GDPR ja kameravalvonta — yleiskatsaus
Kameravalvonta on henkilötietojen käsittelyä aina, kun tallenteissa on tunnistettavia henkilöitä. Tämä tarkoittaa, että GDPR:n kaikki vaatimukset koskevat myös kameravalvontaa — myös silloin, kun tallenteet poistetaan automaattisesti 7 vuorokauden kuluttua.
Rekisterinpitäjä (työnantaja tai kiinteistönomistaja) vastaa siitä, että valvonta on lainmukaista ja dokumentoitua. Tietosuojavaltuutetun toimisto voi tarkistaa yrityksen käytännöt ilman ennakkoilmoitusta.
Oikeusperustan valinta
Yleisin oikeusperuste yrityskäytössä on oikeutettu etu (GDPR 6(1)(f)). Tämä edellyttää tasapainotestiä: turvallisuusintressi vs. rekisteröityjen yksityisyydensuoja. Dokumentaatio on kriittistä — kirjaa miksi valvonta on välttämätöntä ja miksi vähemmän yksityisyyttä rajoittava keino ei riitä.
Oikeusperustaksi ei sovi:
- Pelkkä vakuutusyhtiön toivoma kamerointi ilman dokumentoitua riskiperustelua
- Valvonta, jonka ensisijainen tarkoitus on seurata työntekijöiden työtehoa
Erityistilanteet:
- Asuintaloissa (taloyhtiöt) oikeusperuste on useimmiten oikeutettu etu kiinteistön ja asukkaiden turvallisuuden suojaamiseksi
- Julkisissa tiloissa, joissa liikkuu lapsia, kynnys on korkeampi
Informointivelvoite
Valvotut alueet on merkittävä selkeällä informoinnilla ennen kuin kamerat otetaan käyttöön. Kylteissä tulee olla:
- Rekisterinpitäjän nimi ja yhteystiedot
- Valvonnan tarkoitus (esim. “Kiinteistön ja henkilöstön turvallisuus”)
- Tallenteiden säilytysaika
- Linkki tai QR-koodi tietosuojaselosteeseen
Kyltin koko ja sijoitus: kyltin on oltava näkyvissä ennen kuin henkilö astuu valvottuun tilaan. Pienin suositeltava koko A5. Pelkkä piktogrammi ilman tekstiä ei täytä informointivelvoitetta.
Tallenteiden säilytysajat
Säilytysaika on määritettävä ennakolta ja kirjattava tietosuojaselosteeseen. Tietosuojavaltuutetun ohjeistuksen mukaan:
- Normaali suositus: 7–14 vuorokautta
- Perusteltu pidempi aika: 30 vuorokautta, jos kohteessa on todettu säännöllisiä varkauksia tai ilkivaltatapauksia
- Yli 30 vuorokautta: vaatii erillisen perustelun ja DPIA:n
Tallenteet on poistettava automaattisesti säilytysajan umpeuduttua. Pilvipalveluissa automaattinen poisto konfiguroidaan palveluasetuksista — tarkista, että asetus on aktiivinen.
DPIA — milloin pakollinen?
Tietosuojan vaikutustenarviointi (Data Protection Impact Assessment) on pakollinen, kun:
- Kameravalvonta kohdistuu julkiseen tilaan, jossa liikkuu suuri määrä ihmisiä
- Käytetään AI-pohjaista kasvojentunnistusta tai käyttäytymisanalytiikkaa
- Valvotaan työntekijöitä järjestelmällisesti tai kattavasti
DPIA:ssa arvioidaan riskit rekisteröidyille, määritetään lieventävät toimenpiteet ja dokumentoidaan päätöksentekoprosessi. Arviointi päivitetään aina, kun valvontajärjestelmää muutetaan merkittävästi.
Tekninen tietosuoja
Tallenteet on suojattava asianmukaisesti:
- Pääsy rajattu tarpeeseen perustuen — nimeä vastuuhenkilöt ja kirjaa pääsyloki
- Tallenteet suojattu salasanalla tai salauksella siirron aikana (HTTPS, VPN)
- Tietomurtohälytykset käytössä, jotta luvaton pääsy havaitaan
- Varmuuskopiointi: pilvipalvelussa tämä on automaattista, paikallisessa NVR:ssä varmuuskopioi viikoittain
Rekisteröityjen oikeudet
Henkilöllä on oikeus pyytää tallenteita, joissa hän esiintyy. Käytännössä:
- Pyyntöihin on vastattava 30 päivässä
- Kolmansien osapuolten henkilötiedot (muut kameran kuvaamat henkilöt) on sumentava ennen luovutusta
- Pyyntö voidaan hylätä, jos tallenteet on jo poistettu tai jos luovutus vaarantaisi muiden yksityisyyden eikä suodatusta voi tehdä
- Kirjaa kaikki pyynnöt ja vastaukset — tietosuojavaltuutettu voi pyytää lokia
Pyyntölomakepohja kannattaa tehdä valmiiksi ja lisätä tietosuojaselosteen yhteyteen.
