Steg 7 – Bedöm behovet av konsekvensbedömning
Innan ni inleder er kamerabevakning behöver ni se över om det finns ett behov av att göra en konsekvensbedömning enligt artikel 35 i GDPR. Kravet på att göra en konsekvensbedömning aktualiseras relativt ofta eftersom kamerabevakning i sig ofta är ett integritetskänsligt sätt att behandla personuppgifter. Anledningen är bland annat att stora mängder personuppgifter kan samlas in och lagras.
Ni måste själva bedöma om en konsekvensbedömning är obligatorisk. Att inte ha genomfört en konsekvensbedömning trots att det varit obligatoriskt, eller ha genomfört den på ett bristfälligt sätt, kan leda till att IMY utfärdar sanktionsavgift.
Det är viktigt att vara medveten om att det är ”typen av behandling” som är relevant när behovet av en konsekvensbedömning ska bedömas. Åtgärder som ska reducera eller eliminera risker vid den enskilda planerade behandlingen är alltså inte relevant att beakta vid denna bedömning. Riskreducerande åtgärder ska beaktas först inom ramen för själva konsekvensbedömningen.
När en konsekvensbedömning krävs inför kamerabevakning
För att bedöma om en konsekvensbedömning är obligatorisk ska ni utgå från följande rättskällor: faktorerna som anges i artikel 35.1 i GDPR, exemplen som ges i artikel 35.3 i GDPR och IMY:s Förteckning enligt artikel 35.4 i dataskyddsförordningen.
1. Faktorerna som anges i artikel 35.1 i GDPR
I artikel 35.1 nämns vissa faktorer som ni ska ta särskild hänsyn till när ni bedömer om en konsekvensbedömning behöver genomföras. De är
- användning av ny teknik
- behandlingens art
- behandlingens omfattning
- behandlingens sammanhang
- behandlingens ändamål.
2. Exemplen som ges i artikel 35.3 i GDPR
I artikel 35.3 c i GDPR anges ”systematisk övervakning av en allmän plats i stor omfattning” som ett typexempel på när en konsekvensbedömning krävs innan en behandling påbörjas.
Ni måste själva bedöma om den planerade kamerabevakningen faller in under detta exempel, och även kunna motivera er bedömning. Vid bedömningen underlättar det om man känner till vad begreppen i bestämmelsen innebär.
Läs mer i IMY:s Vägledning vid konsekvensbedömning – Rättsligt tolkningsstöd (pdf, 464 kB)
Begreppen i artikel 35.3 c i GDPR
Systematisk övervakning: Kamerabevakning som innebär personuppgiftbehandling är typiskt sett att anse som en ”systematisk övervakning”.
En allmän plats: Begreppet ”en allmän plats” ska ges en vid innebörd och inkludera alla platser som är tillgängliga för allmänheten, exempelvis torg, köpcentra, gator, marknader, tågstationer och offentliga bibliotek.
I stor omfattning: Det finns inga uttalade tröskelvärden för när en behandling ska anses ske ”i stor omfattning”. Det som bör beaktas är antalet berörda personer, mängden data och/eller antalet typer av uppgifter som behandlas, behandlingens varaktighet och behandlingens geografiska omfattning. Det är viktigt att göra en väl underbyggd uppskattning av den mängd personuppgifter som ska behandlas.
3. IMY:s förteckning enligt artikel 35.4 i GDPR
IMY har upprättat en förteckning över när en konsekvensbedömning ska göras.
IMY:s Förteckning enligt artikel 35.4 i dataskyddsförordningen (pdf, 400 kB)
Huvudregeln är att en konsekvensbedömning ska göras om den planerade behandlingen uppfyller minst två av kriterierna i förteckningen. Det är dock viktigt att komma ihåg att förteckningen inte är uttömmande, och att genomföra en konsekvensbedömning kan vara obligatoriskt i fler fall.
Kriteriet ”systematiskt övervakar människor” finns med i IMY:s förteckning. Det innebär att det endast krävs att ett ytterligare kriterium är uppfyllt för att det ska vara obligatoriskt att genomföra en konsekvensbedömning innan kamerabevakningen inleds.
