Kameravalvonta on henkilötietojen käsittelyä. Se tarkoittaa, että jokainen yritys, jolla on tallentava kamera — toimistossa, myymälässä tai varastossa — on GDPR:n soveltamisalassa. Tämä ei edellytä suuria hankintoja tai lakimiestä toimistolla. Useimmissa pk-yrityksissä ongelmat ovat pieniä ja korjattavissa nopeasti — kun ne ensin tunnistetaan.
Tässä artikkelissa käymme läpi kuusi asiaa, jotka on oltava kunnossa.
Miksi kameravalvonta kuuluu GDPR:n piiriin?
Kamera tallentaa kuvaa tunnistettavista henkilöistä. Tunnistettava henkilö = henkilötieto. Henkilötieto = GDPR:n mukainen käsittely.
Tämä pätee myös tilanteeseen, jossa tallenteita ei aktiivisesti katsota. Pelkkä tallentaminen riittää käsittelyksi. Tietosuojavaltuutetun toimisto Suomessa valvoo noudattamista ja voi määrätä hallinnollisen sakon laiminlyönneistä — suurimmillaan 20 miljoonaa euroa tai 4 % vuotuisesta liikevaihdosta.
Käytännössä pk-yritykselle kohdistuvat sakot ovat huomattavasti pienempiä, mutta myös prosessi itsessään on kuormittava. Parempi varmistaa asiat ennalta.
6 asiaa, jotka pk-yrityksen on oltava kunnossa
1. Oikeusperusta käsittelylle
Kameravalvonnalle tarvitaan GDPR:n mukainen oikeusperusta. Yrityskäytössä se on yleensä oikeutettu etu — turvallisuusintressin on oltava selvästi suurempi kuin valvottujen henkilöiden yksityisyyden suoja.
Käytännössä tämä tarkoittaa, että:
- valvonnan tarkoitus on dokumentoitu (esim. omaisuuden suojaaminen, henkilöturvallisuus)
- kamerat on sijoitettu suhteellisesti — ei WC-tiloihin, taukotiloihin tai muihin yksityisiin tiloihin
- valvonnasta on informoitu asianmukaisesti
2. Tietosuojaseloste ja informointikyltit
Pelkkä “alueella on kameravalvonta” -teksti ei täytä GDPR:n vaatimuksia.
Informointikyltti on sijoitettava ennen valvottavaa aluetta ja siinä on käytävä ilmi:
- rekisterinpitäjän nimi ja yhteystieto
- valvonnan tarkoitus
- linkki tietosuojaselosteeseen tai QR-koodi
Tietosuojaseloste on erillinen dokumentti, jossa kerrotaan tarkemmin: kuinka pitkään tallenteita säilytetään, onko tallenteet ulkoistettu, mitä oikeuksia rekisteröidyllä on.
3. Säilytysajat
Tallenteita ei saa säilyttää tarpeettoman pitkään. Tietojen minimointiperiaate edellyttää, että säilytysaika on perusteltu.
Suositeltavat säilytysajat yleisimmissä kohteissa:
- Toimisto tai myymälä: 7–14 päivää
- Varasto tai teollisuusalue: 14–30 päivää
- Tapahtumakohtainen tallennus (esim. varkaus tai vahinkotapaus): tapauksen selvittämiseen tarvittava aika, yleensä enintään 3–6 kuukautta
Automaattinen ylikirjoitus on teknisesti suositeltava ratkaisu — se poistaa vanhat tallenteet ilman manuaalista työtä.
4. Rekisteröityjen oikeudet
Henkilöillä on oikeus pyytää nähtäväksi tallenteita, joissa he esiintyvät. Pyyntöihin on vastattava kuukauden kuluessa.
Käytännössä tämä tarkoittaa, että yrityksellä on oltava prosessi pyyntöjen käsittelyyn — vastuuhenkilö, tallenteiden hakumenetelmä ja vastausmalli. Ilman tätä reagoiminen pyyntöihin vie kohtuuttomasti aikaa.
