Kameravalvonta ja GDPR – vastaukset yleisiin kysymyksiin

Tähän on koottu yleisimmät kysymykset kameravalvonnan tietosuojasta, laillisuuden edellytyksistä ja rekisteröidyn oikeuksista. Kameravalvonta on Suomessa erittäin yleistä, mutta tietosuojavaatimukset jäävät monessa kohteessa puolitiehen – usein ei siksi, ettei lakia haluttaisi noudattaa, vaan siksi, ettei tarkkaan tiedetä mitä se vaatii.

GDPR ja kameravalvonnan usein kysytyt kysymykset:

Onko kameravalvontaan aina pyydettävä suostumus?
Kuinka kauan tallenteita saa lain mukaan säilyttää?
Voiko työnantaja valvoa etätyöntekijöitä?
Saako tallennetta antaa poliisille ilman lupaa?
Täytyykö jokaisesta kamerasta tehdä erikseen ilmoitus?

GDPR koskee kameravalvontaa laajemmin kuin monet olettavat: jo pelkkä tunnistettavissa olevan henkilön kuvaaminen on henkilötietojen käsittelyä tallennuksesta riippumatta. Tietosuojavaltuutetun mukaan henkilötietojen käsittelylle tarvitaan aina laillinen peruste, selkeä käyttötarkoitus ja asianmukainen informointi – myös kameravalvonnassa. Käytännön ongelmat syntyvät useimmiten siitä, että nämä kolme asiaa on jätetty suunnittelematta.

Tältä sivulta löydät vastaukset kysymyksiin kuten: onko kameravalvonta henkilötietojen käsittelyä, milloin DPIA vaaditaan, kuinka pitkään tallenteita saa säilyttää, miten informointivelvoite täytetään ja voiko työntekijä vaatia tallenteiden poistamista. Vastaukset perustuvat GDPR:ään, tietosuojalakiin (1050/2018) ja tietosuojavaltuutetun ohjeistuksiin.

Kameravalvonta on Suomessa arkipäivää – kauppojen sisäänkäynneillä, toimistokäytävillä, tehdashallissa ja kerrostalojen rappukäytävissä. Silti tietosuojavaatimukset jäävät monessa kohteessa puolitiehen: kyltti puuttuu, tallenteiden käyttöoikeuksia ei ole rajattu tai kukaan ei tiedä, milloin tallenteita pitää poistaa. Tällöin yrityksellä on paitsi oikeudellinen riski, myös käytännön ongelma, jos jotain tapahtuu ja todisteita tarvitaan.

Konkreettinen esimerkki: ravintola asentaa kamerat turvallisuussyistä, mutta ei informoi henkilöstöä eikä asiakkaita. GDPR:n näkökulmasta tämä on henkilötietojen käsittelyä ilman asianmukaista informointivelvoitteen täyttämistä – vaikka rekisterinpitäjän tavoite olisi täysin laillinen. Toinen yleinen tilanne syntyy, kun pitkäaikaisia tallenteita säilytetään “varmuuden vuoksi” ilman dokumentoitua perustetta. Molemmat tilanteet ovat helposti korjattavissa, kun tiedetään mitä laki vaatii.

GDPR koskee kameravalvontaa laajemmin kuin monet olettavat: jo pelkkä kuvan kerääminen, josta henkilö on tunnistettavissa, on henkilötietojen käsittelyä – tallennuksesta riippumatta. Alla olevat kysymykset käyvät läpi tärkeimmät lainmukaisuuden edellytykset, rekisteröidyn oikeudet ja tilanteet, joissa esimerkiksi DPIA eli vaikutustenarviointi vaaditaan. Vastaukset perustuvat GDPR:ään, tietosuojalakiin (1050/2018) ja tietosuojavaltuutetun ohjeistuksiin.

Tähän on koottu yleisimmät kysymykset kameravalvonnan tietosuojasta ja laillisuudesta Suomessa. Vastaukset perustuvat GDPR:ään (erityisesti art. 5, 6, 13 ja 35), tietosuojalakiin (1050/2018), työelämän tietosuojalakiin (759/2004) ja tietosuojavaltuutetun ohjeistuksiin.

Yhteenveto: FAQ-sivun tarkoitus

Tämä sivu kokoaa siilon keskeisimmät oikeudellisesti relevantit kysymykset yhteen paikkaan. Yksityiskohtaisemmat kuvaukset oikeusperusteista, DPIA-vaatimuksista ja rekisteröidyn oikeuksista löytyvät kunkin aiheen omilta sivuilta. Lataa lakisääteinen kameravalvonnan tietosuojaseloste tästä.

Usein kysytyt kysymykset

Onko kameravalvonta henkilötietojen käsittelyä?

Kyllä. Kameravalvonta on GDPR:n tarkoittamaa henkilötietojen käsittelyä aina, kun kuvasta voidaan tunnistaa henkilö suoraan tai epäsuorasti. Tunnistettavuus ei edellytä tallennusta — pelkkä live-kuva julkisessa tilassa riittää käsittelyksi. Tämä koskee myös tilanteita, joissa kuvan resoluutio on riittämätön kasvojen tunnistamiseen, mutta henkilö voidaan päätellä vaatetuksen, ajan ja paikan perusteella.