Exempel på kamerabevakning som uppfyller två av kriterierna i IMY:s förteckning
Kriterium 3 – systematiskt övervakar människor OCH…
- … kriterium 4 – behandlar känsliga personuppgifter enligt artikel 9. Exempel: Kamerabevakning som omfattar människor som utövar exempelvis religiösa, politiska, fackliga eller sexuella aktiviteter.
- … kriterium 8 – använder ny teknik eller nya organisatoriska lösningar. Exempel: Kamerabevakning som exempelvis kompletteras med intelligent videoanalys eller AI-funktioner.
- … kriterium 7 – behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara. Exempel: Kamerabevakning som omfattar exempelvis barn, anställda, asylsökande, äldre och patienter.
Verksamheter som kan omfattas av kravet att göra en konsekvensbedömning
ExempelKriterierna som är listade i IMY:s förteckning medför att flera olika slags verksamheter kan behöva genomföra en konsekvensbedömning innan kamerabevakning inleds. Exempelvis:
- Verksamheter inom social omsorg som använder välfärdsteknik och därigenom bedriver kamerabevakning i människors hem.
- Verksamheter som använder system för intelligent videoanalys för att skilja ut bilar och automatiskt känna igen registreringsskyltar i syfte att övervaka körbeteende på motorvägar.
- Verksamheter som använder kamerabevakning som kan skilja ut registreringsnummer i syfte att debitera parkeringsavgifter.
Varför ska man göra en konsekvensbedömning?
Att göra en konsekvensbedömning i de fall det är obligatoriskt är en skyldighet enligt gällande lag. En konsekvensbedömning är en pågående och dokumenterad process som hjälper personuppgiftsansvariga att följa GDPR:s bestämmelser vid högriskbehandlingar. Det är ett bra verktyg för personuppgiftsansvariga att bedöma risker och säkerställa att bestämmelserna i GDPR följs. Processen ger även en fördjupad förståelse för den aktuella behandlingen, vilka risker den innebär för enskildas fri- och rättigheter och vilka säkerhets- och skyddsåtgärder som krävs för att minska riskerna.
Dessutom är det utifrån konsekvensbedömningen som personuppgiftsansvariga ska avgöra om det finns en skyldighet att begära förhandssamråd med IMY.
Vägledning vid konsekvensbedömning
IMY har tagit fram mallar för att underlätta både bedömningen av om en konsekvensbedömning ska genomföras och själva genomförandeprocessen. IMY:s praktiska guide är ett stöd genom hela processen.
- En praktisk guide (pdf, 2 MB) innehåller IMY:s förslag på hur en konsekvensbedömning kan genomföras som en process i tio steg.
- Rättsligt tolkningsstöd (pdf, 464 kB) innehåller fördjupad information.
- Mallar till stöd i arbetet – mallarna kan användas för att bedöma behovet av konsekvensbedömning och genomföra själva konsekvensbedömningen.
Nästa steg
Om ni har kommit fram till att det finns en skyldighet att genomföra en konsekvensbedömning är det viktigt att den färdigställs innan kamerabevakningen inleds. Om det vid konsekvensbedömningen framkommer att kamerabevakningen inte uppfyller de rättsliga förutsättningarna och övriga krav ska den inte genomföras i den form som planeras.
Bedöma om kamerabevakning är tillåten
Gå igenom alla stegen i arbetsgången för att bedöma om er planerade kamerabevakning är tillåten.
- Steg 1 – Kommer ni behandla personuppgifter?
- Steg 2 – Bestäm ändamålet – varför vill ni kamerabevaka?
- Steg 3 – Identifiera rättslig grund och gör nödvändiga bedömningar
- Steg 4 – Gör en intresseavvägning
- Steg 5 – Begränsa lagringstiden
- Steg 6 – Dokumentera intresseavvägningen
- Steg 7 – Bedöm behovet av konsekvensbedömning
- Steg 8 – Registrera kamerabevakningen i er förteckning
- Steg 9 – Informera om kamerabevakningen
- Steg 10 – Skydda personuppgifterna
- Steg 11 – Utvärdera kamerabevakningen regelbundet
Nya kameraregler från den 1 april
Tillståndsplikten upphör, men nya krav införs på främst offentliga aktörer som behöver ha en förteckning över all bevakning och dokumentera sin intresseavvägning.