Konsekvensbedömning inför kamerabevakning
Syftet med konsekvensbedömningen är att ni ska utvärdera riskerna för de enskildas integritet, visa att ni efterlever dataskyddsförordningen och avgöra om ni ska begära ett förhandssamråd med IMY.
Gör först en generell riskbedömning
Innan ni börjar kamerabevakningen ska ni göra en generell riskbedömning där ni
- identifierar riskerna med bevakningen
- dokumenterar lämpliga säkerhetsåtgärder för att skydda personuppgifterna.
Beakta särskilt
- om ny teknik används
- kamerabevakningens omfattning
- kamerabevakningens sammanhang
- kamerabevakningens ändamål.
Risken ska vid den generella bedömningen avgöras utan hänsyn till de säkerhetsåtgärder som planeras för att minska risken. Om den generella riskbedömningen visar att kamerabevakningen sannolikt leder till en hög risk måste ni göra en konsekvensbedömning. Även i tveksamma fall bör ni göra en konsekvensbedömning.
Krav på konsekvensbedömning
Det finns tre exempel på behandlingar som leder till hög risk och därmed innebär en skyldighet att göra en konsekvensbedömning, se artikel 35.3 i dataskyddsförordningen. Ett exempel är Systematisk övervakning av en allmän plats i stor omfattning. Kamerabevakning av platser dit allmänheten har tillträde, till exempel gator, torg, köpcentrum, tågstationer och bibliotek, innebär i regel behandling av ett stort antal personuppgifter som rör ett stort antal personer.
Artikel 35.3 kompletteras av IMY:s Förteckning enligt artikel 35.4 i dataskyddsförordningen. I den framgår i vilka andra fall personuppgiftsbehandling genom kamerabevakning omfattas av kravet på att göra en konsekvensbedömning.
Förteckning enligt artikel 35.4 i dataskyddsförordningen
En konsekvensbedömning ska göras om minst två av kriterierna som räknas upp i förteckningen finns med i den planerade behandlingen.
Exempel på kriterier som anges i förteckningen
- systematiskt övervakar människor
- behandlar känsliga personuppgifter
- behandlar personuppgifter i stor omfattning
- behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i en beroendeställning
- använder ny typ av teknik
IMY:s Förteckning enligt artikel 35.4 i dataskyddsförordningen i fulltext (pdf, 400 kB)
Kriterierna i förteckningen innebär att exempelvis nedanstående behandlingar som sker genom kamerabevakning omfattas av kravet på att göra en konsekvensbedömning:
- En arbetsgivare inför ett inpasseringssystem för anställda med behandling av biometriska uppgifter, till exempel ansiktsigenkänning, i syfte att identifiera fysiska personer.
- Verksamheter inom social omsorg som använder välfärdsteknik, till exempel kamerabevakning i människors hem.
- Behandling av barns personuppgifter genom kamerabevakning, om det är ett större antal registrerade.
- Verksamheter som använder system för intelligent videoanalys för att skilja ut bilar och automatiskt känna igen registreringsskyltar i syfte att övervaka körbeteendet på motorvägar.
- Parkeringsbolag som använder kamerabevakning som kan skilja ut registreringsnummer i syfte att debitera parkeringsavgifter.
Den personuppgiftsansvariga måste alltid göra en självständig bedömning av den planerade behandlingen för att avgöra om en konsekvensbedömning är nödvändig i det enskilda fallet. Att inte ha utfört en konsekvensbedömning trots att det krävts kan leda till sanktionsavgift.
Då behöver ni inte göra en konsekvensbedömning
Ni behöver bara göra en konsekvensbedömning om er planerade kamerabevakning sannolikt leder till en hög risk för den personliga integriteten hos dem som ni ska bevaka. Har ni redan gjort en konsekvensbedömning för en behandling som är mycket lik den planerade och medför liknande höga risker behöver ni inte göra en ny.
Er konsekvensbedömning kan omfatta ett vidare område än ett enda projekt. I förarbetena till kamerabevakningslagen framgår att exempelvis en myndighet bör kunna ta fram en konsekvensbedömning som kan användas vid ett stort antal bevakningssituationer.
Om en behandling enligt artikel 6.1 c eller e i dataskyddsförordningen har en rättslig grund i EU-rätten eller svensk lag, om denna lagstiftning reglerar den specifika behandlingsåtgärden och om en konsekvensbedömning har genomförts som en del av att fastställa denna rättsliga grund, krävs som utgångspunkt inte någon ytterligare konsekvensbedömning.
Vad ska en konsekvensbedömning innehålla?
För att kunna bedöma allvaret och sannolikheten för den höga risken ska konsekvensbedömningen alltid innehålla
- en beskrivning av kamerabevakningen inklusive syftet med den
- en proportionalitetsbedömning
- en bedömning av riskerna
- åtgärderna som planeras för att hantera riskerna.
Så här gör ni en konsekvensbedömning
Begär förhandssamråd om den höga risken kvarstår
Om ni har gjort en konsekvensbedömning men – trots att de säkerhetsåtgärder som planeras för att minska riskerna har beaktats – fortfarande anser att det finns höga risker för den personliga integriteten, ska ni begära förhandssamråd med IMY innan ni påbörjar kamerabevakningen.
Om det är fråga om tillståndspliktig bevakning ska ni ansöka om tillstånd istället för att begära förhandssamråd.
Tänk på att
- alltid dokumentera era bedömningar, analyser och utredningar. Detta är viktigt för att kunna visa att och hur ni följer dataskyddsförordningen.
- rådfråga dataskyddsombudet när en konsekvensbedömning genomförs.
- alltid inkludera dataskyddsombudets synpunkter om ni – till exempel trots att minst två av kriterierna i Förteckning enligt artikel 35.4 i dataskyddsförordningen aktualiseras vid den planerade kamerabevakningen – gör bedömningen att behandlingen sannolikt inte leder till en hög risk och därmed inte utför någon konsekvensbedömning.