Data Protection Impact Assessment for Camera Surveillance – Case: City of Turku
Rantamo, Tomi (2021)
Rantamo, Tomi
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021102818979
https://urn.fi/URN:NBN:fi:amk-2021102818979
Tiivistelmä
Tämän opinnäytetyön tarkoituksena on selittää mitä kuuluu prosessiin tietosuojan vaikutustenarvioinnin tekemiseen kameravalvonnassa. Mitkä ovat vaatimukset sen tekemiselle ja mitkä säädökset vaikuttavat siihen. Opinnäytetyö sisältää puolistrukturoituja haastatteluja, dokumenttikatsauksen, lakikatsauksen ja kirjallisuuskatsauksen. Prosessi alkoi keräämällä dataa, kuinka paljon kaupungilla on kameroita, mikä järjestelmä, onko ne toiminnassa, mikä niiden käyttötarkoitus on ja onko tarvittavat rekisteritiedot olemassa. Tämän jälkeen tuli käytyä kohteissa, joissa oli epäselvyyttä, ketä on vastuussa, toimiiko kaikki kamerat tai ei tiedetä kamerajärjestelmää tai muuta vastaavaa.
Aihe tälle opinnäytetyölle löydettiin keskustelujen aikana Turun kaupungin kanssa. Työharjoittelun jälkeen, jonka pääaiheena oli valvontakamera inventaario, oli luonnollista jatkaa opinnäytetyötä koskien jotenkin valvontakameroita. Muutaman tapaamisen jälkeen tuli puheeksi tietosuoja-arviointi koskien valvontakameroita, sillä se on tärkeä saada kuntoon mahdollisimman nopeasti, koska laki vaatii sen olevan kunnossa.
Tietosuojan vaikutustenarviointi tarvitsee tehdä suurimmassa osassa kaupungin organisaatiota ja tämän opinnäytetyön tavoite on auttaa ymmärtämään mitkä ovat vaatimukset sen tekemiseen, ja mitä kaikkea siihen kuuluu sisällyttää. Opinnäytetyö myös selittää mitkä ovat tärkeimmät säädökset liittyen sen tekemiseen, kuten Euroopan Unionin Yleinen tietosuoja-asetus (GDPR) säädös koskien tietosuojaa. Yleinen tietosuoja-asetus on myös muuttanut vaatimusta saada tietoon kerättyä dataa henkilöistä ja että rekisterinpitäjän pitää olla helposti löydettävissä ja myöskin heidän yhteystietonsa tulee olla saatavilla vaivattomasti ja siten tiedot mitä heistä on kerätty. The purpose for this thesis is to find out what are the different steps of the process, what needs to be done before Data Protection Impact Assessment (DPIA) for cities’ camera surveillance. What are all the requirements for doing it and what regulations are needed to take into consideration. The topic for this thesis was found during discussion with city of Turku. After internship at City of Turku where my main task was to do inventory from surveillance cameras, it was natural to start writing a thesis relating to surveillance cameras. After a few meetings the Data Protection Impact Assessment for surveillance cameras was suggested, it being a high priority for the city as it is required by law.
Data Protection Impact Assessment is needed for how the cameras can be used and for what purpose. Primary task is to find what information is collected with the surveillance, how it is stored and who is responsible for its correct handling. Thesis includes semi-structured interviews, document review and literature review. The process started with the camera surveillance inventory where data were collected for camera surveillance with survey to find out how many cameras there are, what systems, are they functional and do they have all necessary registration information. If there was some lack of information, such as no knowledge about systems, phone calls were made and if necessary, agreed upon meeting at the location.
The Data Protection Impact Assessment is needed for most parts of city’s organization and this thesis’ purpose is to help to achieve that. This thesis gives steps on how to conduct the Data Protection Impact Assessment and what other important regulations, such as General Data Protection Regulation (GDPR) need to be taken consideration. General Data Protection Regulation has also changed the requirements for information that needs to be available for everyone whose data has been collected. The name and contact information of the registration keeper needs to be easily found to ask what data has been collected from individuals.
Aihe tälle opinnäytetyölle löydettiin keskustelujen aikana Turun kaupungin kanssa. Työharjoittelun jälkeen, jonka pääaiheena oli valvontakamera inventaario, oli luonnollista jatkaa opinnäytetyötä koskien jotenkin valvontakameroita. Muutaman tapaamisen jälkeen tuli puheeksi tietosuoja-arviointi koskien valvontakameroita, sillä se on tärkeä saada kuntoon mahdollisimman nopeasti, koska laki vaatii sen olevan kunnossa.
Tietosuojan vaikutustenarviointi tarvitsee tehdä suurimmassa osassa kaupungin organisaatiota ja tämän opinnäytetyön tavoite on auttaa ymmärtämään mitkä ovat vaatimukset sen tekemiseen, ja mitä kaikkea siihen kuuluu sisällyttää. Opinnäytetyö myös selittää mitkä ovat tärkeimmät säädökset liittyen sen tekemiseen, kuten Euroopan Unionin Yleinen tietosuoja-asetus (GDPR) säädös koskien tietosuojaa. Yleinen tietosuoja-asetus on myös muuttanut vaatimusta saada tietoon kerättyä dataa henkilöistä ja että rekisterinpitäjän pitää olla helposti löydettävissä ja myöskin heidän yhteystietonsa tulee olla saatavilla vaivattomasti ja siten tiedot mitä heistä on kerätty.
Data Protection Impact Assessment is needed for how the cameras can be used and for what purpose. Primary task is to find what information is collected with the surveillance, how it is stored and who is responsible for its correct handling. Thesis includes semi-structured interviews, document review and literature review. The process started with the camera surveillance inventory where data were collected for camera surveillance with survey to find out how many cameras there are, what systems, are they functional and do they have all necessary registration information. If there was some lack of information, such as no knowledge about systems, phone calls were made and if necessary, agreed upon meeting at the location.
The Data Protection Impact Assessment is needed for most parts of city’s organization and this thesis’ purpose is to help to achieve that. This thesis gives steps on how to conduct the Data Protection Impact Assessment and what other important regulations, such as General Data Protection Regulation (GDPR) need to be taken consideration. General Data Protection Regulation has also changed the requirements for information that needs to be available for everyone whose data has been collected. The name and contact information of the registration keeper needs to be easily found to ask what data has been collected from individuals.