Kasvojentunnistus on yksi nopeimmin yleistyvistä teknologioista valvonnan kentällä — ja samaan aikaan yksi tiukimmin säännelyistä. Ennen kuin tekniikka otetaan käyttöön, on ymmärrettävä, mitä Suomen lainsäädäntö ja GDPR siitä sanovat.
Tässä artikkelissa selkeytämme tilannetta ilman lakijargonia.
Miksi kasvojentunnistus on eri asia kuin tavallinen kameravalvonta?
Tavallinen valvontakamera tallentaa kuvaa. Kasvojentunnistus käsittelee kuvasta biometrisen tunnistemallin — matemaattisen esityksen henkilön kasvojen piirteistä — ja vertaa sitä tietokantaan.
GDPR luokittelee biometriset tiedot erityiseksi henkilötietoryhmäksi (artikla 9). Tämä tarkoittaa, että niiden käsittely on lähtökohtaisesti kiellettyä — ellei jokin erityinen poikkeus sovellu.
Vertailun vuoksi: tavallinen kameravalvontatallennus on “tavallista” henkilötietojen käsittelyä, joka vaatii oikeusperustan (oikeutettu etu, sopimus tms.). Kasvodata vaatii paljon enemmän.
Milloin kasvojentunnistus on laillista Suomessa?
GDPR:n artikla 9(2) listaa tilanteet, joissa erityisen henkilötietoryhmän käsittely on sallittua. Kasvojentunnistukseen soveltuvia poikkeuksia ovat:
Nimenomainen suostumus: Henkilö antaa vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen suostumuksen tietojensa käsittelyyn.
Käyttötapaus: Työnantaja ottaa kasvojentunnistuksen käyttöön kulunvalvonnassa — jokainen työntekijä antaa kirjallisen suostumuksensa. Suostumuksen on oltava aito, ei pakotettu työsuhteen ehtona.
Tärkeä yleinen etu: Laki antaa erikseen oikeuden (esim. tietyt viranomais- tai turvallisuustehtävät). Yritykset eivät yleensä täytä tätä poikkeusta.
Mikä on käytännössä kiellettyä?
Seuraavat kasvojentunnistuksen käyttötavat eivät lähtökohtaisesti täytä GDPR:n vaatimuksia:
- Julkinen valvonta — asiakkaiden tunnistaminen myymälässä heidän tietämättään tai suostumuksettaan
- Mustalistajärjestelmät — henkilöiden tunnistaminen ja hälytys epäilyttävyyshistorian perusteella ilman riittävää oikeusperustaa
- Henkilöstön biometrinen seuranta — tunnistaminen työntekijän työskentelyssä ilman suostumusta
EU:n tekoälylaki (AI Act, 2024) kieltää lisäksi reaaliaikaisen biometrisen tunnistuksen julkisissa tiloissa lainvalvontatarkoituksiin — tämä koskee ensisijaisesti viranomaisia, mutta heijastaa Euroopan poliittista suuntaa.
Mitä vaaditaan, jos kasvojentunnistus otetaan käyttöön?
Jos käyttö täyttää GDPR:n poikkeusehdot, seuraavat vaatimukset ovat pakollisia:
1. DPIA (tietosuojavaikutusten arviointi)
Kasvojentunnistus vaatii aina DPIA:n ennen käyttöönottoa. DPIA arvioi:
- Käsittelyn tarkoituksen ja oikeusperustan
- Riskit rekisteröityjen oikeuksille
- Suojaustoimenpiteet riskien lieventämiseksi
2. Tietosuojaseloste
Rekisteröityille on kerrottava selkeästi, että kasvodata kerätään, mihin sitä käytetään ja miten kauan se säilytetään.
3. Tietojen minimointi
Tallenna vain se, mikä on välttämätöntä. Biometrinen malli (ei kuva itsessään) on usein riittävä — ja suositeltavampi, koska se on suojatumpi.
4. Säilytysaika
Kasvodata on poistettava, kun se ei enää palvele alkuperäistä tarkoitusta. Tyypillisesti kulunvalvontadata poistetaan työsuhteen päättyessä.
5. Tietoturva
Biometriset tiedot on suojattava vahvasti — pääsyoikeuksien hallinta, salaus ja lokikirjaus.
Vertailu: kasvojentunnistus vs. avainkortti kulunvalvonnassa
| Avainkortti/RFID | Kasvojentunnistus | |
|---|---|---|
| Tarvittava oikeusperusta | Oikeutettu etu | Suostumus tai lain erityinen peruste |
| DPIA tarpeen? | Ei yleensä | Kyllä, aina |
| Henkilöstön suostumus | Ei tarpeen | Tarpeen |
| Tietoturvataso | Kohtalainen | Korkea (biometrinen data) |
| Hallinnollinen kuorma | Pieni | Merkittävä |
| Turvallisuusetujen taso | Kohtalainen | Korkea (ei voi lainata) |
Kannattaako kasvojentunnistusta yrityskäytössä?
Rehellinen arvio: useimmille suomalaisille yrityksille vastaus on ei — ei vielä.
Hallinnollinen kuorma (DPIA, suostumusmekanismi, dokumentaatio) on huomattava, oikeusperusta on epävarma ja turvallisuushyöty ylittää avainkortin vain rajallisissa tilanteissa.
Käyttötapauksia, joissa kasvojentunnistus voi olla perusteltu:
- Erittäin korkean turvallisuuden kohteet (serveritilat, tutkimuslaboratoriot)
- Kohteet, joissa avainkorttien lainaaminen on merkittävä ongelma
- Kohteet, joissa henkilöstö on halukas suostumaan ja dokumentaatio tehdään huolellisesti
Haluatko selvittää, miten kulunvalvontanne voidaan toteuttaa lainmukaisesti? Ota yhteyttä — käymme vaihtoehdot läpi GDPR-näkökulmasta.
