Liiketilan kameravalvonta ja henkilötietojen suojelu vaativat tarkkaa perehtymistä GDPR-säännöstöön. Monet yrittäjät asentavat kamerat kiinteistön turvaksi ajattelematta tietosuojalainsäädännön vaatimuksia, mikä voi johtaa merkittäviin seuraamuksiin.
GDPR eli EU:n yleinen tietosuoja-asetus koskee kaikkea henkilötietojen käsittelyä, mukaan lukien valvontakameroiden tallentamaa materiaalia. Kun kamera tallentaa henkilöitä tunnistettavalla tavalla, kyseessä on henkilötietojen käsittelyä, johon sovelletaan tiukkoja sääntöjä.
Milloin kameravalvonta on sallittua liiketilassa
Kameravalvonta liiketilassa on sallittua, kun siihen on oikeutettu intressi. Tavallisimpia perusteluja ovat omaisuuden suojaaminen, työturvallisuuden varmistaminen ja asiakkaiden turvallisuuden takaaminen.
Varastovarkaudet ovat monelle kauppiaalle todellinen ongelma – erityisesti elektroniikka- ja muotiliikkeissä tappiot voivat olla merkittäviä. Kameravalvonta toimii sekä ennaltaehkäisevänä että jälkikäteen selvittävänä keinona.
Oikeutetun intressin arvioinnissa on kuitenkin löydettävä tasapaino yrityksen tarpeiden ja asiakkaiden yksityisyyden suojan välillä. Kameran sijainti ja kuvauskulma on suunniteltava niin, että yksityisyyttä loukataan mahdollisimman vähän.
Työntekijöiden valvonta on erityisen haastavaa. Kameroita ei saa kohdistaa pelkästään työntekijöiden valvomiseen, vaan niiden ensisijaisen tarkoituksen on oltava muu, kuten omaisuuden suojaaminen.
Kiellettyjä kameravalvonnan kohteita
Tiettyjä alueita ei saa kuvata lainkaan. WC-tilat, pukuhuoneet ja muut yksityisyyden kannalta arkaluontoiset tilat ovat ehdottomasti kiellettyjä.
Myös naapuritilojen tai julkisen alueen kuvaaminen on kiellettyä. Kamera on suunnattava ja rajattava niin, että se kuvaa vain omaa liiketilaa. Kaupan edustalla oleva kamera ei saa tallentaa jalkakäytävää tai naapurin liiketilaa.
Yleinen väärinkäsitys on, että äänen tallentaminen olisi automaattisesti sallittua kuvan mukana. Todellisuudessa äänitallenteet edellyttävät aina vahvempaa oikeusperustaa ja ne ovat harvoin tarpeellisia liiketilan valvonnassa.
Tietosuojailmoitukset ja rekisteriseloste
Kameravalvonnasta on ilmoitettava selkeästi ja näkyvästi. Liiketilan sisäänkäynnin yhteyteen on sijoitettava kameravalvontamerkki, jossa kerrotaan valvonnasta ja yhteystiedot lisätietoja varten.
Pelkkä valvontamerkki ei kuitenkin riitä. Yrittäjän on laadittava rekisteriseloste, jossa kuvataan tarkasti:
– Miten henkilötietoja käsitellään
– Mikä on käsittelyn oikeusperusta
– Kuinka kauan tallenteet säilytetään
– Kenellä on pääsy tallenteisiin
Rekisteriseloste on pidettävä saatavilla asiakkaiden pyynnöstä. Käytännössä se voidaan julkaista yrityksen verkkosivuilla tai säilyttää paperiversiona myymälässä.
Tallenteiden säilytys ja käyttö
Tallenteet on säilytettävä turvallisesti ja niitä saa käyttää vain alkuperäiseen tarkoitukseen. Tavallisesti liiketilan kameravalvonnan tallenteet säilytetään 1-4 viikkoa, ellei erityistä syytä pidempään säilytykseen ole.
Tallenteisiin pääsy on rajattava vain niille henkilöille, joilla on työtehtävistään johtuen siihen oikeutettu tarve. Kaikki tallenteiden käyttö on dokumentoitava.
