Buildrya
Tagasi AI-RADARisse
Tehisaru jälgib juba Eesti kaupluste kaamerapilti, kuid vastutus jääb inimesele
Regulatsioon8 min lugemistKristjan

Tehisaru jälgib juba Eesti kaupluste kaamerapilti, kuid vastutus jääb inimesele

Eesti kauplused katsetavad tehisaru videovalves, kuid käitumisanalüüs, näotuvastus ja andmete välisriiki saatmine toovad erinevad õiguslikud riskid.

FacebookXLinkedIn

Lühidalt

Prisma on kasutanud alates 2022. aastast tehisaru, mis otsib kaupluste videopildist tavapärasest erinevaid käitumismustreid ja suunab turvatöötaja tähelepanu võimalikele rikkumistele.

Rimi, Selver ja Lidl kinnitasid ERR-ile, et ei kasuta praegu tehisaru videovalves; Maxima kasutab algoritme varguste ja ostudega seotud kõrvalekallete tuvastamiseks, kuid ei avaldanud süsteemide täpset ulatust.

Tehisaru lisamine videovalvele ei muuda andmetöötlust automaatselt ebaseaduslikuks, kuid kauplus peab endiselt tõendama jälgimise vajalikkust, proportsionaalsust ja õiguslikku alust.

Käitumisanalüüs ei ole sama mis näotuvastus: inimeste tuvastamine biomeetriliste tunnuste järgi põhjustab märksa rangemad andmekaitsenõuded ning ei ole kaupluste tavapärase varguseennetuse jaoks üldjuhul lubatud.

Tehisaru on jõudnud Eesti kaupluste videovalvesse, ehkki suuremate jaekettide seas kasutatakse seda veel ebaühtlaselt. Prisma kinnitas 10. juulil ERR-ile, et on rakendanud algoritmilist videoanalüüsi alates 2022. aastast. Süsteem otsib klientide käitumisest kõrvalekaldeid ja juhib turvatöötajate tähelepanu olukordadele, mis vajavad inimese kontrolli. (ERR)

Rimi, Selver ja Lidl selliseid videovalvelahendusi praegu ei kasuta. Maxima ütles, et rakendab tehisaru varguste ning ostude ja rahakasutusega seotud anomaaliate tuvastamiseks, kuid jättis turvakaalutlustel täpsustamata, kas analüüs hõlmab ka kaamerapilti ja kui suures ulatuses seda tehakse. Coop ei olnud ERR-i loo ilmumise ajaks vastanud. (ERR)

Kaupluste jaoks lubab automaatne videoanalüüs vähendada turvatöötajate koormust: inimene ei pea korraga jälgima kümneid videovooge, vaid saab teavituse potentsiaalselt kahtlase olukorra kohta. Õiguslikult ei otsusta aga süsteemi nimetus ega tehisaru kasutamine iseenesest, kas jälgimine on lubatud. Määravaks jäävad töötlemise eesmärk, ulatus, kasutatavad andmed ja mõju jälgitavatele inimestele.

Tehisaru ei tuvasta tingimata inimest, vaid tegevusmustrit

Kaupluste videovalves kasutatavad süsteemid võivad analüüsida näiteks liikumissuunda, esemete võtmist ja tagasipanemist, ebatavalist viibimist mõnes piirkonnas või kassas toimuva ja ostuandmete erinevusi. Algoritm võib anda turvatöötajale märguande, kuid üksnes märguanne ei tõenda, et inimene on midagi varastanud.

Prisma turvajuhi Alar Olupi sõnul ei tee ettevõtte süsteem lõplikke otsuseid. Iga programmi leid tuleb inimesel üle vaadata ja kinnitada. Vajaduse korral peab turvatöötaja sekkuma, juhtumi dokumenteerima ning andma rikkumise materjalid politseile. (ERR)

Selline töökorraldus vähendab täielikult automatiseeritud otsuse riski, kuid ei kõrvalda ekslike märguannete võimalust. Algoritm võib pidada kõrvalekaldeks täiesti seaduslikku käitumist: klient võib kaupa pikalt võrrelda, panna eseme ajutiselt isiklikku kotti, aidata last või liikuda kaupluses tervisliku erivajaduse tõttu tavapäratult.

Seetõttu ei tohiks turvatöötaja käsitleda süsteemi hoiatust süütõendina. Tehisaru väljund on kõige rohkem tähelepanusignaal, mille tähendus sõltub videosalvestisest, kassainfost, inimese selgitusest ja muudest kontrollitavatest asjaoludest.

