Lainsäädäntö

Kameravalvonnan 10 yleisintä virhettä – näin ne vältetään

✍️ CCTV.fi toimitus📅 Julkaistu 2026-06-0511 min lukuaika✓ Asiantuntijatarkistettu

Kameravalvonnassa tehdään toistuvasti samoja virheitä: puuttuva kyltti, väärä kameran suuntaus tai liian pitkä säilytysaika. Tässä oppaassa käymme läpi 10 yleisintä virhettä ja niiden korjaaminen.

AI-yhteenveto

Kameravalvonnan yleisimmät virheet liittyvät usein puutteelliseen tiedottamiseen, teknisiin laiminlyönteihin tai sopimuksellisiin puutteisiin. Yleisimpiä ovat: valvontakyltit puuttuvat tai ovat liian pieniä, kamerat on suunnattu väärin, tallenteet säilytetään liian kauan, käsittelysopimus alihankkijan kanssa puuttuu, ja valvonnan laillinen peruste on epäselvä. Jokainen virhe voi johtaa hallinnolliseen sakkoon tai muuhun seuraamukseen.

Johdanto: miksi virheitä tehdään?

Kameravalvonta on teknisesti ja juridisesti monimutkainen kokonaisuus. Moni organisaatio hankkii kamerat ensisijaisesti turvallisuustarpeeseen, eikä GDPR-vaatimuksia osata ottaa huomioon riittävän varhaisessa vaiheessa. Virheet kertautuvat: alkuvaiheessa tehty puute jää elämään järjestelmään vuosiksi.

Suomessa tietosuojavaltuutettu on huomautuksia ja sakkoja jakaessaan toistuvasti törmännyt samoihin perusvirheisiin. Tässä oppaassa käymme läpi kymmenen yleisintä ja neuvomme, miten ne vältetään.

Virhe 1: Valvontakyltti puuttuu tai on riittämätön

Mitä tapahtuu: Kameravalvonnasta ei tiedoteta lainkaan, tai kyltti on niin pieni ja huonosti sijoitettu, ettei sitä käytännössä huomaa.

Miksi se on ongelma: GDPR:n 13 artikla edellyttää, että rekisteröidyille annetaan tieto henkilötietojen käsittelystä ennen kuin tietoja kerätään. Kameravalvonnan osalta tämä tarkoittaa selkeää merkintää ennen valvotun alueen sisäänkäyntiä.

Korjaus: Asenna selkeästi luettava kyltti jokaisen valvotun alueen sisäänkäyntiä edeltävään kohtaan. Kyltin tulee sisältää vähintään: tieto valvonnasta, rekisterinpitäjän nimi ja yhteystiedot, sekä viittaus tarkempaan tietosuojailmoitukseen (esim. QR-koodi verkkosivuille).

Virhe 2: Kamerat on suunnattu julkiselle alueelle tai naapurin tontille

Mitä tapahtuu: Kamera on asennettu esimerkiksi pihaportille, mutta se kuvaa käytännössä koko kadun tai viereisen naapurin pihan.

Miksi se on ongelma: Valvonta saa kohdistua vain rekisterinpitäjän omaan alueeseen tai toimintaan. Sivullisten ihmisten systemaattinen kuvaaminen ilman perustetta on GDPR:n vastaista.

Korjaus: Säädä kameran kulma niin, että se kattaa vain tarkoitetun alueen. Käytä yksityisyysmaskausta (privacy masking) sulkemaan pois julkiset alueet tai naapurin omaisuus. Dokumentoi päätös.

Virhe 3: Tallenteet säilytetään liian kauan

Mitä tapahtuu: Tallentimeen on asetettu säilytysajaksi 60 tai 90 päivää, vaikka varsinaista tarvetta näin pitkälle säilytysajalle ei ole perusteltu.

Miksi se on ongelma: GDPR:n minimointi- ja säilytysajan rajoittamisperiaatteet edellyttävät, että tallenteet poistetaan, kun niiden säilytystarve on päättynyt. Yleensä 7–14 päivää riittää useimmille käyttötarkoituksille.

Korjaus: Arvioi tarve realistisesti. Säilytysaika on dokumentoitava käsittelytoimien rekisteriin, ja sen on oltava perusteltu. Aseta tallentimeen automaattinen ylikirjoitus oikeaan sykliin.

