24/7-itsepalvelumyymälä on tietosuojan näkökulmasta oma erityistapauksensa kahdesta syystä: asiakaskunta on yöaikana niin pieni, että yksittäisen asiakkaan tunnistaminen kontekstista on helppoa, ja myymälässä on aina tiloja, joita ei saa kuvata missään tilanteessa (vessat, sovituskopit, henkilökunnan taukotila). Tämä sivu keskittyy kolmeen 24/7-spesifiin kysymykseen: minkä tilojen anonymiteetti pitää suojata, miten yöaikaisen yksin asioivan asiakkaan erityisriski hallitaan ja missä menee AI-analytiikan ja kasvojentunnistuksen raja GDPR 9 artiklan kannalta.
Mitä tiloja 24/7-myymälässä ei missään tilanteessa saa kuvata?
Anonymiteetin suoja on 24/7-myymälässä konkreettinen kysymys: vaikka asiakas tietää astuvansa kameravalvotulle alueelle, hänellä on oikeus odottaa, että tietyissä tiloissa kuvausta ei ole. Euroopan tietosuojaneuvoston Guidelines 3/2019 -ohje listaa nämä tilat nimenomaisesti, ja GDPR 5(1)(c) -tiedonminimointiperiaate sekä Suomen työturvallisuuslainsäädäntö täydentävät kieltoa.
24/7-myymälän ehdottomat kuvauskielto-tilat:
- Vessat ja pukuhuoneet – ehdoton kielto poikkeuksetta
- Sovituskopit – kuvaus rikkoo intimiteettisuojaa
- Henkilökunnan taukotila – työturvallisuuslain perusteella kielletty
- Ensiapupiste – terveystietoa koskeva 9 artikla soveltuu
- Kassan PIN-näppäimistö – maksukortin koodi ei saa tallentua
Kassatiskin kuvaaminen on erityistapaus. Itsepalvelumyymälässä kassa on usein keskeinen turvallisuuskohde, mutta sen kuvaaminen vaatii erityistä huolellisuutta. Jos kameran kuva-alueeseen sisältyy maksupäätteen näppäimistö, asiakkaan PIN-koodi voi tallentua – tämä on käytännössä aina kohtuuton intressivajaus GDPR 6(1)(f) -tasapainotestissä. Ratkaisu on joko kameran kulman valinta niin, että näppäimistö jää kuva-alueen ulkopuolelle, tai pikselimaskaus näppäimistön kohdalle. Sama koskee tuotteita, jotka voivat paljastaa herkkää tietoa (terveystuotteet, raskaustestit, ehkäisyvälineet) – jos tällaiset tuotteet näkyvät kassan kuvauksessa selkeästi, käyttötarkoituksen rajaus voi vaatia uudelleenarviointia.
Kassatiskin kuvauksessa kameran kulma ratkaisee yksityisyyden. Yläviistosta otettava näkymä, joka kuvaa kassan tason ja asiakkaan kasvot mutta jättää maksupäätteen näppäimistön kuva-alueen ulkopuolelle, on selkeästi parempi vaihtoehto kuin suora kassan yläpuolelta otettu kuva. Jos suora yläkuva on välttämätön, näppäimistön kohdalle pitää asettaa pysyvä pikselimaskaus – ja tämän maskauksen pitää säilyä myös firmware-päivitysten jälkeen, mikä kannattaa varmistaa testauksella.
Miksi yöllä yksin asioiva asiakas on tietosuojan erityisriski?
24/7-myymälän tietosuoja-arkkitehtuuri rakentuu päiväaikaisen massa-asiakkuuden varaan, mutta yöllä tilanne on toinen. Kello 02–05 välillä myymälässä saattaa olla vain yksi tai kaksi asiakasta tunnissa – ja juuri tämä pieni määrä luo erityisriskin GDPR 4(1) artiklan tunnistettavuuskriteerin kannalta.
Kun tallenteessa näkyy asiakas, joka on saapunut tiettyyn kellonaikaan tiettyinä viikonpäivinä, hänen tunnistamisensa kontekstista on helppoa myös ilman kasvojen yksityiskohtaista näkymää. Lähitalon asukas, työvuoroaan päättävä lähihoitaja tai säännöllisesti yöllä asioiva taksinkuljettaja voivat olla välillisesti tunnistettavissa pelkän ajankohdan, vaateparren ja ostosten perusteella. Tämä tekee yötallenteista korkeamman riskin henkilörekisterin kuin päivätallenteista, vaikka tekninen sisältö olisi identtinen.
