DPIA eli tietosuojan vaikutustenarviointi tarvitaan kameravalvonnassa silloin, kun henkilötietojen käsittely voi aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille. Tämä koskee erityisesti laajamittaista, järjestelmällistä tai uutta teknologiaa hyödyntävää valvontaa. Tietosuojavaltuutetun mukaan vaikutustenarviointi pitää tehdä ennen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa. (Tietosuojavaltuutetun toimisto)
Milloin DPIA kannattaa tehdä?
DPIA kannattaa tehdä aina, kun kameravalvonta menee perinteistä “kamera oven yläpuolella” -tasoa pidemmälle. Erityisesti AI-kameravalvonta, videoanalytiikka, rekisterikilpitunnistus ja laajamittainen aluevalvonta voivat nostaa riskitasoa.
DPIA on erityisen tärkeä, jos valvonta sisältää:
- •laajamittaista yleisölle avoimen alueen valvontaa
- •työntekijöiden järjestelmällistä valvontaa
- •AI-analytiikkaa tai automaattista luokittelua
- •rekisterikilpitunnistusta
- •biometrisiä ominaisuuksia
- •useiden tietolähteiden yhdistämistä
- •pitkäaikaista tai jatkuvaa seurantaa
Mitä DPIA sisältää?
DPIA ei ole lomake, joka täytetään arkistoon pölyttymään. Se on riskienhallinnan työkalu. Siinä arvioidaan, mitä tietoja käsitellään, miksi käsittely on tarpeen, mitä riskejä ihmisille syntyy ja miten riskit pienennetään. GDPR art. 35 velvoittaa rekisterinpitäjän tekemään vaikutustenarvioinnin ennen korkean riskin käsittelyn aloittamista. Jos arvioinnissa ilmenee korkea jäännösriski, asiasta on neuvoteltava tietosuojavaltuutetun kanssa (art. 36).
DPIA:ssa kuvataan yleensä:
- käsittelyn tarkoitus
- käsiteltävät henkilötiedot
- rekisteröityjen ryhmät
- kameravalvonnan laajuus
- käsittelyperuste
- tarpeellisuus ja oikeasuhteisuus
- riskit rekisteröidyille
- tekniset ja organisatoriset suojatoimet
- jäännösriski
- päätös käyttöönotosta tai muutostarpeista
Korkean riskin kriteerit Suomessa
Tietosuojavaltuutetun toimisto on julkaissut luettelon käsittelytoimista, joissa DPIA vaaditaan (GDPR art. 35(4)). Kameravalvonnan osalta korkean riskin käsittelyä on erityisesti laajamittainen ja järjestelmällinen yleisesti käytettävissä olevan alueen valvonta. Suomen tietosuojalaki (1050/2018) täydentää EU:n yleistä tietosuoja-asetusta kansallisilla säännöksillä, mutta DPIA-velvollisuus perustuu suoraan GDPR:n artiklaan 35.
Euroopan tietosuojaneuvosto (EDPB) on ohjeissaan (WP 248 rev.01) määritellyt yhdeksän kriteeriä, joista kahden täyttyessä DPIA on pääsääntöisesti tarpeen. Kameravalvonnassa tyypillisesti täyttyvät ainakin järjestelmällinen seuranta, haavoittuvassa asemassa olevien henkilöiden tietojen käsittely (esimerkiksi työntekijät) sekä uuden teknologian käyttö (kuten tekoälypohjainen videoanalytiikka).
DPIA:n käytännön toteutus
DPIA:n tekemiseen ei ole yhtä pakollista mallia, mutta GDPR art. 35(7) edellyttää vähintään seuraavat osiot: järjestelmällinen kuvaus käsittelytoimista ja niiden tarkoituksista, arvio käsittelyn tarpeellisuudesta ja oikeasuhteisuudesta, arvio rekisteröityjen oikeuksiin ja vapauksiin kohdistuvista riskeistä sekä suunnitellut toimenpiteet riskien pienentämiseksi.
Käytännössä DPIA kannattaa aloittaa kartoittamalla kameravalvonnan kattamat alueet, kameroiden määrä ja tallennuksen kesto. Tämän jälkeen tunnistetaan rekisteröityjen ryhmät – esimerkiksi työntekijät, asiakkaat ja satunnaiset ohikulkijat – ja arvioidaan, miten valvonta vaikuttaa heidän yksityisyyteensä. Suojatoimenpiteinä voidaan arvioida esimerkiksi tallenteiden salaus, käyttöoikeuksien rajoittaminen, säilytysajan lyhentäminen ja informointikylttien sijoittelu.
Jos DPIA paljastaa korkean jäännösriskin, rekisterinpitäjän on GDPR art. 36 mukaisesti konsultoitava tietosuojavaltuutetun toimistoa ennen käsittelyn aloittamista. Tietosuojavaltuutettu voi antaa suosituksia tai jopa kieltää käsittelyn.
Yhteenveto: DPIA vs. muu dokumentointi
DPIA eroaa tavallisesta tietosuojaselosteesta tai oikeusperustedokumentista: se on ennakoiva riskiarvio, ei jälkikäteinen kuvaus. Oikeutetun edun tasapainotesti (ks. oikeutettu-etu) arvioi käsittelyperusteen — DPIA arvioi riskit rekisteröidyille. Molemmat voidaan tarvita, mutta ne ovat erillisiä dokumentteja eri tarkoituksiin.
DPIA:n merkitys suomalaisessa valvontaympäristössä
Suomen tietosuojavaltuutetun toimisto on antanut useita päätöksiä, joissa kameravalvonnan puutteellinen vaikutustenarviointi on johtanut huomautuksiin tai hallinnollisiin seuraamuksiin. Erityisen kriittiseksi DPIA nousee kohteissa, joissa kameravalvonta yhdistyy tekoälypohjaiseen analytiikkaan – esimerkiksi kasvojentunnistukseen tai käyttäytymisanalyysiin – koska tällöin käsittelyn riski rekisteröidyille kasvaa merkittävästi. Suomessa DPIA on käytännössä pakollinen myös taloyhtiöiden yhteistilojen kameravalvonnassa, kun se kattaa laajamittaisesti asukkaiden liikkumisen. Tietosuojavaltuutetun ohjeistus korostaa, että DPIA:ta ei tehdä kertaluonteisesti vaan se päivitetään aina, kun valvonnan laajuutta, analytiikkaa tai tallennuskäytäntöjä muutetaan olennaisesti. Lataa lakisääteinen kameravalvonnan tietosuojaseloste tästä.
