Kameravalvonta on Suomessa sallittua, kun sille on lainmukainen peruste, selkeä käyttötarkoitus ja riittävä informointi. Yrityksen näkökulmasta kameravalvonta ei ole vain turvallisuustekniikkaa, vaan henkilötietojen käsittelyä. Tämä opas kokoaa yhteen kaiken oleellisen, jonka yrityksen päätöksentekijän tarvitsee tietää kameravalvonnan lainmukaisuudesta Suomessa.
TL;DR: Kameravalvonta on sallittua, kun sille on lainmukainen käsittelyperuste (GDPR art. 6), selkeä käyttötarkoitus ja riittävä informointi. Yrityksen velvoitteisiin kuuluvat tietosuojaseloste, käyttötarkoituksen dokumentointi, rekisteröityjen informointi, säilytysajan määrittely ja käyttöoikeuksien rajoittaminen. Suomessa ei ole erillistä kameravalvontalakia — sääntely perustuu GDPR:ään, tietosuojalakiin ja työelämän tietosuojalakiin.
Mitä lakiä kameravalvontaan sovelletaan Suomessa?
Suomessa ei ole erillistä kameravalvontalakia toisin kuin esimerkiksi Ruotsissa (kameraövervakningslag). Kameravalvonnan laillisuus perustuu yleisiin tietosuoja- ja työelämäsäädöksiin:
Sovellettava lainsäädäntö:
- GDPR (EU 2016/679) — Yleinen tietosuoja-asetus, joka sitoo kaikkia henkilötietojen käsittelijöitä EU:ssa
- Tietosuojalaki (1050/2018) — Kansallinen laki, joka täydentää GDPR:ää ja sisältää säännökset tietosuoja-asetuksen täytäntöönpanosta
- Työelämän tietosuojalaki (759/2004) — Säännökset työpaikan kameravalvonnasta ja työntekijöiden oikeuksista
- Julkisuuslaki — Säännökset viranomaisten kameravalvonnasta ja julkisuuden piirissä olevista tiloista
- Asunto-osakeyhtiölaki (1599/2009) — Säännökset taloyhtiöiden kameravalvonnan päättämisestä
Tietosuojavaltuutetun toimiston mukaan kameravalvonnan harjoittaja käsittelee henkilötietoja ja on rekisterinpitäjä — tämä koskee myös ei-tallentavaa kameravalvontaa.
Mitä tarkoittaa rekisterinpitäjä ja käsittelijä?
Rekisterinpitäjä on taho, joka päättää kameravalvonnan tarkoituksesta ja toteutustavasta. Yrityksen kameravalvonnassa rekisterinpitäjä on yleensä itse yritys. Käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun — esimerkiksi kamerajärjestelmän ylläpitäjä tai pilvipalvelun tarjoaja.
Rekisterinpitäjän velvoitteet:
- Päättää kameravalvonnan tarkoituksesta ja toteutustavasta
- Vastaa lainmukaisuudesta ja dokumentoinnista
- Ilmoittaa kameravalvonnasta rekisteröidyille ja viranomaisille
- Toteuttaa rekisteröityjen oikeudet
- Varmuttaa tietoturvan
Mitä käsittelyperusteita kameravalvonnassa voidaan käyttää?
GDPR:n mukaisesti henkilötietojen käsittely vaatii aina lainmukaisen käsittelyperusteen (artikla 6). Kameravalvonnassa tyypillisimmät perusteet ovat:
Käsittelyperusteet:
- Oikeutettu etu — Yrityksen tai toisen osapuolen oikeutettu etu, joka ei syrjäytä rekisteröidyn etuja (esim. omaisuuden suojaaminen, turvallisuus)
- Suostumus — Rekisteröidyn nimenomainen suostumus (harvinainen yrityksen kameravalvonnassa)
- Lakisääteinen velvoite — Lain mukainen velvollisuus (esim. tietyt vaatimukset kriittiseen infrastruktuuriin)
- Yleinen etu — Yleinen etu viranomaistehtävässä toteutettaessa
Oikeutettu etu on yleisin peruste yrityksen kameravalvonnassa, mutta se vaatii aina tasapainotestin: yrityksen edun pitää olla todellinen ja rekisteröidyn oikeudet eivät saa syrjäytyä.
Mitä dokumentaatiota kameravalvonta vaatii?
Kameravalvonnan osoitusvelvollisuus tarkoittaa, että yrityksen on pystyttävä osoittamaan lainmukaisuus. Tämä vaatii kirjallista dokumentaatiota kaikesta oleellisesta.
Vähimmäisdokumentaatio:
- Tietosuojaseloste — Rekisteröidyn oikeuksista ja käsittelystä kertova dokumentti
- Käsittelyperusteen kuvaus — Miksi valvontaa tehdään ja millä perusteella
- Valvottavien alueiden kuvaus — Mitä alueita valvotaan ja miksi
- Säilytysajan perustelut — Miten säilytysaika on määritelty ja miksi
- Käyttöoikeuksien rajaukset — Kuka saa katsoa tallenteita ja millä perusteella
- Informointikäytäntö — Miten rekisteröidyt informoidaan
- Tallenteiden luovutusprosessi — Miten tallenteita luovutetaan viranomaisille
Tietosuojaseloste-pohja ladattavissa →
Miten kameravalvonta ilmoitetaan ja miten informoidaan?
