Hoppa till innehåll på sidan

Konsekvens­bedömning inför kamerabevakning 

Om ni filmar en identifierbar person eller fångar någon annan personuppgift med er bevakningskamera behandlar ni personuppgifter och måste följa reglerna i dataskyddsförordningen. Om ni planerar att kamerabevaka på ett sätt som kan leda till en hög risk för den personliga integriteten hos dem som kommer att bevakas ska ni göra en konsekvensbedömning innan ni inleder bevakningen.

Syftet med konsekvensbedömningen är att ni ska utvärdera riskerna för de enskildas integritet, visa att ni efterlever dataskyddsförordningen och avgöra om ni ska begära ett förhandssamråd med IMY.

Gör först en generell riskbedömning

Innan ni börjar kamerabevakningen ska ni göra en generell riskbedömning där ni

  • identifierar riskerna med bevakningen
  • dokumenterar lämpliga säkerhetsåtgärder för att skydda personuppgifterna.

Beakta särskilt

  • om ny teknik används
  • kamerabevakningens omfattning
  • kamerabevakningens sammanhang
  • kamerabevakningens ändamål.

Risken ska vid den generella bedömningen avgöras utan hänsyn till de säkerhetsåtgärder som planeras för att minska risken. Om den generella riskbedömningen visar att kamerabevakningen sannolikt leder till en hög risk måste ni göra en konsekvensbedömning. Även i tveksamma fall bör ni göra en konsekvensbedömning.

"Risk" och "hög risk"

I skäl 75 till dataskyddsförordningen behandlas begreppet risk.

I skäl 91 till dataskyddsförordningen berörs typer av behandling av personuppgifter som sannolikt leder till en hög risk. 

Krav på konsekvensbedömning

Det finns tre exempel på behandlingar som leder till hög risk och därmed innebär en skyldighet att göra en konsekvensbedömning, se artikel 35.3 i dataskyddsförordningen. Ett exempel är Systematisk övervakning av en allmän plats i stor omfattning. Kamerabevakning av platser dit allmänheten har tillträde, till exempel gator, torg, köpcentrum, tågstationer och bibliotek, innebär i regel behandling av ett stort antal personuppgifter som rör ett stort antal personer.

Artikel 35.3 kompletteras av IMY:s Förteckning enligt artikel 35.4 i dataskyddsförordningen. I den framgår i vilka andra fall personuppgiftsbehandling genom kamerabevakning omfattas av kravet på att göra en konsekvensbedömning.

Förteckning enligt artikel 35.4 i dataskyddsförordningen

En konsekvensbedömning ska göras om minst två av kriterierna som räknas upp i förteckningen finns med i den planerade behandlingen.

Exempel på kriterier som anges i förteckningen

  • systematiskt övervakar människor
  • behandlar känsliga personuppgifter
  • behandlar personuppgifter i stor omfattning
  • behandlar personuppgifter om personer som av något skäl befinner sig i ett underläge eller i en beroendeställning
  • använder ny typ av teknik

IMY:s Förteckning enligt artikel 35.4 i dataskyddsförordningen i fulltext (pdf, 400 kB)

Kriterierna i förteckningen innebär att exempelvis nedanstående behandlingar som sker genom kamerabevakning omfattas av kravet på att göra en konsekvensbedömning:

  • En arbetsgivare inför ett inpasseringssystem för anställda med behandling av biometriska uppgifter, till exempel ansiktsigenkänning, i syfte att identifiera fysiska personer.
  • Verksamheter inom social omsorg som använder välfärdsteknik, till exempel kamerabevakning i människors hem.
  • Behandling av barns personuppgifter genom kamerabevakning, om det är ett större antal registrerade.
  • Verksamheter som använder system för intelligent videoanalys för att skilja ut bilar och automatiskt känna igen registreringsskyltar i syfte att övervaka körbeteendet på motorvägar.
  • Parkeringsbolag som använder kamerabevakning som kan skilja ut registreringsnummer i syfte att debitera parkeringsavgifter.

Den personuppgiftsansvariga måste alltid göra en självständig bedömning av den planerade behandlingen för att avgöra om en konsekvensbedömning är nödvändig i det enskilda fallet. Att inte ha utfört en konsekvensbedömning trots att det krävts kan leda till sanktionsavgift.

Då behöver ni inte göra en konsekvensbedömning

Ni behöver bara göra en konsekvensbedömning om er planerade kamerabevakning sannolikt leder till en hög risk för den personliga integriteten hos dem som ni ska bevaka. Har ni redan gjort en konsekvensbedömning för en behandling som är mycket lik den planerade och medför liknande höga risker behöver ni inte göra en ny.

Er konsekvensbedömning kan omfatta ett vidare område än ett enda projekt. I förarbetena till kamerabevakningslagen framgår att exempelvis en myndighet bör kunna ta fram en konsekvensbedömning som kan användas vid ett stort antal bevakningssituationer.

Om en behandling enligt artikel 6.1 c eller e i dataskyddsförordningen har en rättslig grund i EU-rätten eller svensk lag, om denna lagstiftning reglerar den specifika behandlingsåtgärden och om en konsekvensbedömning har genomförts som en del av att fastställa denna rättsliga grund, krävs som utgångspunkt inte någon ytterligare konsekvensbedömning.

Vad ska en konsekvensbedömning innehålla?

För att kunna bedöma allvaret och sannolikheten för den höga risken ska konsekvensbedömningen alltid innehålla 

  • en beskrivning av kamerabevakningen inklusive syftet med den
  • en proportionalitetsbedömning
  • en bedömning av riskerna
  • åtgärderna som planeras för att hantera riskerna.

Så här gör ni en konsekvensbedömning

Begär förhandssamråd om den höga risken kvarstår

Om ni har gjort en konsekvensbedömning men – trots att de säkerhetsåtgärder som planeras för att minska riskerna har beaktats – fortfarande anser att det finns höga risker för den personliga integriteten, ska ni begära förhandssamråd med IMY innan ni påbörjar kamerabevakningen.

Om det är fråga om tillståndspliktig bevakning ska ni ansöka om tillstånd istället för att begära förhandssamråd.

Begär förhandssamråd

Tänk på att

  • alltid dokumentera era bedömningar, analyser och utredningar. Detta är viktigt för att kunna visa att och hur ni följer dataskyddsförordningen. 
  • rådfråga dataskyddsombudet när en konsekvensbedömning genomförs.
  • alltid inkludera dataskyddsombudets synpunkter om ni – till exempel trots att minst två av kriterierna i Förteckning enligt artikel 35.4 i dataskyddsförordningen aktualiseras vid den planerade kamerabevakningen – gör bedömningen att behandlingen sannolikt inte leder till en hög risk och därmed inte utför någon konsekvensbedömning.
Senast uppdaterad: 27 mars 2023