Eesti kaupluste tehisaru videovalve peab vastama IKÜM-ile

Andmekaitse Inspektsioon rõhutas ERR-ile, et isikuandmete kaitse üldmäärus ehk IKÜM on tehnoloogianeutraalne. Kui andmetöötlus on lubatud tavapärase videovalve korral, ei muutu see keelatuks üksnes tehisaru kasutamise tõttu. Samal ajal ei muuda tehisaru juba vaieldavat või ülemäärast jälgimist õiguspäraseks. (ERR)

Eraettevõtete videovalve õiguslikuks aluseks on sageli õigustatud huvi, näiteks vara ja inimeste kaitsmine või dokumenteeritud varguste ennetamine. Andmekaitse Inspektsiooni juhiste järgi peab ettevõte enne kaamerate kasutamist hindama, kas eesmärki saaks saavutada vähem sekkuvate vahenditega, ning kaaluma oma huvi klientide ja töötajate õiguste vastu. Videovalve ala tuleb nõuetekohaselt tähistada ning inimesele peab olema kättesaadav teave jälgimise korraldaja, eesmärgi, õigusliku aluse ja andmekaitsetingimuste kohta. (Andmekaitse Inspektsioon)

Tehisaru lisamine võib muuta varasema õigustatud huvi analüüsi ebapiisavaks, sest töötlemise laad muutub. Tavapärase salvestamise kõrval hakatakse inimese tegevust automaatselt hindama, liigitama või seostama teiste andmeallikatega. Kauplus peab seega uuesti hindama, milliseid tunnuseid süsteem analüüsib, kui kaua märguandeid säilitatakse, kellel on neile ligipääs ja kas süsteemi väljund mõjutab inimest märkimisväärselt.

Ulatusliku ja süstemaatilise jälgimise või kõrge riskiga profileerimise korral võib olla vajalik andmekaitsealane mõjuhinnang. Inspektsiooni juhendi järgi peab mõjuhinnang kirjeldama töötlemise eesmärki ja meetodeid, hindama lahenduse vajalikkust ning analüüsima inimestele tekkivaid ohte ja nende maandamise meetmeid. (Andmekaitse Inspektsioon)

Käitumisanalüüsi ja näotuvastust tuleb eristada

Kõige selgem õiguslik piir puudutab biomeetrilist isikutuvastust. Käitumisanalüüs võib otsida videost tegevust või sündmust ilma inimese nime kindlaks tegemata. Näotuvastus võrdleb inimese biomeetrilisi tunnuseid seevastu andmebaasis olevate näokujutistega, et teha kindlaks tema identiteet.

Andmekaitse Inspektsiooni hinnangul ei ole kauplusel üldjuhul lubatud kasutada süsteemi, mis võrdleks kõiki sisenejaid varem varguses süüdi mõistetud inimeste nimekirjaga ja annaks vaste korral turvatöötajale hoiatuse. Selline töötlemine hõlmaks biomeetrilisi andmeid ja võimalikku seost süüteoandmetega, mille kasutamiseks ei piisa tavalisest soovist vähendada vargusi. (ERR)

Euroopa Andmekaitsenõukogu videovalve suunised rõhutavad samuti, et inimese unikaalseks tuvastamiseks kasutatav biomeetriline töötlemine vajab eraldi õiguslikku alust ning seda ei saa käsitleda lihtsalt tavalise kaameravalve tehnilise täiendusena. (Euroopa Andmekaitse Nõukogu)

Euroopa Liidu tehisarumäärus lisab teatud kasutusviisidele eraldi piirangud. Määruse keelatud praktikad kehtivad alates 2. veebruarist 2025 ning suurem osa ülejäänud nõuetest hakkab üldise ajakava järgi kohalduma 2. augustil 2026. Määrus ei asenda IKÜM-i: isikuandmete töötlemisel tuleb täita mõlema õigusakti nõudeid. (Euroopa Komisjon)

Tavapärane vargusi tuvastav videoanalüüs ei kuulu automaatselt tehisarumääruse kõrge riskiga süsteemide hulka. Klassifikatsioon sõltub süsteemi tegelikust eesmärgist ja funktsioonidest. Kui lahendus hakkab inimesi biomeetriliselt tuvastama, tundlikesse kategooriatesse jagama või üksnes profileerimise põhjal nende võimalikku kuritegelikku käitumist ennustama, muutub õiguslik hinnang oluliselt rangemaks. Tehisarumäärus keelab muu hulgas süsteemid, mis hindavad inimese kuriteo toimepanemise riski ainult profileerimise või isikuomaduste põhjal. (EUR-Lex)