Virhe 4: Käsittelysopimus alihankkijan kanssa puuttuu

Mitä tapahtuu: Kameravalvonnan teknistä ylläpitoa tai tallenteiden hallintaa hoitaa ulkopuolinen yritys, mutta kirjallista henkilötietojen käsittelysopimusta ei ole tehty.

Miksi se on ongelma: GDPR:n 28 artikla velvoittaa solmimaan kirjallisen käsittelysopimuksen kaikkien henkilötietoja käsittelevien alihankkijoiden kanssa. Sopimuksessa on määriteltävä käsittelyn tarkoitus, kesto, luonne, tietosuojavelvoitteet ja rekisterinpitäjän ohjeet.

Korjaus: Pyydä alihankkijalta oma sopimusmalli tai laadi itse GDPR 28 artiklan mukainen sopimus. Päivitä sopimus aina kun palvelu tai alihankkija muuttuu.

Virhe 5: Valvonnan laillinen peruste on epäselvä tai puuttuu

Mitä tapahtuu: Kameravalvontaa harjoitetaan, mutta ei osata sanoa, mihin GDPR:n lailliseen perusteeseen (6 artikla) se nojaa.

Miksi se on ongelma: Jokaisella henkilötietojen käsittelyllä on oltava laillinen peruste. Kameravalvonnassa kyseeseen tulee yleensä oikeutettu etu (6.1 f), joka edellyttää tasapainotestin tekemistä – eli rekisterinpitäjän etujen ja rekisteröidyn yksityisyyden punnintaa.

Korjaus: Tee kirjallinen oikeutetun edun arviointi (LIA) ja dokumentoi se. Jos valvonta perustuu lakisääteiseen velvoitteeseen (esim. tietyt finanssialan tilat), dokumentoi tämä selkeästi.

Virhe 6: Tietosuojailmoitus on puutteellinen tai sitä ei ole

Mitä tapahtuu: Verkkosivuilla tai fyysisessä tilassa ei ole saatavilla kattavaa tietosuojailmoitusta kameravalvonnasta.

Miksi se on ongelma: Pelkkä kyltti ei täytä GDPR:n tiedottamisvaatimuksia. Rekisteröidyllä on oikeus saada kattava tieto käsittelystä, tallenteiden säilytysajasta, oikeuksista ja valitusmahdollisuuksista.

Korjaus: Laadi erillinen kameravalvonnan tietosuojailmoitus ja tee siitä helposti saatavilla oleva (verkkosivuilla ja/tai fyysisesti tilassa). Päivitä ilmoitusta aina kun käytännöt muuttuvat.

Virhe 7: Pääsy tallenteisiin on liian laajalla joukolla

Mitä tapahtuu: Kaikilla toimiston henkilöillä on pääsy valvontajärjestelmään, tai salasana on jaettu laajasti.

Miksi se on ongelma: GDPR:n tietoturvaperiaate edellyttää pääsynhallintaa. Tallenteisiin tulisi olla pääsy vain niillä henkilöillä, joilla on työrooliin liittyvä tarve.

Korjaus: Luo roolipohjainen pääsynhallinta VMS-järjestelmään. Dokumentoi, kenellä on pääsy mihinkin. Muista poistaa lähteneiden työntekijöiden tunnukset välittömästi.

Virhe 8: Käsittelytoimien rekisteri puuttuu

Mitä tapahtuu: Organisaatiolla ei ole kirjallista rekisteriä käsittelytoimista (Article 30 record), jossa kameravalvonta olisi kuvattu.

Miksi se on ongelma: GDPR:n 30 artikla velvoittaa yli 250 henkilön organisaatioita (ja usein pienempienkin, jos käsittely on säännöllistä tai riskialtista) pitämään rekisteriä kaikista käsittelytoimista.

Korjaus: Lisää kameravalvonta käsittelytoimien rekisteriin. Kuvaa valvonnan tarkoitus, laillinen peruste, tallenteiden säilytysaika, pääsynhallinta ja tietoturvatoimenpiteet.

Virhe 9: Tietoturvaloukkausmenettelyä ei ole

Mitä tapahtuu: Tallenteita pääsee luvattomasti käsille esimerkiksi murron tai järjestelmähakkeroinnin kautta, eikä organisaatio tiedä miten toimia.

Miksi se on ongelma: GDPR velvoittaa ilmoittamaan tietoturvaloukkaukset valvontaviranomaiselle 72 tunnin kuluessa, jos loukkaus aiheuttaa riskin rekisteröidyille.

