aidan toiselta puolelta ei, GDPR 13 artiklan ennakollinen informointi epäonnistuu kaikilta niiltä, jotka tulevat huoltoreittiä pitkin. Tämä on tyypillinen havainto tietosuojavaltuutetun valvontatarkastuksissa.
Näkyvyys eri säissä on ulkotilojen oma kysymys, jota sisätiloissa ei kohdata. Suomalainen pimeä kausi marraskuusta helmikuuhun on samalla kameravalvonnan käyttöpiikki — silloin kyltin pitää olla luettavissa myös ilman päivänvaloa. Heijastava materiaali tai pieni LED-valaistus on usein välttämätön. Sumu, vesisade ja lumi vähentävät luettavuutta entisestään, joten kyltti ei voi olla pelkkä A4-kokoinen tarra. Haalistunut tai jäätynyt kyltti ei täytä GDPR 12 artiklan “selkeästi ymmärrettävä” -vaatimusta, vaikka se teknisesti olisi paikallaan.
WP29-tyylinen kerroksellinen informointi (Euroopan tietosuojaneuvoston Guidelines 3/2019) toimii ulkotiloissa parhaiten kahdella tasolla. Ensimmäinen taso on kentällä: kameravalvontasymboli, rekisterinpitäjän nimi, käyttötarkoitus tiivistettynä, säilytysaika ja QR-koodi. Toinen taso on verkossa: tarkka tietosuojaseloste 13 artiklan kaikilla pakollisilla tiedoilla. QR-koodi ei ole pelkkä lisämauste – se on käytännössä ainoa keino välittää tarkemmat tiedot ulkotilassa, jossa kyltti ei voi olla pitkä.
Miten suhteellisuusperiaate sovelletaan julkisten alueiden reunalla?
Suurin osa ulkotilavalvonnan GDPR-ongelmista syntyy siitä, että valvotun alueen reuna ei pysähdy rekisterinpitäjän tonttirajaan. Kamera, joka kuvaa varaston oven, kuvaa lähes aina samalla myös vieressä kulkevaa katua, naapurin pihaa tai yleistä jalkakäytävää. Nämä alueet eivät kuulu rekisterinpitäjän vastuualueeseen, joten niiden kuvaaminen rikkoo GDPR 5(1)(c) -tiedonminimointiperiaatetta ja kaventaa 6(1)(f) -oikeutetun edun tasapainotestin myönteistä lopputulosta.
Suhteellisuusperiaate tarkoittaa konkreettisesti: jos käyttötarkoituksena on suojata varastorakennusta murroilta, kuva-alueen pitää kattaa varastorakennuksen seinä ja sen edusta — ei vastapäätä olevaa asuinkiinteistön ikkunaa. Ratkaisuja on kolme: kameran suunnan tai kulmauksen fyysinen muutos, ohjelmistotason pikselimaskaus (privacy zone) ja PTZ-kameroissa kierto- ja kallistuksen rajaus niin, että käyttäjä ei pysty kääntämään kameraa kohti julkista aluetta. Kaikki kolme ovat hyväksyttäviä keinoja, mutta vain ensimmäinen kestää tilanteen, jossa pikselimaskaus epäonnistuu firmware-päivityksen jälkeen.
Suhteellisuusperiaate sitoo myös laajan vs. kohdennetun valvonnan valintaa. Laajakulmainen, korkealle asennettu kamera, joka kattaa puoli hehtaaria pihaa, kerää aina enemmän henkilötietoa kuin matalalle asennettu, tarkasti varaston oveen suunnattu kamera. Jos käyttötarkoituksen voi täyttää kohdennetulla rajauksella, laaja valvonta ei ole GDPR 6(1)(f) -tasapainotestissä kestävä. Dokumentoi käsittelytoimien selosteeseen (30 art.), miksi juuri tämä rajaus on välttämätön – ei vain mikä se on.
Milloin DPIA tarvitaan ulkotilojen aluevalvonnassa?
GDPR 35 artikla edellyttää tietosuojan vaikutustenarviointia, kun käsittely todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille. Ulkotilojen aluevalvonta ylittää tämän kynnyksen tyypillisesti silloin, kun alue rajautuu yleisölle avoimeen tilaan, valvonta on järjestelmällistä ja kattaa ison maantieteellisen alueen. Tietosuojavaltuutetun ohjeistuksen mukaan laajamittainen julkisille henkilöille avoimen alueen kameravalvonta on listattu nimenomaisesti niiden käsittelytoimien joukkoon, joista DPIA on tehtävä.
Käytännön ulkotilatilanteita, joissa DPIA on yleensä välttämätön: laaja pysäköintialue, jossa liikkuu satoja autoja päivässä; logistiikkapiha, jonka aitojen reunat ulottuvat yleisten teiden varteen; satama- tai terminaalialue, jossa ulkopuolisia liikkuu jatkuvasti; sekä mikä tahansa ulkotilan valvonta, johon yhdistetään AI-analytiikka, kasvojentunnistus tai rekisterikilven lukeminen (LPR). Viimeisessä tapauksessa DPIA pitää tehdä myös pienemmässä mittakaavassa, koska biometrinen tai tunnistava käsittely on automaattisesti korkean riskin käsittelyä riippumatta alueen koosta.
Ulkotilojen DPIA-dokumentaation pitää sisältää erityisesti kuva-alueen kartta (mikä on omaa tonttia, mikä rajautuu yleiseen tilaan), maskattujen alueiden määritykset, kylttien sijainnit ja näkyvyysanalyysi sekä perustelu kohdennetun ja laajan valvonnan välillä tehdylle valinnalle. Pelkkä geneerinen DPIA-pohja täyttää muodon mutta ei sisältöä – ulkotila vaatii tilakohtaisen arvion, koska piha-alueen muoto ja ympäristö ovat aina ainutkertaisia.
Ulkotilojen tietosuoja kestää tarkastuksen silloin, kun kylttien sijoittelu, suhteellinen rajaus ja kerroksellinen informointi on suunniteltu ennen kameran asennusta. Pimeyden, sumun ja lumen kestävä kyltti, kohdennettu kuva-alue ja QR-koodin takaa löytyvä tarkka tietosuojaseloste muodostavat yhdessä toteutuksen, joka pitää myös valvontatarkastuksessa.
Yhteenveto
Ulkotilojen GDPR-informointi on ennen kaikkea fyysinen kysymys: kylttejä on oltava jokaisen kulkureitin alussa (aitojen kulmissa, porteilla), niiden pitää olla luettavissa pimeässä, sumussa ja lumessa, ja niiden takana pitää olla QR-koodin kautta saavutettava tarkempi tietosuojaseloste WP29-Guidelines 3/2019 -ohjeen mukaisesti. Suhteellisuusperiaate (GDPR 5(1)(c) ja 6(1)(f)) edellyttää, että kuva-alue rajautuu omaan tonttiin – julkinen katu tai naapurin piha pikselimaskataan tai jätetään suuntaa muuttamalla kuvan ulkopuolelle. DPIA (35 art.) tarvitaan, kun valvonta on laajamittaista, järjestelmällistä ja koskee yleisölle avointa aluetta. Tarkista ulkotilojen tietosuojakäytännöt.