Pilveteenus võib viia kaamerapildi Euroopa Liidust välja

Kauplus ei pea videopildi analüüsimiseks tingimata saatma salvestist välisele pilveteenusele. Analüüs võib toimuda kaupluse serveris, kohalikus salvestis või isegi kaamerasse ehitatud riistvaras. Turul on siiski lahendusi, mille puhul edastatakse pilt, videolõik või süsteemi tuletatud andmed teenusepakkuja taristusse.

Andmekaitse Inspektsioon hoiatas, et osa tehisarupõhiseid lahendusi võib edastada andmeid kolmandatesse riikidesse ehk väljapoole Euroopa Majanduspiirkonda. Sellisel juhul peab vastutav töötleja kontrollima andmeedastuse õiguslikku alust, teenusepakkuja rolli, serverite asukohti, alltöötlejaid ja andmete kaitseks rakendatavaid meetmeid. (ERR)

Euroopa Komisjoni andmekaitseülevaate järgi võivad kolmandatesse riikidesse edastamise aluseks olla näiteks piisava kaitsetaseme otsus, lepingu tüüptingimused või siduvad kontsernisisesed eeskirjad. Üksnes teenusepakkuja lubadusest, et süsteem vastab IKÜM-ile, ei piisa. (Euroopa Komisjon)

Privaatsusriski saab vähendada, kui video töödeldakse kohapeal, pilve saadetakse ainult sündmuse tehniline kirjeldus või inimeste näod hägustatakse pöördumatult enne edastamist. Hägustamine ei muuda andmeid siiski automaatselt anonüümseks, kui inimest saab riietuse, liikumise, asukoha, ostuandmete või muu teabe abil endiselt tuvastada.

Jaekettide ettevaatlikkus peegeldab nii õigus- kui äririski

ERR-ile antud vastustest ilmneb, et Eesti jaeketid ei ole kujundanud tehisaru videovalve suhtes ühtset seisukohta. Prisma kirjeldab süsteemi juba kasutatava abivahendina. Selver on tehnoloogiatega tutvunud, kuid jätkab tavapärase videovalvega. Rimi ei ole selliseid süsteeme kasutanud ega testinud ning Lidl jätab võimaliku tulevase kasutuse lahtiseks. (ERR)

Ettevaatlikkus ei pruugi tähendada tehnilist mahajäämust. Jaekett peab enne investeeringut teadma, kui palju tegelikke rikkumisi süsteem lisaks tuvastab, kui palju tekib valehäireid ning kas tööjõu- ja varguskahjude vähenemine katab tarkvara, integratsiooni, andmekaitse ja järelevalve kulud.

Avaldatud Eesti andmed ei võimalda veel hinnata Prisma süsteemi täpsust ega majanduslikku mõju. Ettevõte ütles ERR-ile, et rikkumiste avastamine ja turvaosakonna töö on paranenud, kuid ei avaldanud märguannete arvu, valepositiivsete tulemuste osakaalu, ära hoitud kahju ega võrdlusperioodi. Seetõttu tuleb tulemust käsitleda ettevõtte kogemusliku hinnanguna, mitte sõltumatult tõendatud efektiivsusnäitajana. (ERR)

Kokkuvõte

Eesti kaupluste tehisaru videovalve on praegu pigem piiratud kasutusega turvatööriist kui iseseisev otsustaja. Selle praktiline väärtus seisneb suure hulga kaamerapildi filtreerimises ja turvatöötaja tähelepanu suunamises, kuid iga märguanne vajab sisulist kontrolli.

Järgmine oluline küsimus ei ole ainult see, mitu jaeketti tehnoloogia kasutusele võtab. Hinnata tuleb ka süsteemide täpsust, läbipaistvust, andmete töötlemise asukohta ja seda, kas inimkontroll jääb tegelikuks kaitsemeetmeks või muutub pelgaks algoritmi soovituse kinnitamiseks. Tehisarumääruse üldise kohaldamise lähenemine 2. augustil 2026 sunnib ettevõtteid senisest täpsemalt kaardistama ka seda, millist liiki süsteemi nad tegelikult kasutavad.

Korduma kippuvad küsimused

Kas Eesti kauplused kasutavad tehisaru videovalves?

