Kameravalvonta on yksi yleisimmistä turvallisuusratkaisuista suomalaisissa yrityksissä – mutta myös yksi eniten väärinymmärretyistä GDPR:n näkökulmasta. Kamerat kuvaavat henkilöitä, ja silloin on kyse henkilötietojen käsittelystä. Tämä tarkoittaa, että jokaisen yrityksen, joka tallentaa kamerakuvaa tunnistettavista henkilöistä, on täytettävä tietosuoja-asetuksen vaatimukset.
Tietosuojavaltuutetun toimisto on Suomessa valvontaviranomainen, joka voi määrätä hallinnollisen sakon laiminlyönneistä. Suurimmillaan sakko voi olla 20 miljoonaa euroa tai 4 % yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta. Riskit ovat siis reaalit – ja vältettävissä oikealla valmistautumisella.
Mitä rekisteröintivelvollisuus tarkoittaa käytännössä?
GDPR:n mukaan rekisterinpitäjän on pidettävä kirjaa käsittelytoimistaan. Tämä niin kutsuttu seloste käsittelytoimista on sisäinen dokumentti, joka kuvaa, mitä henkilötietoja kerätään, mihin tarkoitukseen, miten kauan niitä säilytetään ja kuka niitä käsittelee.
Kameravalvonnan osalta selosteessa tulee olla vähintään:
- valvonnan tarkoitus (esim. omaisuuden suojaaminen, henkilöturvallisuus)
- rekisterinpitäjän yhteystiedot
- kameravalvonnan kohteet ja sijainnit
- tallenteen säilytysaika
- tietojen mahdolliset vastaanottajat (esim. turvallisuusyritys, pilvipalvelu)
- tekniset ja organisatoriset suojaustoimenpiteet
Dokumentti ei tarvitse olla julkinen, mutta sen on oltava valvontaviranomaisen saatavilla pyydettäessä.
Tietosuojaseloste – mikä ero sillä on selostukseen käsittelytoimista?
Monissa yrityksissä nämä kaksi dokumenttia sekoitetaan. Tietosuojaseloste on ulkoisille henkilöille – asiakkaille, vierailijoille, työntekijöille – tarkoitettu tiedote siitä, miten heidän henkilötietojaan käsitellään.
Kameravalvonnan tietosuojaselosteessa on kerrottava selkeästi:
- kuka on rekisterinpitäjä ja miten yhteyshenkilöön saa yhteyden
- miksi kameravalvontaa toteutetaan (oikeusperusta)
- kuinka kauan tallenteita säilytetään
- onko tallenteet ulkoistettu ja missä ne sijaitsevat
- mitä oikeuksia rekisteröidyllä on (pääsyoikeus, oikaisupyyntö, poistopyyntö)
Seloste voidaan tarjoilla fyysisenä kylttinä, verkkosivuilla tai molemmissa kanavissa. Pelkkä “alueella on kameravalvonta” -teksti ei täytä GDPR:n vaatimuksia.
Säilytysajat – kuinka pitkään tallenteita saa pitää?
Yleinen virhe on tallenteiden säilyttäminen tarpeettoman pitkään. GDPR:n tietojen minimointiperiaate edellyttää, että tallenteita säilytetään vain niin kauan kuin niille on perusteltu tarve.
Suositeltavat säilytysajat Suomessa:
- Yleinen toimistotila tai myymälä: 7–14 päivää
- Varasto tai teollisuusalue: 14–30 päivää
- Tapahtumakohtaiset tallenteet (esim. varkaus tai vahinko): säilytetään tapauksen selvittämisen ajan, usein 3–6 kuukautta
Jos säilytysaika ylittää 30 päivää ilman erityistä perustetta, on syytä dokumentoida syy erikseen. Automaattinen ylikirjoittaminen on suositeltava tekninen ratkaisu: järjestelmä poistaa vanhimmat tallenteet automaattisesti asetetun määräajan jälkeen.
Informointikyltit – mitä niissä pitää lukea?
GDPR:n mukainen informointikyltti on yksinkertainen mutta sisällöltään tarkka. Kyltti on sijoitettava ennen valvottavaa aluetta, ja sen on oltava selkeästi luettavissa.
Kyltissä tulee olla vähintään:
- symboli (kamerasilmä)
- teksti siitä, että alueella on tallentava kameravalvonta
- rekisterinpitäjän nimi
- yhteystieto tai linkki tietosuojaselosteeseen
Pienemmässä kyltissä voi olla tiivistetty versio, ja yksityiskohtaisemmat tiedot löytyvät esimerkiksi yrityksen verkkosivuilta. Tärkeintä on, että henkilö saa tiedon ennen kuin häntä aletaan kuvata – ei jälkikäteen.
DPIA – milloin tarvitaan tietosuojavaikutusten arviointi?
DPIA (Data Protection Impact Assessment) eli tietosuojavaikutusten arviointi on pakollinen aina, kun käsittely todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille.
Kameravalvonnassa DPIA on yleensä tarpeen, kun:
- valvotaan julkisia tai puolijulkisia tiloja laajamittaisesti
- käytetään kasvojentunnistusta tai biometrisiä analyyseja
- yhdistetään kameratietoja muihin henkilötietolähteisiin (esim. kulunvalvonta + kamera)
- valvonta kohdistuu erityisiin tiloihin kuten terveydenhuoltoon tai oppilaitoksiin
DPIA tehdään ennen järjestelmän käyttöönottoa, ja se dokumentoidaan kirjallisesti. Jos DPIA osoittaa, että riski on hallitsematon, on otettava yhteys tietosuojavaltuutettuun ennen toteutusta.
Yhteenveto – GDPR-vaatimusten täyttäminen ei ole mahdotonta
Kameravalvonta on täysin laillista ja perusteltua, kun se toteutetaan oikein. Keskeistä on:
- Dokumentoi käsittelytoimet ja laadi tietosuojaseloste
- Aseta realistiset säilytysajat ja varmista automaattinen poisto
- Laadi asianmukaiset informointikyltit jokaiseen valvottuun tilaan
- Tee DPIA aina, kun valvonta on laajamittaista tai teknologialtaan kehittynyttä
- Pidä dokumentaatio ajan tasalla ja saatavilla
Security.fi auttaa GDPR-vaatimustenmukaisessa kameravalvonnassa – laadimme tietosuojaselosteet, teemme DPIA-arvioinnit ja varmistamme, että järjestelmänne täyttää tietosuoja-asetuksen vaatimukset. Ota yhteyttä asiantuntijoihimme.
