GDPR tuli voimaan 25. toukokuuta 2018, ja se muutti perusteellisesti tavan, jolla henkilötietoja – myös kameravalvontatietoja – on käsiteltävä. Kameravalvontajärjestelmä, joka tallentaa tunnistettavia henkilöitä, on automaattisesti henkilötietojen käsittelyä.
Miksi kameravalvonta on GDPR:n alaista?
Tallennettava videokuva, josta voi tunnistaa ihmisen kasvojen, vaatteiden tai käyttäytymisen perusteella, on henkilötieto. Tämä koskee myös tilannetta, jossa:
- Kamera tallentaa auton rekisterikilven
- Kasvojentunnistusta käytetään järjestelmässä
- Kuvaa analysoidaan tekoälyllä
Pelkkä livekuvanseuranta ilman tallennusta on harmaalla alueella – se on todennäköisesti valvontaa, mutta ei henkilötietojen käsittelyä teknisessä mielessä.
GDPR:n perusperiaatteet kameravalvonnassa
Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
Kameravalvonnalle täytyy aina olla lainmukainen peruste. Yleisin on oikeutettu etu, esimerkiksi omaisuuden suojaaminen. Henkilöille on kerrottava valvonnasta.
Käyttötarkoitussidonnaisuus
Tallenteita saa käyttää vain siihen tarkoitukseen, jota varten ne kerättiin. Jos kamera on hankittu varkauksien estämiseksi, tallenteita ei voi käyttää esimerkiksi työntekijöiden suorituksen seurantaan.
Tietojen minimointi
Kerää vain se, mikä on välttämätöntä. Älä kuvaa enempää aluetta kuin tarvitaan, äläkä säilytä tallenteita pidempään kuin tarpeellista.
Täsmällisyys
Kameravalvontajärjestelmä ja sen dokumentaatio on pidettävä ajan tasalla.
Säilytyksen rajoittaminen
Aseta selkeä säilytysaika ja automatisoi poisto. Useimmissa tapauksissa 14–30 päivää riittää.
Eheys ja luottamuksellisuus
Tallenteet on suojattava luvattomalta käytöltä teknisillä (salasanat, salaus) ja organisatorisilla (pääsyrajoitukset) toimenpiteillä.
Käytännön velvoitteet
Tietosuojaseloste
Kameravalvonnasta on laadittava tietosuojaseloste, joka sisältää:
- Rekisterinpitäjän yhteystiedot
- Valvonnan tarkoitus ja oikeusperuste
- Tallenteiden säilytysaika
- Rekisteröidyn oikeudet
- Tietojen vastaanottajat (esim. vartiointiliike)
Informointi (kyltti)
Kameravalvonnan kohteille on ilmoitettava valvonnasta näkyvästi ennen valvottavalle alueelle saapumista. Kyltin tulee kertoa:
- Että alueella on kameravalvonta
- Kuka on rekisterinpitäjä
- Mistä saa lisätietoja
Vaikutustenarviointi (DPIA)
Laajamittainen tai järjestelmällinen kameravalvonta – esimerkiksi kauppakeskuksessa tai julkisessa tilassa – voi vaatia tietosuojan vaikutustenarvioinnin ennen toteutusta.
Käsittelysopimus alihankkijoiden kanssa
Jos kameravalvontajärjestelmää ylläpitää ulkopuolinen palveluntarjoaja (esim. vartiointiliike tai etävalvontapalvelu), sen kanssa on tehtävä GDPR:n mukainen käsittelysopimus.
Erityistilanteet
Pilvipohjaiset kameravalvontajärjestelmät
VSaaS-ratkaisuissa (Video Surveillance as a Service) tallenteet tallentuvat pilvipalveluun. Tällöin on varmistettava:
- Missä maassa palvelimet sijaitsevat (EU/ETA-alue ensisijainen)
- Onko tietojen siirrosta kolmansiin maihin tehty asianmukaiset sopimukset
- Toimittajan GDPR-yhteensopivuus
Kasvojentunnistus
Kasvojentunnistus on GDPR:n näkökulmasta biometristen tietojen käsittelyä, mikä on erityisesti suojattu. Tähän tarvitaan joko nimenomainen suostumus tai muu GDPR:n erityinen peruste. Suomessa kasvojentunnistuksen käyttö on hyvin rajoitettua.
Rekisteröidyn pyynnöt
Jos henkilö pyytää nähdä hänestä tallennetun materiaalin, rekisterinpitäjällä on velvollisuus toimittaa se. Käytännön haaste: miten toimittaa vain pyytäjää koskeva kuva sumentamalla muiden kasvot.
GDPR-rikkomukset kameravalvonnassa – esimerkkejä
Tietosuojavaltuutettu on käsitellyt mm. tapauksia:
- Kamera kuvasi naapurin tonttia ilman perustetta
- Tallenteita säilytettiin useita vuosia ilman perusteita
- Valvontakyltti puuttui kokonaan
- Alihankkijan kanssa ei ollut käsittelysopimusta
Sanktiot ovat vaihdelleet varoituksista tuhansien eurojen sakkoihin.
Security.fi:n asiantuntijat ovat käsitelleet GDPR-vaatimuksia laajemmin Security.fi:n GDPR-opas kameravalvontaan, joka kattaa myös tekniset tietoturvaratkaisut.
Usein kysytyt kysymykset
Tarvitseeko kotikäyttäjä tehdä tietosuojaselosteen?
Yksityishenkilöiden kotipiirin kameravalvonta on ns. henkilökohtaisen toiminnan poikkeus GDPR:stä – kotikamera ei vaadi tietosuojaselosteen laatimista, kunhan kamera valvoo vain omaa pihapiiriä. Jos kamera kuvaa yleistä katua tai naapurin aluetta, GDPR voi tulla sovellettavaksi.
Voiko työnantaja valvoa kameravalvonnalla etätyötä?
Ei. Kotirauhan piirissä tapahtuva etätyö ei kuulu työnantajan valvontaoikeuden piiriin. Työnantaja voi valvoa toimistoa kameravalvonnalla, mutta ei etätyöntekijän kotia.
Miten kauan kameravalvontaloki tulee säilyttää?
GDPR ei määrää tarkkaa säilytysaikaa, mutta tallenteiden poistaminen heti kun niillä ei enää ole käyttötarkoitusta on perusperiaate. Käytännössä 14–30 päivää on useimmissa tapauksissa riittävä ja perusteltavissa oleva säilytysaika.