Kameravalvonnan tietosuojavaatimukset perustuvat EU:n yleiseen tietosuoja-asetukseen (GDPR, asetus 2016/679) ja sitä täydentävään Suomen tietosuojalakiin (1050/2018). Käytännössä jokainen kamera, joka tallentaa tai edes välittää tunnistettavissa olevan henkilön kuvaa, kuuluu GDPR:n soveltamisalaan. Tämä koskee yrityksiä, taloyhtiöitä, julkista sektoria ja yksityishenkilöitä silloin, kun valvonta ulottuu julkiseen tilaan. Erityisesti artiklat 5 (käsittelyn periaatteet), 6 (oikeusperuste), 13–14 (informointivelvoite), 15 (tarkastusoikeus), 17 (poisto-oikeus) ja 35 (vaikutustenarviointi) ovat kameravalvonnan kannalta keskeisiä. Suomen tietosuojalaki tarkentaa kansallisia erityistilanteita, kuten alle 16-vuotiaiden tietojen käsittelyä ja hallinnollisten seuraamusten soveltamista.
Työpaikalla tapahtuva kameravalvonta kuuluu lisäksi lain yksityisyyden suojasta työelämässä (759/2004) piiriin. Tietosuojavaltuutetun toimisto on linjannut, että kameravalvonnan laillisuus edellyttää aina dokumentoitua käyttötarkoitusta, selkeää oikeusperustetta ja asianmukaista informointia – puutteet näissä muodostavat yleisimmät rikkomukset valvontatapauksissa. Alla olevat kysymykset ja vastaukset käsittelevät näitä vaatimuksia käytännönläheisesti.
Kameravalvonta ja GDPR – yleisimmät kysymykset
Tähän on koottu yleisimmät kysymykset kameravalvonnan tietosuojasta, laillisuuden edellytyksistä ja rekisteröidyn oikeuksista. Kameravalvonta on Suomessa erittäin yleistä, mutta tietosuojavaatimukset jäävät monessa kohteessa puolitiehen – usein ei siksi, ettei lakia haluttaisi noudattaa, vaan siksi, ettei tarkkaan tiedetä mitä se vaatii.
GDPR ja kameravalvonnan usein kysytyt kysymykset:
- Onko kameravalvontaan aina pyydettävä suostumus?
- Kuinka kauan tallenteita saa lain mukaan säilyttää?
- Voiko työnantaja valvoa etätyöntekijöitä?
- Saako tallennetta antaa poliisille ilman lupaa?
- Täytyykö jokaisesta kamerasta tehdä erikseen ilmoitus?
GDPR koskee kameravalvontaa laajemmin kuin monet olettavat: jo pelkkä tunnistettavissa olevan henkilön kuvaaminen on henkilötietojen käsittelyä tallennuksesta riippumatta. Tietosuojavaltuutetun mukaan henkilötietojen käsittelylle tarvitaan aina laillinen peruste, selkeä käyttötarkoitus ja asianmukainen informointi – myös kameravalvonnassa. Käytännön ongelmat syntyvät useimmiten siitä, että nämä kolme asiaa on jätetty suunnittelematta.
Tältä sivulta löydät vastaukset kysymyksiin kuten: onko kameravalvonta henkilötietojen käsittelyä, milloin DPIA vaaditaan, kuinka pitkään tallenteita saa säilyttää, miten informointivelvoite täytetään ja voiko työntekijä vaatia tallenteiden poistamista. Vastaukset perustuvat GDPR:ään, tietosuojalakiin (1050/2018) ja tietosuojavaltuutetun ohjeistuksiin.
Kameravalvonta on Suomessa arkipäivää – kauppojen sisäänkäynneillä, toimistokäytävillä, tehdashallissa ja kerrostalojen rappukäytävissä. Silti tietosuojavaatimukset jäävät monessa kohteessa puolitiehen: kyltti puuttuu, tallenteiden käyttöoikeuksia ei ole rajattu tai kukaan ei tiedä, milloin tallenteita pitää poistaa. Tällöin yrityksellä on paitsi oikeudellinen riski, myös käytännön ongelma, jos jotain tapahtuu ja todisteita tarvitaan.
Konkreettinen esimerkki: ravintola asentaa kamerat turvallisuussyistä, mutta ei informoi henkilöstöä eikä asiakkaita. GDPR:n näkökulmasta tämä on henkilötietojen käsittelyä ilman asianmukaista informointivelvoitteen täyttämistä – vaikka rekisterinpitäjän tavoite olisi täysin laillinen. Toinen yleinen tilanne syntyy, kun pitkäaikaisia tallenteita säilytetään “varmuuden vuoksi” ilman dokumentoitua perustetta. Molemmat tilanteet ovat helposti korjattavissa, kun tiedetään mitä laki vaatii.
GDPR koskee kameravalvontaa laajemmin kuin monet olettavat: jo pelkkä kuvan kerääminen, josta henkilö on tunnistettavissa, on henkilötietojen käsittelyä – tallennuksesta riippumatta. Alla olevat kysymykset käyvät läpi tärkeimmät lainmukaisuuden edellytykset, rekisteröidyn oikeudet ja tilanteet, joissa esimerkiksi DPIA eli vaikutustenarviointi vaaditaan. Vastaukset perustuvat GDPR:ään, tietosuojalakiin (1050/2018) ja tietosuojavaltuutetun ohjeistuksiin.
Tähän on koottu yleisimmät kysymykset kameravalvonnan tietosuojasta ja laillisuudesta Suomessa. Vastaukset perustuvat GDPR:ään (erityisesti art. 5, 6, 13 ja 35), tietosuojalakiin (1050/2018), työelämän tietosuojalakiin (759/2004) ja tietosuojavaltuutetun ohjeistuksiin.
Yhteenveto: FAQ-sivun tarkoitus
Tämä sivu kokoaa siilon keskeisimmät oikeudellisesti relevantit kysymykset yhteen paikkaan. Yksityiskohtaisemmat kuvaukset oikeusperusteista, DPIA-vaatimuksista ja rekisteröidyn oikeuksista löytyvät kunkin aiheen omilta sivuilta. Lataa lakisääteinen kameravalvonnan tietosuojaseloste tästä.