5. Käsittelijäsopimukset
Jos kameravalvontaa ylläpitää ulkopuolinen taho — turvallisuusyritys, huoltoliike tai pilvipalveluntarjoaja — on tehtävä kirjallinen henkilötietojen käsittelysopimus (Data Processing Agreement).
Tämä koskee myös pilvipohjaisessa tallennuksessa käytettäviä palveluntarjoajia. Sopimuksessa on määriteltävä mm. tietojen käsittelyn tarkoitus, säilytysaika, käytettävät suojaustoimenpiteet ja tietojen sijainti.
6. Dokumentaatio
Rekisterinpitäjän on pidettävä kirjaa käsittelytoimista. Tämä niin kutsuttu seloste käsittelytoimista on sisäinen dokumentti, jota ei julkaista, mutta joka on oltava valvontaviranomaisen saatavilla pyydettäessä.
Kameravalvonnan osalta selostteessa on kuvattava:
- valvonnan tarkoitus ja oikeusperusta
- valvottavat alueet ja kameramäärä
- tallenteen säilytysaika ja sijaintipaikka
- mahdolliset käsittelijät ja niiden kanssa tehdyt sopimukset
- tekniset suojatoimenpiteet
Yleisimmät virheet, joita tarkastuksissa löytyy
Useimmiten ongelmat eivät ole vakavia — ne ovat laiminlyötyjä perusasioita:
- Informointikyltti puuttuu kokonaan tai siinä ei ole rekisterinpitäjän tietoja
- Tietosuojaseloste puuttuu tai se on päivittämättä järjestelmämuutoksen jälkeen
- Säilytysaika on asettamatta — tallennetaan 60 tai 90 päivää ilman perustetta
- Käsittelijäsopimus puuttuu pilvipalvelun tai ulkoistetun valvonnan kanssa
- Dokumentaatio on tekemättä kokonaan
Milloin tarvitaan DPIA?
DPIA (Data Protection Impact Assessment) eli tietosuojavaikutusten arviointi on pakollinen, kun käsittely aiheuttaa todennäköisesti korkean riskin henkilöiden oikeuksille.
Kameravalvonnassa DPIA on yleensä tarpeen:
- laajamittaisessa julkisten tai puolijulkisten tilojen valvonnassa
- kun käytetään kasvojentunnistusta tai muita biometrisiä analyyseja
- kun kameratietoja yhdistetään muihin henkilötietolähteisiin (esim. kulunvalvonta)
Tavallinen 4–8 kameran toimistojärjestelmä ei yleensä vaadi DPIA:ta — mutta laajamittainen vähittäiskaupan valvonta tai usean toimipisteen järjestelmä saattaa vaatia.
Yhteenveto — GDPR-tarkistuslista
Tarkista, että nämä ovat kunnossa:
- Valvonnan oikeusperusta on dokumentoitu
- Informointikyltit ovat asianmukaiset kaikissa valvotuissa tiloissa
- Tietosuojaseloste on ajantasainen ja saatavilla
- Säilytysaika on asetettu ja automaattinen poisto toimii
- Prosessi rekisteröityjen oikeuksien käsittelyyn on olemassa
- Käsittelijäsopimukset on tehty kaikkien kolmannen osapuolen kanssa
- Seloste käsittelytoimista on laadittu ja ajan tasalla
- DPIA on tehty, jos valvonta on laajamittaista tai analytiikkaa käytetään
GDPR-vaatimustenmukaisuus ei edellytä mittavaa hankintaa — useimmiten kyse on dokumentoinnista, kylttien päivityksestä ja säilytysaikojen asettamisesta. Jos samalla päivität kamerajärjestelmän, kuukausipalvelumallissa GDPR-dokumentaatio sisältyy palveluun ilman erillistä lisäkustannusta. Security.fi auttaa kartoittamaan, mitä kohteessasi tarvitaan. Pyydä ilmainen GDPR-kartoitus.
