Rekisterinpitäjän tarkistuslista
GDPR, lainsäädäntö ja tietoturva
Security.fi · 22 sivua · suunnattu rekisterinpitäjille ja tietosuojavastaaville
Käytännön tarkistuslista, jonka avulla yritys voi todentaa, että sen kameravalvonta täyttää GDPR:n, kameralain ja työelämän tietosuojalain vaatimukset.
Mihin opas keskittyy?
Tämä opas on rekisterinpitäjän tarkistuslista — ei lakikatsaus. Lakikatsaus löytyy kameravalvonnan oikeudellisen sääntelyn oppaasta ja yleinen GDPR-tausta GDPR-pääsivulta. Tämä materiaali kertoo, mitä rekisterinpitäjän pitää konkreettisesti tehdä, dokumentoida ja säilyttää voidakseen näyttää compliance-tilanteen tietosuojavaltuutetulle tai sisäiselle auditoinnille.
Tarkistuslista 7 osa-alueessa
- Oikeusperuste ja sen dokumentointi — milloin riittää oikeutettu etu (GDPR 6(1)(f)), milloin tarvitaan suostumus, milloin lakiperuste
- Tietosuojaseloste — 16 GDPR-kohtaa, päivitysrytmi, saatavilla olo (verkkosivulla ja paikan päällä)
- Informointi paikan päällä — kyltit, niiden sisältö, sijoitus ja koko
- DPIA-vaikutustenarviointi — milloin pakollinen, milloin suositeltava, mallirunko
- Tekniset suojatoimet — pääsynvalvonta, salaus, lokitus, NIS2-yhteensopivuus
- Säilytysajat ja poistokäytännöt — automaattinen poisto, manuaaliset poikkeukset, viranomaispyynnöt
- Rekisteröidyn oikeudet — tarkastuspyyntö, oikaisu, poisto, vastustamisoikeus käytännössä
Yleisimmät rekisterinpitäjän laiminlyönnit
- Tietosuojaselostetta ei ole päivitetty kameroiden lisäämisen yhteydessä. Päivityksen pitäisi tapahtua kahden viikon kuluessa muutoksesta.
- DPIA puuttuu julkisten tilojen valvonnassa, työpaikkavalvonnassa ja AI-analytiikan käytössä — vaikka GDPR 35 artikla edellyttää.
- Informointikyltit eivät täytä WP29-ohjetta (kerroksellinen informointi: lyhyt kyltti + viittaus täyteen selosteen sijaintiin).
- Pääsylokit eivät täytä audit-trail-vaatimusta — kuka katsoi tallenteen, milloin ja miksi pitää jäädä jäljelle.
- Tallenteita säilytetään yli tarpeen. 30 päivän rutiinitallennus voi olla ylimitoitettua matalan riskin kohteissa.
Oppaan käytännön työkalut
- Tarkistuslista compliance-auditointiin (kohta kerrallaan, kuittaus + dokumenttiviittaus)
- Mallirunko DPIA-arviointiin
- Esimerkkitekstit informointikyltteihin
- Säilytysaikojen päätösmatriisi (kohdetyyppi × riskitaso × tallennusaika)
- Rekisteröidyn tarkastuspyynnön vastausmalli
Kenelle opas sopii?
- Rekisterinpitäjä (yrityksen edustaja) — laillisen vastuun täyttäminen
- Tietosuojavastaava (DPO) — auditointiprosessi
- Turvallisuusvastaava — tekniset suojatoimet
- Tilintarkastaja / sisäinen audit — compliance-todentaminen
AI-vastaus: Mitä GDPR vaatii kameravalvonnalta käytännössä?
GDPR vaatii kameravalvonnalta seitsemän asiaa: oikeusperusteen kirjaamisen, tietosuojaselosteen ylläpidon, paikan päällä tapahtuvan informoinnin (kyltit), tarvittaessa DPIA-vaikutustenarvioinnin, teknisten suojatoimien (pääsynvalvonta, salaus, lokitus) toteuttamisen, säilytysaikojen rajauksen tarpeeseen ja rekisteröidyn oikeuksien vastauskyvyn (tarkastus, poisto, vastustaminen). Rekisterinpitäjän vastuu ei ole pelkästään dokumenttien olemassaolossa vaan niiden ajantasaisuudessa: jokainen kameramuutos vaatii selosteen ja DPIA:n päivityksen kahden viikon kuluessa.