Rekisteröityjen informointi on GDPR:n mukainen velvoite (artikla 13). Informoinnin pitää olla selkeää, ymmärrettävää ja helposti saatavilla. Käytännössä tämä toteutetaan kylteillä, digitaalisella informoinnilla tai tietosuojaselosteella.
Informointitavat:
- Kyltit — Selkeät kameravalvontakyltit valvotuilla alueilla
- Verkkosivut — Tietosuojaseloste ja kameravalvonnan kuvaus yrityksen sivuilla
- Sähköposti — Henkilöstölle tai asukkaille lähetetty informointi
- Muut viestintäkanavat — Esim. intranet, ilmoitustaulu, asiakaskirjeet
Informointi ja kyltit — käytännön ohjeet →
Mitä oikeuksia rekisteröidyllä on?
GDPR antaa rekisteröidyille useita oikeuksia, jotka yrityksen on toteutettava. Kameravalvonnassa tyypillisimmät oikeudet ovat:
Rekisteröidyn oikeudet:
- Oikeus tietojen saamiseen — Rekisteröity voi pyytää tietoa siitä, onko häntä kuvattu
- Oikeus pääsyyn — Rekisteröity voi pyytää kopion itseään koskevista tallenteista
- Oikeus korjaukseen — Virheellisen tiedon korjaaminen
- Oikeus poistamiseen — Tietojen poistaminen tietyissä tilanteissa
- Oikeus käsittelyn rajoittamiseen — Käsittelyn rajoittaminen tietyissä tilanteissa
- Oikeus vastustaa — Käsittelyn vastustaminen tietyissä tilanteissa
Rekisteröidyn oikeudet — käytännön toteutus →
Mitä säilytysaikoja kameravalvonnassa noudatetaan?
Säilytysajan pitää olla tarkoituksenmukainen eikä pidempi kuin tarpeen. Tyypillinen kaupallinen säilytysaika on 30–90 päivää, mutta se voi vaihdella käyttötarkoituksen mukaan.
Säilytysajat:
- Kaupallinen valvonta — 30–90 päivää (riittävä vahinkojen selvittämiseen)
- Oikeudellinen selvitettävä — Asian käsittelyn ajan tai säännön mukaisesti
- Työpaikan valvonta — Lyhyempi aika, ellei ole erityistä perustetta
- Viranomaisvalvonta — Määritelty erikseen lainsäädännössä
Säilytysajat ja poistokäytännöt →
Mitä erityistä työpaikan kameravalvonnassa pitää huomioida?
Työpaikan kameravalvonta on erityisen säänneltyä työelämän tietosuojalain vuoksi. Työnantajan ja työntekijän välinen suhde ei ole tasavertainen, joten suostumuksen käyttö on ongelmallista.
Työpaikan erityispiirteet:
- Suostumus on ongelmallinen — Työsuhteen epätasapaino vaikeuttaa nimenomaisen suostumuksen antamista
- Oikeutettu etu on tyypillinen peruste — Mutta vaatii tasapainotestin ja perustelun
- Työsuojelutarkastukset — Aluehallintovirastot (AVI) valvovat työpaikan kameravalvontaa
- Yhteistoiminta — Työpaikan yhteistoimintaelimien kuuleminen voi olla tarpeen
Kameravalvonta työpaikalla — erityisvelvoitteet →
Mitä riskejä lainvastaiselle kameravalvonnalle on?
Lainvastainen kameravalvonta voi johtaa tietosuojavaltuutetun huomautukseen, hallinnolliseen seuraamukseen (sakko), vahingonkorvauksiin tai mainehaittoihin.
Seuraukset:
- Tietosuojavaltuutetun toimet — Huomautus, kiellottava määräys, seuraamusmaksu (enintään 20 miljoonaa euroa tai 4 % liikevaihdosta)
- Vahingonkorvaukset — Rekisteröity voi vaatia vahingonkorvausta
- Mainehaitat — Julkinen kritiikki tai luottamuspula
- Järjestelmän purkaminen — Lainvastaisen järjestelman poistaminen
Milloin DPiA (vaikutustenarviointi) on tarpeen?
Vaikutustenarviointi (Data Protection Impact Assessment, DPiA) on tarpeen, kun kameravalvonta on laaja-alaista, kohdistuu erityisiin henkilötietoryhmiin tai käyttää uutta teknologiaa.
DPiA on tarpeen, kun:
- Kameravalvonta on laaja-alaista tai kohdistuu suuriin ihmismääriin
- Käytetään uutta teknologiaa (esim. kasvojentunnistus)
- Kohdistetaan erityisiin tietoryhmiin (esim. lapset, työntekijät)
- Käsitellään arkaluontoisia tietoja
Tietoa sisällön tuottajasta
Tämä opas on tuottanut Security.fi:n asiantuntijatiimi. Security Eye Finland Oy (Y-tunnus 2702704-3) on turkulainen turvallisuusalan yritys, joka suunnittelee, asentaa ja ylläpitää kameravalvonta-, hälytys- ja paloturvallisuusjärjestelmiä yrityksille koko Suomessa. Yritys on toteuttanut ratkaisuja muun muassa teollisuudelle, logistiikalle, satamille ja päivittäistavarakaupalle.
Standardiviittaukset: GDPR (EU 2016/679), Tietosuojalaki (1050/2018), Työelämän tietosuojalaki (759/2004), Asunto-osakeyhtiölaki (1599/2009), Tietosuojavaltuutetun toimisto
