Kameravalvontaa koskevin virhe ei yleensä ole väärä kamera. Se on väärä oletus siitä, että kamera on vain turvallisuustekniikkaa. Tietosuojavaltuutetun mukaan kameravalvonta on henkilötietojen käsittelyä myös silloin, kun kuvaa ei tallenneta, ja Suomessa GDPR:n rinnalla sovelletaan tietosuojalakia (1050/2018) sekä tietyissä ympäristöissä myös erityislainsäädäntöä, kuten työelämän tietosuojalakia (759/2004). Tämä tekee kameravalvonnasta yhtä aikaa teknisen, oikeudellisen ja organisatorisen kokonaisuuden.
Kaikki GDPR- ja lakisivut – valitse aihe
Perusteet ja oikeusperusteet
- Kameravalvonta ja GDPR
- Kameravalvonta ja laki Suomessa
- Oikeutusperuste: oikeutettu etu kameravalvonnassa
- DPIA ja riskienarviointi kameravalvonnassa
Käytännön velvoitteet
- Informointi ja kyltit kameravalvonnassa
- Säilytysajat ja poistokäytännöt
- Rekisteröidyn oikeudet käytännössä
- Tallenteiden luovutus ja viranomaispyynnöt
- Kameravalvonta työpaikalla
Usein kysytyt kysymykset
Mistä GDPR-velvoitteet alkavat kameravalvonnassa?
GDPR ei tule kuvaan vasta silloin, kun tallennetta pyydetään poliisille tai rekisteröity haluaa nähdä omat tietonsa. Se alkaa siitä hetkestä, kun organisaatio määrittää käyttötarkoituksen, valitsee oikeusperusteen, rajaa kameran näkymän, päättää säilytysajan ja päättää, kuka saa katsoa tallenteita. Jos nämä päätökset puuttuvat, kameravalvonta ei ole “keskeneräinen” vaan jo lähtökohtaisesti huonosti rakennettu. Tietosuojavaltuutettu korostaa myös osoitusvelvollisuutta: ratkaisut pitää pystyä perustelemaan, ei vain toteamaan jälkikäteen.
Miksi suhteellisuus ratkaisee kameravalvonnassa?
Kaikkea, mikä olisi teknisesti mahdollista kuvata, ei saa eikä kannata kuvata. Euroopan tietosuojaneuvoston videolaitteita koskevien ohjeiden mukaan tarkoitus pitää yksilöidä riittävän täsmällisesti, ja pelkkä epämääräinen “turvallisuus” ei ole riittävä käyttötarkoitus. Lisäksi rekisterinpitäjän pitää arvioida, onko sama tavoite mahdollista saavuttaa vähemmän yksityisyyteen puuttuvilla keinoilla. Tämä suhteellisuusajattelu on koko siilon tärkein perusajatus: hyvä kameravalvonta ratkaisee oikean riskin oikeassa paikassa eikä yritä hallita kaikkea yhdellä kertaa.
Mitä GDPR käytännössä vaatii kameravalvonnalta?
Oikein toteutettu kameravalvonta on täysin mahdollinen. Se vain edellyttää, että käyttötarkoitus on kirjattu, oikeusperuste valittu, informointi tehty, käyttöoikeudet rajattu, säilytysajat dokumentoitu ja rekisteröidyn oikeuksiin varauduttu käytännössä. Tästä syystä GDPR-sisältö kannattaa rakentaa erilliseksi siiloksi, eikä ripotella samoja lakeja ja samoja bullet-listoja jokaiselle toimialasivulle.
Mikä oikeusperuste sopii mihinkin kameravalvontatilanteeseen?
| Tilanne | Yleisin oikeusperuste | Huomioitavaa |
|---|---|---|
| Yrityksen toimitilat, omaisuuden suoja | Oikeutettu etu | Tasapainotesti tehtävä, dokumentoitava |
| Työnantajan valvonta henkilökuntaan | Oikeutettu etu + laki | Yhteistoimintamenettely pakollinen |
| Julkinen tila tai kauppa | Oikeutettu etu | Suhteellisuus arvioitava tarkasti |
| Taloyhtiön piha, sisäänkäynti | Oikeutettu etu | Hallituksen päätös, asukkaiden tiedotus |
| Biometrinen tunnistus | Nimenomainen suostumus | Pääsääntöisesti korkean riskin käyttö |
Oikeusperusteen valinta on koko GDPR-vaatimustenmukaisuuden lähtöpiste — väärä peruste tekee koko valvontajärjestelystä lainvastaisen riippumatta muista toimenpiteistä. GDPR art. 6 määrittelee lainmukaiset käsittelyperusteet, ja biometristen tietojen käsittelyyn sovelletaan lisäksi art. 9:n erityissäännöksiä.
Esimerkki käytännössä
Kohde: Kauppakeskus, Pirkanmaa, noin 25 000 m²
Kauppakeskuksessa oli toiminut kameravalvonta usean vuoden ajan, mutta GDPR-vaatimustenmukaisuutta ei ollut arvioitu järjestelmällisesti. Tallenteiden säilytysaikaa ei oltu kirjattu tietosuojaselosteeseen, informointikyltit olivat puutteelliset ja tallenteiden katseluoikeuksista ei ollut dokumentaatiota. Rekisteröidyn oikeuksiin vastaamiseksi ei ollut käytännön prosessia.
Kartoituksessa tunnistettiin kolme keskeistä puutetta: säilytysajan dokumentoinnin puuttuminen, kaksitasoisen informointimallin puuttuminen ja rooliperusteisen käyttöoikeushallinnan puute. Korjaustoimenpiteet suunniteltiin ja toteutettiin vaiheistettuna: ensin dokumentaatio, sitten kyltitys ja viimeisenä käyttöoikeuksien rakenteistaminen.
Kuuden viikon kuluessa kauppakeskuksella oli ajantasainen tietosuojaseloste, Euroopan tietosuojaneuvoston suositusten mukainen kaksitasoinen informointi sisäänkäynneillä ja dokumentoitu prosessi rekisteröidyn oikeuspyyntöihin vastaamiseksi.
Yhteenveto: GDPR ja kameravalvonta
Kameravalvonta on henkilötietojen käsittelyä, johon GDPR (erityisesti art. 5, 6 ja 13) ja kansallinen tietosuojalaki (1050/2018) asettavat velvoitteet. Tämä sivu kuvaa velvoitteiden kokonaisuuden — muut silo-4-sivut käsittelevät yksittäisiä osa-alueita, kuten oikeutetun edun tasapainotestiä, DPIA-arviointia ja rekisteröidyn oikeuksia. Lainmukainen kameravalvonta on täysin mahdollista, kun perusteet on valittu ja dokumentoitu oikein. Lataa lakisääteinen kameravalvonnan tietosuojaseloste tästä.
