Företag som bedriver kamerabevakning är skyldiga att upplysa den enskilde om detta. Det vanligaste sättet är att sätta upp tydliga skyltar i anslutning till den plats som bevakas. I tillägg till kamerabevakningens upplysningskrav, har företag som behandlar personuppgifter i samband med bevakningen även en informationsskyldighet i förhållande till den enskilde enligt GDPPR.
Kamerabevakningslagen innehåller, i tillägg till upplysningskravet, en hänvisning till tillämplig personuppgiftsreglering (GDPR) om enskildas rätt till information om den personuppgiftsbehandling som övervakningen innebär. Den som bedriver kamerabevakning, kallad den personuppgiftsansvarige i GDPR, är skyldig att informera den enskilde om den personuppgiftsbehandling som utförs. Detta omfattar en rätt för den enskilde att få information om bl.a. den personuppgiftsansvariges identitet och kontaktuppgifter, ändamålen med behandlingen, rätten att inge klagomål till tillsynsmyndighet, samt, i tillämpliga fall, dataskyddsombudets kontaktuppgifter.
Informationen ska lämnas genom tydlig skyltning eller på något annat verksamt sätt. European Data Protection Board (”EDPB”) publicerade i början av 2020 riktlinjer avseende kamerabevakning, vilka IT-advokaterna uppmärksammat i ett tidigare pressmeddelande. EDBP rekommenderar att företag, mot bakgrund av det höga informationskrav som ställs på personuppgiftsansvariga, använder sig av ett skiktat tillvägagångssätt för att lämna ut informationen. Detta kan ske genom att den viktigaste informationen ges direkt på upplysningsskylten om kamerabevakning (första skiktet/lagret), medan detaljerna om tillvägagångssättet (andra skiktet/lagret) tillhandahålls på andra sätt.
EDPB menar vidare att man i det första lagret även bör använda sig av varningstecken som uppmärksammar den enskilde om kamerabevakningen. Informationen ska således tillhandahållas i kombination med en ikon som är synlig och lätt tillgänglig. Informationen i det första skiktet (inklusive varningstecken) bör innehålla detaljer om behandlingsändamålet, personuppgiftsansvarigs identitet och den registrerades rättigheter, samt de viktigaste effekterna av behandlingen. Detta kan inkludera till exempel en förklaring av vilka legitima intressen som behandlingen grundar sig på.
Informationen i det första skiktet ska även, i tillägg till ovanstående, hänvisa till den mer detaljerade informationen (det s.k. andra skiktet), samt var och hur man tar del av detta (via en QR-kod till webbsida, affisch, informationsblad etc). Notera även att om informationen i det andra skiktet valts att göras tillgängligt digitalt, även måste finnas lättillgänglig icke-digitalt (exv. via ett telefonnummer, där individer kan ringa och ta del av informationen). Det bör även vara möjligt att komma åt informationen i det andra skiktet utan att komma in i det övervakade området. Den mer detaljerade informationen (andra skiktet) måste innehålla allt som finns uppställt i artikel 13 GDPR (exv. ändamål med behandling, lagringstid av personuppgifterna och möjligheten att inge klagomål till tillsynsmyndighet).
Informationen ska vara begriplig och tydligt läsbar, samt placeras på ett sådant sätt att den registrerade enkelt kan ta till sig informationen och förstå, innan man går in i det övervakade området, att övervakning sker. Den enskilde måste med andra ord kunna uppskatta inom vilket eller vilka områden den enskilde kan fångas av en kamera, så att denne kan undvika övervakning eller anpassa hans eller hennes beteende.
Den personuppgiftsansvarige undantas dock från informationsskyldigheten om den enskilde redan förfogar över informationen. Det finns även ytterligare undantag från informationskravet vid kamerabevakning i GDPR och brottsdatalagen.
För mer information om kamerabevakning, läs IT-advokaternas tidigare pressmeddelanden om EDPB:s riktlinjer, när GDPR blir tillämplig i tillägg till kamerabevakningslagen, samt om hur länge videomaterial från kamerabevakning får sparas.
Detta är del 3 av 3 i en serie om kamerabevakning som IT-advokaterna publicerat. Vill du veta mer om hur detta kan påverka ditt företag, tveka inte att kontakta en IT-advokat.