Käytännön seuraukset: yöaikaisten tallenteiden pääsyoikeudet pitää rajata tiukemmin (vain nimetty turvallisuusvastaava, ei laajaa katselijakuntaa), tallenteiden katselu pitää lokittaa, ja jos myymälässä on tapahtunut ainoastaan rutiininomaisia yöasiointeja, tallenteet pitää poistaa lyhyemmällä syklillä kuin päivätallenteet. Useat ketjut käyttävät 7 vrk yöaikaisille tallenteille ja 14 vrk päivätallenteille – tämä eriyttäminen pitää dokumentoida käsittelytoimien selosteeseen.
Yöaikaisten tallenteiden eriyttäminen on käytännön DPIA-suositus. Jos päivätallenteita säilytetään 14 vrk ja yötallenteita 7 vrk, järjestelmän pitää tukea automaattista syklin vaihtoa – manuaalinen poistaminen ei käytännössä toteudu. Pääsyoikeudet pitää eriyttää myös rooleittain: yötallenteen avaaminen ilman dokumentoitua syytä on luvaton käsittely, vaikka käyttäjä olisi muutoin oikeutettu työnsä puolesta.
Mihin menee raja AI-analytiikan ja kasvojentunnistuksen välillä?
Itsepalvelumyymälöissä tarjotaan yhä useammin AI-pohjaista analytiikkaa: poikkeavan liikkumismallin tunnistus, tuotteiden hyllyltä ottaminen ilman skannausta, kassakaapilla viipyvät asiakkaat. Osa näistä on GDPR-näkökulmasta hyväksyttäviä, osa ehdottomasti kiellettyjä. Raja kulkee biometriassa.
GDPR 4(14) artikla määrittelee biometriset tiedot fysiologisista, fyysisistä tai käyttäytymiseen liittyvistä ominaisuuksista, joiden teknisen käsittelyn avulla henkilö voidaan tunnistaa. Kasvojentunnistus, sormenjälki ja iiriksen skannaus kuuluvat 9 artiklan erityisten henkilötietoryhmien piiriin – niiden käsittely on lähtökohtaisesti kielletty ilman nimenomaista 9(2) -oikeusperustaa. Käytännössä myymäläympäristössä ei ole sellaista oikeusperustaa: pelkkä omaisuuden suojaaminen ei riitä, eikä asiakkaan suostumusta voi kerätä myymälän sisäänkäynnissä tavalla, joka olisi GDPR 7 artiklan kannalta vapaaehtoinen.
Sallittuja AI-toimintoja ovat ne, jotka eivät luo biometristä tunnistetta: yleinen henkilöiden lukumäärä, anonyymi liikkumismallin tunnistus, yöaikaisen sisäänpääsyn ulkopuolisten henkilöiden hälytys. Edellytyksenä on, että järjestelmä ei muodosta uudelleen tunnistettavaa kasvomallia tietokantaan ja että DPIA on tehty ennen käyttöönottoa. EU AI Act asettaa lisäksi reaaliaikaiselle biometriselle tunnistukselle julkisissa tiloissa erittäin tiukat rajat, jotka koskevat myös yleisölle avoimia kauppoja.
Käytännön tarkistuslista AI-analytiikalle: tallentaako järjestelmä kasvokuvan tunnistemallina (kielletty)? Voiko järjestelmä tunnistaa saman henkilön uudelleen eri käyntikerroilla (kielletty ilman 9(2) -perustetta)? Riittääkö järjestelmälle pelkkä anonyymi siluetti tai liikkumismalli (sallittu)? Onko järjestelmä testattu DPIA:lla ennen käyttöönottoa (välttämätön)? Jos jokin näistä jää epäselväksi, järjestelmää ei pidä ottaa käyttöön ennen tietosuojavastaavan arviota.
Yksityisyydensuoja 24/7-myymälässä ei ole erillinen projekti vaan osa järjestelmän perussuunnittelua. Anonymiteetin suoja vessoissa ja sovituskopeissa, yöaikaisten tallenteiden eriyttäminen ja biometrisen käsittelyn ehdoton rajoittaminen muodostavat yhdessä kokonaisuuden, joka kestää myös tietosuojavaltuutetun valvontatarkastuksen.
Yhteenveto
24/7-myymälän yksityisyydensuojassa on kolme erityispiirrettä: vessat, sovituskopit ja PIN-näppäimistö ovat ehdottomia kuvauskielto-alueita (GDPR 5(1)(c), 9 art.); yöaikana yksin asioiva asiakas on välillisesti tunnistettavissa kontekstista, joten yötallenteiden pääsyoikeudet ja säilytysaika pitää eriyttää päiväaikaisista; ja kasvojentunnistus on lähtökohtaisesti kielletty ilman 9(2) -perustetta, joten AI-analytiikka pitää rajata anonyymiin liikkumismallintunnistukseen. Kassakuvien GDPR-tasapainotesti (6(1)(f)) edellyttää aina, että PIN-näppäimistö jätetään kuva-alueen ulkopuolelle tai pikselimaskataan. Varmista yksityisyydensuoja.
