Pilt on loodud tehisintellekti abil (Leonardo.ai)

Valvekaamera filmib. Aga kas sul on selleks ka õigus?

juuni 2026 • Risto Kasepuu

#küberturve #andmekaitse #GDPR #IKÜM #valvekaamerad

Elame valvekaamerate buumis. Neid on igal pool. Kauplustes, kontorites, ärimajades, parkimisplatsidel, korterimajade koridorides, linnatänavatel jne. Ja nende arv kasvab - kaameraid on läinud odavaks, paigaldamine on lihtne ja tundub, et kõik teevad nii.

Probleem, mis ei ole kadunud on, et paljud käsitlevad kaamera nagu lambipirni. Pane üles ja valmis. Mis veel halvem - kaamera salvestisi kasutatakse sotsiaalmeedias, et ennast õigustada või midagi tõestada. See lähenemine on väär - see pole minu isiklik arvamus vaid tuleneb Euroopa Liidu isikuandmete kaitse üldmäärusest, Eesti keeles IKÜM, maakeeles GDPR nõuetest.

Eestis tegeleb andmekaitse järelevalvega Andmekaitse Inspektsioon (AKI). AKI-l on õigus viia läbi järelevalvemenetlusi, teha ettekirjutusi rikkumiste lõpetamiseks ning määrata trahve — kuni 20 miljonit eurot või 4% organisatsiooni ülemaailmsest aastakäibest, olenevalt kumb on suurem. AKI tegeleb nii füüsiliste isikute kaebustega kui ka omal algatusel alustatud menetlustega.

Kaamera ei ole tehniline instrument. Selle kasutamine on juba andmetöötlus.

Niipea kui su kaamera salvestab meediale inimesi, kes on äratuntavad - oled sa GDPRi mõttes andmetöötleja. Kõik sellega kaasnevad kohustused kehtivad sinu kohta täpselt samamoodi nagu iga teise isikuandmeid töötleva organisatsiooni puhul.

See tähendab: sul peab olema õiguslik alus, inimesi tuleb teavitada, salvestisi tuleb kaitsta, ja neid ei tohi kasutada muuks kui selleks, milleks need tehti.

Kõlab lihtsalt? Mitte reaalsuses.

Kümme küsimust, millele peab enne kaamera ülespanemist vastama

1. Mis on kaamera eesmärk?

Enne kui kaamera üles läheb, tuleb küsida: kas sama turvalisust ei saa saavutada teisiti? Parem valgustus, uks, signalisatsioon? Kaamera on lubatud vahend - aga mitte esimene, mille poole kohe ulatad.

2. Milleks salvestisi kasutad?

See on koht, kus paljud eksivad. Vara kaitseks paigaldatud kaamera salvestis ei ole sotsiaalmeedia sisu. Kui kaamera tuvastab varguse, siis salvestis läheb politseile - mitte Facebooki, mitte ettevõtte Instagrami, mitte isegi töötajate grupivestlusesse. Eesmärk oli vara kaitse. Kõik muu on rikkumine.

3. Kes on kontaktisik?

Igal inimesel, kes kaamera alla jääb, on õigus küsida: kes minu andmeid töötleb ja mida nendega tehakse. Selleks peab olema konkreetne inimene, kellega ühendust võtta. Mitte “ettevõte üldiselt.”

4. Kes pääseb salvestistele ligi?

Juurdepääs peab olema piiratud ja dokumenteeritud. Mitte nii, et kõik töötajad vaatavad, kui igav on.

5. Kui kaua salvestisi säilitatakse?

Tavaline tähtaeg on 72 tundi — AKI soovitus tavalise turvaotstarbe puhul. Rohkem ainult põhjendatult. Paljud ettevõtted hoiavad salvestisi ilma põhjenduseta - see on rikkumine.

6. Kas videovalve tarkvara ja salvestised on hoitud turvaliselt?

Veenduge, et valvekaamera tarkvara oleks seadistatud nii, et salvestistele ei pääseta ligi interneti avarustest.

See punkt tundub tehniline, aga risk on väga konkreetne - ja avalikult dokumenteeritud.

Mõned maailma populaarsemad valvekaamera tootjad on aastate jooksul kandnud kriitilisi turvavigu, mida on aktiivselt ära kasutatud.

Hikvision, 2021 - avastati uus haavatavus (CVE-2021-36260). Ründaja sai täieliku kontrolli kaamera üle ilma ühtegi parooli sisestamata, lihtsalt spetsiaalselt koostatud võrgupäringuga. Mõjutatud seadmete arv ületas 100 miljonit, sealhulgas paljud teiste brändide all müüdavad kaamerad, mis kasutavad Hikvisionis sisemisi komponente.

Dahua, 2025 - Bitdefenderi uurijad avalikustasid kaks kriitilist haavatavust, mis mõjutasid 126 Dahua kaamerate mudelit. Eduka rünnaku korral sai ründaja seadme täieliku kontrolli alla ning paigaldada püsiva pahavara - ka pärast taaskäivitust.

Mida see praktikas tähendab? Odav kaamera ei ole tingimata hea tehing, kui arvestada turvariske. Kaamerad paigaldatakse ja unustatakse - süsteemid töötavad aastate vanuse tarkvaraga võrkudes, kus muud seadmed võivad olla korrektselt paigatud.

