Kamerabevakning och GDPR: Där ansvarsskyldigheten sätts på prov

Kamerabevakning är ett kraftfullt verktyg för att skydda egendom, förebygga brott och skapa trygghet. Men när kamerorna rullar, rullar även GDPR in. Att införa kamerabevakning handlar inte bara om teknik – utan om att dokumentera, motivera och kunna bevisa att all behandling av personuppgifter sker i enlighet med lagen. I centrum för detta står en av de viktigaste principerna i GDPR: ansvarsskyldigheten enligt artikel 5.2.

Ansvarsskyldigheten – bevisbördan ligger på dig

Artikel 5.2 fastslår att den personuppgiftsansvarige inte bara ska följa GDPR:s grundläggande principer – som laglighet, ändamålsbegränsning och uppgiftsminimering – utan också kunna visa att dessa principer efterlevs i praktiken.

När det gäller kamerabevakning innebär det att du måste kunna visa:

• Att syftet med bevakningen är proportionerligt och nödvändigt, med dokumentation som styrker behovet
  
  
• Att du har en korrekt laglig grund för bevakningen, både enligt GDPR och nationell rätt
  
  
• Att du har vidtagit lämpliga skyddsåtgärder för att minska integritetsintrånget och förhindra obehörig åtkomst
  
  
• Och att allt detta är dokumenterat på ett tydligt och uppdaterat sätt

Ansvarsskyldigheten fungerar alltså som ett beviskrav – du måste kunna visa att du faktiskt följer reglerna, inte bara säga att du gör det.

Registerförteckningen – kartan över din bevakning

Enligt artikel 30 i GDPR ska du som personuppgiftsansvarig upprätta och underhålla en registerförteckning. För kamerabevakning ska denna förteckning ge en detaljerad bild av hur bevakningen sker i praktiken och innehålla följande uppgifter:

• Ändamålet med bevakningen, till exempel stöldskydd eller inpasseringskontroll
  
  
• Vilka kategorier av registrerade som omfattas, exempelvis anställda eller besökare
  
  
• Vilka kategorier av personuppgifter som samlas in, såsom ansiktsdrag, gångstil eller igenkännande markeringar (tatueringar m.m.)
  
  
• Kategorier av mottagare, det vill säga vilka som får ta del av materialet
  
  
• Om materialet överförs till tredje land, alltså utanför EU/EES
  
  
• Hur länge inspelningarna sparas, på vilken grund lagringsfristen har bestämts, och hur behovet av lagring har vägts mot integritetsriskerna.
  
  
• Vilka säkerhetsåtgärder som används för att skydda inspelningarna

Registerförteckningen är ett av dina viktigaste verktyg för att uppfylla ansvarsskyldigheten. Den ger en översiktlig och aktuell bild av hela bevakningsaktiviteten och är ofta det första dokumentet tillsynsmyndigheten begär att få se.

Konsekvensbedömning – hela riskanalysen bakom kameran

Gemensamt för många av årets incidenter är att bristerna ofta ligger hos leverantörer eller externa samarbetspartners. 

Många organisationer underskattar hur beroende de är av sina biträden och systemleverantörer. En enda svag länk i kedjan kan göra hela organisationen sårbar. Därför är det avgörande att löpande utvärdera leverantörernas säkerhetsnivå och ha tydliga rutiner för att granska deras hantering av era personuppgifter.

Det kräver både planering och systematik – men också en kultur där säkerhetsarbete ses som en kontinuerlig process och en naturlig del av den löpande förvaltningen, inte ett projekt...

Eftersom kamerabevakning nästan alltid innebär systematisk övervakning av personer, utgör den en behandling som sannolikt leder till hög risk för de registrerades fri- och rättigheter. Därför krävs det enligt artikel 35 i GDPR att du genomför en konsekvensbedömning (DPIA).

En DPIA ska systematiskt bedöma behandlingens nödvändighet och proportionalitet, identifiera risker för individens integritet och beskriva hur dessa risker hanteras. Bedömningen ska dokumentera:

• risker för de registrerades integritet, till exempel risken för obehörig åtkomst till inspelat material, felaktig användning av inspelningar eller oproportionerlig övervakning
• hur allvarliga konsekvenserna kan bli om riskerna realiseras
• vilka åtgärder som har vidtagits för att minska eller eliminera riskerna

Utan en dokumenterad konsekvensbedömning är det svårt att bevisa att du har uppfyllt din ansvarsskyldighet när det gäller att hantera de höga risker som kamerabevakning innebär.

Intresseavvägningen – ett dokumentationskrav för alla

I de flesta fall, särskilt inom privat sektor, baseras kamerabevakning på den lagliga grunden berättigat intresse enligt artikel 6.1 f GDPR. Men oavsett sektor krävs att en intresseavvägning görs och dokumenteras.

Varför måste intresseavvägningen dokumenteras?

Det finns två huvudsakliga skäl:

1. För att uppfylla ansvarsskyldigheten: Du måste kunna bevisa vilken laglig grund du använder. Om din grund är berättigat intresse är den dokumenterade intresseavvägningen själva beviset. Utan dokumentation riskerar bevakningen att bedömas som olaglig, även om du i praktiken gjort allt rätt.
   
   
2. För att visa proportionalitet: Dokumentationen ska visa att ditt intresse – till exempel att förebygga stölder – väger tyngre än individens intresse av skydd för sina personuppgifter. Den ska också visa att kamerabevakningen är en proportionerlig åtgärd och inte mer ingripande än nödvändigt.

Skillnader mellan privat och offentlig sektor

• Privat sektor: Privata verksamheter använder nästan alltid berättigat intresse som laglig grund. Dokumentationen blir därför avgörande för att bevakningen ska vara laglig.
• Offentlig sektor: Här är reglerna mer komplexa. Tidigare krävdes tillstånd från IMY för att bevaka allmänna platser dit allmänheten har tillträde. Men sedan den nya kamerabevakningslagen trädde i kraft den 1 april 2025 har tillståndsplikten ersatts av en intern och dokumenterad bedömning.

Offentliga aktörer som grundar sin bevakning på uppgift av allmänt intresse eller myndighetsutövning enligt artikel 6.1 e GDPR behöver inte göra en intresseavvägning enligt artikel 6.1 f. Däremot ska de göra en proportionalitetsbedömning enligt kamerabevakningslagen och en nödvändighetsbedömning enligt GDPR. 

Dessa bedömningar motsvarar i praktiken en intresseavvägning och måste vara dokumenterade för att ansvarsskyldigheten i artikel 5 ska anses uppfylld. Oavsett sektor är dokumentationen din enda försäkring mot anmälningar och sanktioner från tillsynsmyndigheten.

Så bevisar du att du bryr dig

Kamerabevakning ställer höga krav på ansvar och dokumentation. Det räcker inte att ha goda avsikter – du måste kunna visa att du har tänkt igenom integritetsriskerna och hanterar dem på rätt sätt.

Din checklista för laglig kamerabevakning:

1. Genomför en konsekvensbedömning (DPIA) av kamerabevakningen.
   
   
2. Dokumentera din intresseavvägning, oavsett om den krävs enligt GDPR eller kamerabevakningslagen – eller båda.
   
   
3. Uppdatera registerförteckningen med bevakningsaktiviteten.

Genom proaktiv och noggrann dokumentation visar du att du tar de registrerades integritet på allvar – och uppfyller det ansvar som GDPR lägger på dig. 

Osäker på om din dokumentation håller hela vägen?

Boka en kostnadsfri genomgång– vi visar hur du kan stärka efterlevnaden och minska risken för misstag.