Tallenteiden luovuttaminen ulkopuolisille on sallittua vain tietyissä tilanteissa. Poliisille tallenteet voi luovuttaa virallisen pyynnön perusteella rikostutkinnan yhteydessä. Yksityishenkilöille, kuten asiakkaille, tallenteet voidaan antaa vain, jos kyseessä on heidän omia henkilötietojaan koskeva tiedonanto-oikeus.
Tekninen toteutus ja turvallisuus
GDPR edellyttää, että henkilötietoja suojataan asianmukaisesti. Kameravalvontajärjestelmässä tämä tarkoittaa useita teknisiä vaatimuksia.
Tallenteet on suojattava asiattomalta käytöltä vahvoilla salasanoilla ja käyttöoikeuksien hallinnalla. Jos järjestelmä on verkossa, sen tietoturva on varmistettava päivityksillä ja turvallisilla yhteysprotokollilla.
Vanhat analogiset järjestelmät, joissa tallenteet säilyvät paikallisesti DVD-levyillä tai vastaavilla, voivat olla tietoturvallisempia kuin pilvipalvelut. Jos käytät pilvipalvelua, varmista että palveluntarjoaja on EU:ssa tai täyttää GDPR:n vaatimukset.
Asiakkaiden oikeudet ja yhteydenotot
Asiakkailla on GDPR:n mukaiset oikeudet myös kameravalvonnan suhteen. He voivat pyytää tietoa siitä, onko heitä kuvattu, ja saada kopion omista henkilötiedoistaan sisältävistä tallenteista.
Tiedonanto-oikeuden toteuttaminen käytännössä edellyttää, että pystyt paikallistamaan tietyn henkilön tietyltä ajanjaksolta tallenteiden joukosta. Tämä voi olla työlästä, mutta lakisääteinen velvollisuus.
Asiakkailla on myös oikeus tehdä valitus tietosuojavaltuutetun toimistoon, jos he kokevat kameravalvonnan olevan lainvastaista. Valitukset voivat johtaa viranomaistarkastukseen ja mahdollisiin seuraamuksiin.
UKK
Tarvitseeko pienessä liiketilassa tehdä tietosuojavaikutusten arviointi?
Tietosuojavaikutusten arviointi on pakollinen, jos valvonta kohdistuu yleisön käyttämiin tiloihin laajamittaisesti. Alle 30 neliön pienessä liiketilassa muutaman kameran järjestelmä harvoin edellyttää arviointia, mutta dokumentointi on silti tärkeää.
Voiko kameratallenteet näyttää sosiaalisessa mediassa varoituksena varkaille?
Tallenteiden julkaiseminen sosiaalisessa mediassa on ehdottomasti kiellettyä ilman asianomaisten suostumusta. Tämä koskee myös tilanteita, joissa henkilö on syyllistynyt varkauteen. Ainoastaan poliisi voi virallisen tutkinnan puitteissa julkaista kuvia etsintäkuulutuksissa.
Pitääkö henkilökunnalle antaa erillinen koulutus kameravalvonnasta?
Kyllä, kaikki tallenteiden käsittelyyn osallistuvat työntekijät on koulutettava GDPR:n vaatimuksista ja yrityksen tietosuojakäytänteistä. Koulutus on dokumentoitava ja uusittava säännöllisesti.
Yhteenveto ja käytännön toimet
GDPR-yhteensopiva kameravalvonta edellyttää huolellista suunnittelua ja dokumentointia. Pelkkä kameroiden asentaminen ei riitä – yrittäjän on varmistettava, että koko prosessi liiketilan vuokrasopimuksen solmimisesta alkaen noudattaa tietosuojalainsäädäntöä.
Aloita kartoittamalla todelliset tarpeesi kameravalvonnalle ja mieti, voidaanko sama tavoite saavuttaa vähemmän yksityisyyttä loukkaavilla keinoilla. Konsultoi tietosuoja-asiantuntijaa, jos järjestelmäsi on laaja tai kohdistuu moniin asiakkaisiin päivittäin.
Muista, että GDPR-rikkomuksista voi seurata merkittäviä sakkoja – jopa 4 prosenttia yrityksen vuosiliikevaihdosta. Parempi siis hoitaa asiat kunnolla alusta alkaen kuin korjata virheitä jälkikäteen.