Hea võrgu hügieen:

Eraldi võrgusegment kaameratele ja NVR-le (salvesti) - mitte sama, mis töötajate arvutid
Tulemüüri tasandil blokeerida kaamerate ja NVR igasugune ligipääs internetti - neil pole seda vaja
Regulaarsed tarkvarauuendused
Tugevad ja unikaalsed paroolid, nii kaameral kui NVRil
Võimalusel kasuta kaamerate ja salvestite halduseks keskhalduse lahendust
Ainult nimelised kasutaja! Iga isik kes vaatab salvestist, logib sisse enda nimelise kasutajaga.

7. Mis juhtub andmelekke korral?

Plaan peab olemas olema enne, kui midagi juhtub. Mitte siis, kui ajakirjanik helistab.

8. Kuidas saavad inimesed teada, mis nende andmetega toimub?

Kogu elutsükkel - salvestamisest kuni kustutamiseni - peab olema kirjeldatud andmekaitsetingimustes. Ja need peavad olema inimestele avalikult kättesaadavad.

9. Kas jälgitav ala on minimaalne?

Kaamera ei filmi “igaks juhuks.” Ta filmib täpselt seda ala, mida on vaja. Naaber ei peaks su kaamera vaatevälja jääma. Tänav ei peaks sinu poe sisekaamera vaatevälja jääma - välja arvatud juhul, kui sul on selleks eraldi põhjendus.

10. Kas teavitussilt on olemas?

Enne kui inimene kaamera alasse jõuab, peab ta nägema silti: kes filmib, miks, ja kuhu pöörduda lisainfo saamiseks. AKI veebilehel on tasuta teavitussildi generaator - nõuetele vastav, mõne minutiga valmis.

Kuhu kaameraid kindlasti ei tohi panna

See nimekiri ei ole soovitus - see on keeld.

Absoluutselt keelatud:

WC-ruumid ja tualetid
Riietusruumid ja pesemisruumid
Puhkeruumid, kus töötajad on puhkeajal
Dušširuumid

AKI on sõnaselge: nendes ruumides on kaamerate kasutamine keelatud, sest inimesel on neis kohtades põhjendatud privaatsuseootus. See kehtib nii töökeskkonnas kui ka muudes hoonetes.

Samuti problemaatiline:

Klassiruumid ja muud ruumid, kus inimesed viibivad kogu tööpäeva - pidev jälgimine rikub minimaalsusprintsiipi
Avatud kontorid töötajate pideva jälgimise eesmärgil - töötajate tootlikkuse mõõtmiseks kaameraid kasutada ei tohi

Töötajate pidev jälgimine kaamera abil on iseenesest probleem. AKI on selgelt öelnud, et kaamerat ei tohi kasutada töötajate töö jälgimiseks 24/7 - see on ebaproportsionaalne privaatsuse riive. Kaamera eesmärk peab olema turvalisus, mitte kontroll.

Siin on oluline nüanss: tööandja ja töötaja vaheline sõltuvussuhe tähendab, et töötaja ei saa vabalt keelduda jälgimiseks loa andmisest. Seetõttu ei saa tööandja tugineda töötaja “nõusolekule” kui õiguslikule alusele - nõusolek ei ole vaba, kui teine pool on ülemus.

Kohtupraktika räägib selget keelt

Eesti kohtud on valvekaamera küsimustega juba tegelenud.

Riigikohus, lahend nr 2-18-11279 - kohus kohustas korteriühistu liiget eemaldama omavoliliselt paigaldatud kaamera. Riigikohus leidis, et valvekaamerate paigaldamine nii, et kaameratega saab filmida kaasomandil toimuvat, ei ole käsitatav kaasomandi otstarbekohase kasutamisena. Teisisõnu: isegi oma majas ei saa kaameraid üles panna ilma teiste kaasomanike nõusolekuta.

Riigikohus, 2023 - teine lahend täpsustas kortermajja kaamerate paigaldamise tingimusi. Kohus leidis, et kaamerate kasutamise tingimustes peavad olema selgelt kirjas kontaktandmed, võimalus tutvuda enda kohta kogutud andmetega, ning andmete töötlemise eesmärk ja õiguslik alus. Pelgalt häälteenamus üldkoosolekul ei ole piisav - vajalikud on ka sisulised andmekaitsetingimused.

AKI ettekirjutus koolile, 2021 - AKI kohustas kooli eemaldama kaamerad klassiruumidest.

See tähendab, et probleem ei ole teoreetiline.

Kokkuvõtteks

Valvekaamera on lubatud vahend. Aga see on andmetöötlus - mitte tehniline mänguasi.

Enne kui kaamera üles läheb, vastake kümnele küsimusele. Pange kirja eesmärk, säilitustähtaeg, juurdepääsuõigused ja andmekaitsetingimused. Pange üles silt. Piirake vaatenurka. Segmenteerige võrk. Ja ärge pange kaameraid sinna, kuhu inimesed neid ei oota.

Kaamera filmib. Aga vastutus lasub inimesel, kes ta üles pani.