Den 29 januari 2020 publicerade European Data Protection Board (”EDPB”) nya riktlinjer om kamerabevakning och ansiktsigenkänning, vilket IT-advokaterna uppmärksammat i ett tidigare pressmeddelande. Syftet med de nya riktlinjerna är att förtydliga och ge vägledning till alla som vill bedriva kamerabevakning inom EU.
Kamerabevakning blir allt vanligare. Reglerna om kamerabevakning skiljer sig åt beroende av vem som utför bevakningen och var kameror sätts upp. Kamerabevakningslagen tillåter kamerabevakning för berättigade ändamål. Med berättigade ändamål avses såväl sådana ändamål som ska beaktas särskilt vid en tillståndsprövning, som andra ändamål som betraktas som berättigade i enlighet med reglering om behandling av personuppgifter, exv. GDPR.
Tillstånd för att bedriva kamerabevakning krävs för bevakning av en plats dit allmänheten har tillträde, som exv. gator, torg och parker, om bevakningen ska bedrivas av en myndighet. Tillstånd krävs även om sådan bevakning ska bedrivas av någon annan än en myndighet, vid utförande av en uppgift av allmänt intresse som följer av lag eller annan författning, kollektivavtal eller beslut som meddelats med stöd av lag eller annan författning.
Du som privatperson omfattas av det så kallade privatundantaget. Det innebär att du får kamerabevaka din egen bostad och tomt, utan att ta hänsyn till GDPR eller kamerabevakningslagen. Privatundantaget är begränsat till kamerabevakning inom den privata sfären, det vill säga verksamhet av rent privat natur. Det är således inte tillåtet att filma en plats dit allmänheten har tillträde eller någon annans privata tomt.
Privata företag behöver inte längre tillstånd för att kamerabevaka, utan GDPR:s regler anses tillräckliga för att garantera ett fullgott skydd mot den inskränkning som kamerabevakningen innebär för den enskildas personliga integritet.
För att GDPR ska vara tillämpligt vid kamerabevakning krävs det att en individ kan identifieras på videomaterialet. Om det är möjligt att identifiera en person, eller andra personuppgifter via materialet (exv. registreringsnummer eller andra personuppgifter på bild), behandlar företaget de facto personuppgifter. För att en person ska anses identifierbar krävs det att den enskilde utan större osäkerhet kan särskiljas från andra personer på videomaterialet, exv. genom att den enskildes ansikte syns. Enskilda kan dock identifieras utifrån andra kännetecken såsom klädsel, kroppsrörelser eller kroppskonstruktion. Notera särskilt att det endast krävs att den enskilde kan identifieras för att GDPR ska bli tillämpligt, inte att personen faktiskt identifieras.
GDPR kräver att personuppgifter som behandlas via kamerabevakning efterlever GDPRs krav på bl.a. information och laglig grund. Med andra ord måste man som personuppgiftsansvarig ha ett tydligt ändamål med sin behandling och tydligt informera varför man utför kamerabevakning, samt vilken rättslig grund i GDPR man baserar sådan behandling på.
Detta är del 1 av 3 i en serie om kamerabevakning som IT-advokaterna kommer att publicera. Vill du veta mer om hur detta kan påverka ditt företag, tveka inte att kontakta en IT-advokat.
