En vanlig hantering av personuppgifter som kräver extra försiktighet!
I veckan stötte jag på frågan hur man bör hantera data från övervakningskameror (CCTV) ur ett dataskyddsperspektiv. Frågan uppstod i samband med användandet av övervakningskamera för att bevaka entrén till en arbetsplats, något som är mycket vanligt. Att bilder från en bevakningskamera utgör personuppgifter enligt dataskyddsförordningens definition torde vara odiskutabelt och något de flesta är medvetna om. Men hur detta ska hanteras, och då särskilt i relation till andra personuppgifter som rutinmässigt samlas in ifrån exempelvis besökare till ett företag är tydligen mindre klart.
Jag har vid ett flertal tillfällen stött på situationen där kameraövervakning hanteras inom ramen för samma behandling som utgörs av besöksregistrering samt in- och utpassering av anställda. I själva verket utgör detta olika behandlingar som bör stödja sig på olika lagliga grunder.
Registrering av besökare sker ofta genom någon form av besöksregistreringssystem där besökaren uttryckligen ombeds acceptera att vissa personuppgifter behandlas för att administrera besöket, exempelvis namn och e-postadress. Den lagliga grunden till stöd för detta är då samtycke.
Samtycke ej lämpligt
Personuppgifter hos anställda på företaget i fråga hanteras vanligen i ett flertal behandlingar som delvis stödjer sig på olika legala grunder. Personuppgifter hos anställda som ”fastnar” på övervakningskameror vid in- och utpassering på kontoret ska dock inte blandas samman med hanteringen av personuppgifter för besökare. Samtycke som legal grund för behandling av personuppgifter hos anställda är oftast inte lämpligt eller ens möjligt då en beroendeställning anses föreligga mellan den anställde och arbetsgivaren vilket ger till följd att samtycket presumeras inte ha kunnat avges frivilligt, ett centralt krav för giltiga samtycken.
Av den anledningen bör kameraövervakning av anställda i stället basera sig på en intresseavvägning. Den personuppgiftsansvarige bör därmed vid bedömningen av hanteringen av personuppgifter i samband med kameraövervakning bedöma om det finns ett berättigat intresse för bevakningen, om kameraövervakning är nödvändig för att uppnå detta intresse, samt huruvida den personuppgiftsansvariges intressen faktiskt väger tyngre än den registrerades intressen och grundläggande rättigheter och friheter.
Begränsa lagringstiden
Hantering av personuppgifter från kameraövervakning räknas som extra skyddsvärda uppgifter med en högre risk för den registrerades integritet och rättigheter. Förutom att säkerställa en korrekt laglig grund och ett syfte för kameraövervakningen är det därmed även mycket viktigt att de insamlade uppgifterna hanteras på ett korrekt sätt. Den Europeiska Dataskyddsstyrelsen (EDPB) rekommenderar en lagringstid på tre dygn för data inhämtad från kameraövervakning. Med hänsyn till den känsliga karaktären av uppgifterna bör den personuppgiftsansvarige även överväga att genomföra en konsekvensbedömning (Data Protection Impact Assessment) av behandlingen. Denna, såväl som laglig grund och intresseavvägningen bör sedan dokumenteras, både i registret över personuppgiftshanteringar och i nödvändig fristående dokumentation, exempelvis en policy för kameraövervakning.
Nya kameraövervakningsregler 1 april 2025
Övriga aspekter att notera avseende kamerabevakning är att kameraövervakningslagen (2013:460) är tillämplig och företag och andra organisationer som vill införa kamerabevakning måste således säkerställa att bevakningen är i linje med lagstiftningen. I sammanhanget bör även nämnas att nya regler har införts från och med 1 april 2025 som slopar tillståndsplikten för myndigheter och offentliga verksamheter för att få genomföra kamerabevakning. I stället införs regler om egen intresseavvägning och dokumentation om densamma och om hanteringen i övrigt.