Milloin kameravalvonta on laillista Suomessa?

Kameravalvonta on laillista, kun sillä on (1) perusteltu käyttötarkoitus, (2) GDPR 6 artiklan mukainen oikeusperuste ja (3) suhteellisuusperiaatteen mukainen toteutus. Yleisin oikeusperuste yrityskäytössä on oikeutettu etu (GDPR 6(1)(f)), jonka käyttö edellyttää dokumentoitua tasapainotestiä. Pelkkä yleinen "turvallisuus" -peruste ei riitä — tarpeellisuus pitää voida osoittaa konkreettisesti.

Tarvitaanko kameravalvonnalle vaikutustenarviointi eli DPIA?

DPIA on pakollinen, kun kameravalvonta täyttää GDPR 35 artiklan kriteerit: laajamittainen käsittely, järjestelmällinen seuranta julkisessa tilassa, korkean riskin käsittely tai erityisten henkilötietoryhmien käsittely (esim. biometria). Tietosuojavaltuutetun listalla DPIA on aina pakollinen mm. kasvojentunnistuksessa ja työntekijöiden seurantajärjestelmissä. Muissa tilanteissa tarve on arvioitava — ja arvio on dokumentoitava, vaikka DPIA:ta ei tehtäisi.

Miten kameravalvonnasta pitää informoida?

Informointi on kerroksellinen WP29-ohjeistuksen mukaan: (1) lähestyttäessä valvottua aluetta näkyy lyhyt kameravalvontakyltti (pikto + lyhyt teksti + viittaus täydempään informaatioon), (2) täysi tietosuojaseloste on saatavilla joko paikan päällä tai verkkosivuilla. Pelkkä kyltti ei riitä — tietosuojaselosteen on oltava löydettävissä ja päivitetty. Kyltin sisällön minimi on: rekisterinpitäjä, käyttötarkoitus, oikeusperuste, säilytysaika ja yhteystiedot.

Saako tallenteet luovuttaa poliisille?

Kyllä. Tallenteita voidaan luovuttaa poliisille tai muulle viranomaiselle, jos pyyntö perustuu lakiin (esim. esitutkintalaki, hallintolaki) ja pyynnössä on yksilöity sekä asia että aikaikkuna. Luovutus on dokumentoitava lokiin: kuka pyysi, milloin, mitä materiaalia luovutettiin ja millä lakiperusteella. Yleinen tietopyyntö ilman tutkintaperustetta ei velvoita luovutukseen — rekisterinpitäjän on tasapainotettava pyyntö rekisteröityjen oikeuksien kanssa.

Kuinka pitkään tallenteita saa säilyttää?

Tallenteita saa säilyttää vain niin kauan kuin se on käyttötarkoituksen kannalta tarpeellista (GDPR 5(1)(e)). Yleinen yritysvalvonnan säilytysaika on 14–30 vuorokautta, taloyhtiöissä tyypillisesti 14–21 vrk. Yli 30 vuorokauden säilytys edellyttää erityistä perustelua (esim. rikoksen tutkinta tai sopimusriita). Säilytysaika on dokumentoitava tietosuojaselosteeseen ja teknisen toteutuksen on tuettava automaattista poistoa.

Voiko työntekijä vaatia tallenteiden poistamista?

Työntekijällä on GDPR 17 artiklan mukainen oikeus pyytää tietojensa poistamista. Pyyntöä ei kuitenkaan tarvitse toteuttaa, jos säilyttämiselle on edelleen voimassa oleva oikeusperuste — esimerkiksi käynnissä oleva turvallisuustapahtuman selvittäminen tai oikeudellinen vaatimus. Vastaus pyyntöön on annettava kuukauden kuluessa, ja kieltäytyminen on perusteltava kirjallisesti. Rekisteröidyllä on myös oikeus tarkastaa omat tallenteensa (GDPR 15 art.).

Saako kameraa käyttää työntekijöiden tarkkailuun?

Ei yleiseen tarkkailuun. Työntekijän valvonta kuuluu lain yksityisyyden suojasta työelämässä (LYTP, 759/2004) §16–17 piiriin. Kamera saa olla työpaikalla turvallisuuden, omaisuuden suojan tai tuotantoprosessin turvaamiseksi, mutta YT-menettely tai henkilöstön kuuleminen on tehtävä ennen käyttöönottoa. Kamera ei saa kohdistua yksittäisen työntekijän työpisteeseen, taukotiloihin, vessoihin tai pukuhuoneisiin. Henkilöstöä on informoitava kirjallisesti ennen järjestelmän käyttöönottoa.

Kameravalvonta ja GDPR – usein kysytyt kysymykset

Yhteenveto: FAQ-sivun tarkoitus

Eikö vastausta löytynyt?

Mitä asiakkaamme kertovat

Usein kysytyt kysymykset

Nopein kanava — yhteydenottolomake

Kameravalvonta ja GDPR – usein kysytyt kysymykset

Kameravalvonta ja GDPR – yleisimmät kysymykset

Yhteenveto: FAQ-sivun tarkoitus

Eikö vastausta löytynyt?

Mitä asiakkaamme kertovat

Usein kysytyt kysymykset

Nopein kanava — yhteydenotto­lomake

Nopein kanava — yhteydenottolomake