Jah, vähemalt Prisma kasutab tehisaru videovalve toetamiseks ning on seda teinud alates 2022. aastast. Maxima kasutab algoritme varguste ja ostudega seotud kõrvalekallete tuvastamiseks, kuid ettevõte ei täpsustanud avalikult süsteemide ulatust.

Mida tehisaru kaupluse kaamerapildist otsib?

Tehisaru võib otsida tavapärasest erinevaid liikumis- ja käitumismustreid ning anda turvatöötajale võimaliku rikkumise kohta märguande. Märguanne ei tõenda iseenesest poevargust ja vajab inimese kontrolli.

Kas kauplus võib klientide nägusid automaatselt tuvastada?

Kauplusel ei ole üldjuhul lubatud võrrelda kõigi sisenejate nägusid varem varguses süüdi mõistetud inimeste andmebaasiga. Biomeetriline isikutuvastus ja süüteoandmete töötlemine nõuavad märksa tugevamat õiguslikku alust kui tavapärane vara kaitsmiseks kasutatav videovalve.

Kas tehisaru kasutamine muudab videovalve ebaseaduslikuks?

Tehisaru kasutamine ei muuda videovalvet automaatselt ebaseaduslikuks ega õiguspäraseks. Kauplus peab sõltumata tehnoloogiast tõendama töötlemise õigusliku aluse, vajalikkuse, proportsionaalsuse ja läbipaistvuse.

Kas tehisaru võib inimese ekslikult kahtlaseks märkida?

Jah, käitumisanalüüsi süsteem võib anda valehäire, sest tavapärasest erinev tegevus ei tähenda tingimata rikkumist. Turvatöötaja peab hindama videosalvestist ja muid asjaolusid ega tohiks käsitleda algoritmi väljundit süütõendina.

Kas kaupluse videopilt võib jõuda väljapoole Euroopa Liitu?

Jah, pilvepõhine analüüs võib edastada videopildi või sellest tuletatud andmeid kolmandatesse riikidesse. Kauplus peab sellisel juhul kontrollima andmeedastuse õiguslikku alust, teenusepakkujaid, serverite asukohti ja kasutatavaid kaitsemeetmeid.

Kuidas mõjutab EL-i tehisarumäärus Eesti kauplusi?

EL-i tehisarumääruse keelatud praktikad kehtivad alates 2. veebruarist 2025 ning määruse põhiosa hakkab üldise ajakava järgi kohalduma 2. augustil 2026. Eesti kauplused peavad hindama süsteemi tegelikku eesmärki ja funktsioone ning täitma tehisarumääruse kõrval endiselt ka IKÜM-i nõudeid.

Milliseid andmeid oleks süsteemide tõhususe hindamiseks vaja?

Tõhususe hindamiseks oleks vaja teada õigete ja ekslike märguannete arvu, ära hoitud kahju, inimkontrolli töömahtu ning tulemusi võrreldes varasema videovalvega. Eesti jaeketid ei ole selliseid võrreldavaid näitajaid seni avaldanud.

Allikad

ERR - "Tehisaru jõuab tasapisi Eesti kaupluste videovalvesse", 10. juuli 2026.

Andmekaitse Inspektsioon - "Kaamerad".

Andmekaitse Inspektsioon - "5. peatükk. Andmekaitsealane mõjuhinnang", 3. november 2025.

Euroopa Andmekaitsenõukogu - "Guidelines 3/2019 on processing of personal data through video devices", 30. jaanuar 2020.

Euroopa Parlament ja Euroopa Liidu Nõukogu - "Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence", 13. juuni 2024.

Euroopa Komisjon - "AI Act", vaadatud 10. juulil 2026.

Euroopa Komisjon - "Navigating the AI Act", 28. jaanuar 2026.

Euroopa Komisjon - "Data protection".

MärksõnadvideovalvejaekaubandusandmekaitsePrismapoevargusednäotuvastustehisarumäärusIKÜMAI Actkäitumisanalüüs

Jaga artiklit

Saada see lugu kolleegile või salvesta hilisemaks.

AI-RADARi uudiskiri

Saa järgmine AI-RADAR postkasti

Kui järgmine praktiline AI-signaal või tööriistamuutus avaldatakse, saad selle otse e-postile.

Arutelu

0 kommentaari

0/1500

Laen kommentaare...
Loe edasi

Seotud teemad AI-RADARis

Kõik uudised