Korjaus: Laadi kirjallinen tietoturvaloukkausprosessi. Kouluta henkilöstö tunnistamaan ja ilmoittamaan poikkeamat. Varmista, että järjestelmä on suojattu asianmukaisesti (salaus, vahvat salasanat, päivitykset).

Virhe 10: Kamerajärjestelmä on vanhentumaton tai haavoittuva

Mitä tapahtuu: Kameravalvontajärjestelmä toimii vuosia vanhoilla laiteohjelmistolla, eikä päivityksiä tehdä.

Miksi se on ongelma: Vanhentuneet laiteohjelmistot sisältävät tunnettuja tietoturva-aukkoja, jotka voivat mahdollistaa luvattoman pääsyn tallenteisiin tai kameravirtoihin. Tämä on sekä tietoturvariski että GDPR:n tietoturvavelvoitteen rikkomus.

Korjaus: Aseta säännöllinen laiteohjelmistopäivitysaikataulu. Harkitse automaattisia päivityksiä tukevia järjestelmiä. Vaihda oletussalasanat heti asennuksen jälkeen.

Yhteenveto: tarkistuslista

  • ✅ Valvontakyltit asennettu ja näkyvillä ennen valvottua aluetta
  • ✅ Kameroiden suuntaukset tarkistettu – ei kuvata julkista aluetta tai naapurin omaisuutta
  • ✅ Säilytysaika dokumentoitu ja perusteltu (yleensä max. 14 päivää)
  • ✅ Käsittelysopimukset alihankkijoiden kanssa allekirjoitettu
  • ✅ Laillinen peruste määritelty ja dokumentoitu
  • ✅ Tietosuojailmoitus saatavilla ja ajan tasalla
  • ✅ Pääsynhallinta toteutettu roolipohjaisesti
  • ✅ Käsittelytoimien rekisteri päivitetty
  • ✅ Tietoturvaloukkausmenettely olemassa
  • ✅ Laiteohjelmistot ajan tasalla

Lisätietoja kameravalvonnan hyvistä käytännöistä löydät Security.fi:stä, joka kokoaa yhteen suomalaisten organisaatioiden tietoturva- ja tietosuojakäytäntöjä.

Usein kysytyt kysymykset

Mikä on yleisin virhe pienissä yrityksissä? Pienissä yrityksissä yleisin virhe on valvontakyltit puuttuvat tai ovat riittämättömät. Toinen yleinen ongelma on se, ettei käsittelysopimusta alihankkijan (esim. kamera-asentajan tai pilvipalvelun tarjoajan) kanssa ole tehty.

Voiko tietosuojavaltuutettu sakottaa kameravalvontavirheistä? Kyllä. Tietosuojavaltuutettu voi määrätä hallinnollisen sakon, joka voi olla jopa 20 miljoonaa euroa tai 4 % yrityksen globaalista vuosiliikevaihdosta. Pienemmille organisaatioille annetaan usein ensin huomautus tai kehotus korjata tilanne.

Kuinka usein kameravalvontakäytännöt pitää tarkistaa? Vähintään kerran vuodessa kannattaa tehdä sisäinen tarkastus. Lisäksi aina kun järjestelmään tehdään merkittäviä muutoksia, käyttötarkoitus muuttuu, tai lainsäädäntöön tulee muutoksia.

Tarvitseeko kodin kameravalvonnassa noudattaa samoja sääntöjä? Kodin sisällä harjoitettava valvonta, joka ei kata julkisia alueita, on henkilökohtainen käyttötarkoitus ja vapautettuna GDPR:stä. Jos kotikamera kuvaa katua tai naapurin pihaa, GDPR:n velvoitteet alkavat soveltua.

Miten pitkä säilytysaika on laillinen? Laissa ei ole määrätty tarkkaa maksimia, mutta säilytysajan on oltava perusteltu. Yleinen suositus on 7–14 päivää tavallisessa toimistoympäristössä. Erityistapauksissa (esim. rikostutkinta) tallenteet voidaan pitää pidempään.

#kameravalvonta#GDPR#virheet#lainsäädäntö#tietosuoja
👤
Sami Kuja-Kanto

Turvallisuusasiantuntija · 20+ vuotta kameravalvonnan asiantuntijana

Tarvitsetko ammattilaisapua kameravalvontaan? Security.fi:n asiantuntijat auttavat →