Kameraovervåking og GDPR: Der ansvarsskyldigheten settes på prøve

Kameraovervåking kan være et effektivt tiltak for å beskytte eiendom, forebygge kriminalitet og skape trygghet.
Men når kameraene skrus på, følger også GDPR med.

Å sette opp kameraovervåking handler ikke bare om teknikk og sikkerhet – det handler om å kunne dokumentere, begrunne og bevise at alt du gjør er i tråd med loven.

I kjernen av dette ligger et sentralt prinsipp i GDPR: ansvarsskyldigheten i artikkel 5 nr. 2.

Du må kunne bevise at du følger reglene

GDPR krever ikke bare at du overholder loven – du må også kunne vise at du gjør det.
Når det gjelder kameraovervåking, betyr det at du må kunne dokumentere:

• at formålet med overvåkingen er nødvendig og proporsjonalt

• at du har et gyldig rettslig grunnlag, både etter GDPR og norsk lov

• at du har gjort tiltak for å beskytte de som overvåkes og hindre misbruk av opptak

• og at alt dette er oppdatert og skriftlig dokumentert

Det holder altså ikke å si at du følger GDPR – du må kunne bevise det.

Behandlingsprotokollen: Oversikten over overvåkingen

Som behandlingsansvarlig må du føre en behandlingsprotokoll i henhold til artikkel 30 i GDPR.
For kameraovervåking skal den gi et klart bilde av hvordan overvåkingen faktisk skjer, og inneholde blant annet:

• formålet med overvåkingen (for eksempel tyveribeskyttelse eller adgangskontroll)

• hvem som overvåkes (ansatte, besøkende osv.)

• hvilke personopplysninger som samles inn (ansiktstrekk, kjennetegn, bevegelser)

• hvem som får tilgang til opptakene

• om materialet overføres utenfor EU/EØS

• hvor lenge opptakene lagres og hvorfor

• hvilke sikkerhetstiltak som beskytter opptakene

Protokollen fungerer som kartet over overvåkingen – og er som regel det første dokumentet Datatilsynet ber om ved tilsyn.

Konsekvensvurdering (DPIA) – vurder risikoen før du overvåker

Kameraovervåking innebærer ofte høy risiko for personvernet, siden mennesker overvåkes systematisk.
Derfor krever GDPR artikkel 35 at du gjennomfører en konsekvensvurdering (DPIA) før du setter i gang.

I en DPIA skal du:

• vurdere om overvåkingen er nødvendig og proporsjonal

• kartlegge risikoene for personvernet, for eksempel uautorisert tilgang eller misbruk av opptak

• beskrive hvilke tiltak du har gjort for å redusere risikoene

Uten en dokumentert konsekvensvurdering er det vanskelig å bevise at du har vurdert og håndtert de faktiske risikoene ved overvåkingen.

Interesseavveiing – dokumentasjon som må være på plass

De fleste private virksomheter bruker berettiget interesse som rettslig grunnlag for kameraovervåking (artikkel 6 nr. 1 f).
Men da må du også dokumentere en interesseavveiing – en vurdering av om virksomhetens behov veier tyngre enn den enkeltes rett til privatliv.

Det er to grunner til at dette er viktig:

1. Bevis på lovlighet: Uten en dokumentert interesseavveiing kan overvåkingen regnes som ulovlig, selv om du i praksis har gjort alt riktig.

2. Vurdering av proporsjonalitet: Dokumentasjonen skal vise at overvåkingen ikke er mer inngripende enn nødvendig, og at tiltaket står i forhold til formålet.

Offentlig og privat sektor – ulike krav, samme ansvar

Privat sektor bruker som regel berettiget interesse som grunnlag. Her er dokumentasjonen avgjørende for lovlig overvåking.

I offentlig sektor er reglene mer komplekse. Tidligere krevdes tillatelse fra Datatilsynet for overvåking av offentlige områder, men etter den nye kameraovervåkingsloven (fra 1. april 2025) er dette erstattet av en intern og dokumentert vurdering.

Offentlige aktører som baserer overvåkingen på allmenn interesse eller myndighetsutøvelse må i stedet gjennomføre en proporsjonalitets- og nødvendighetsvurdering, som i praksis tilsvarer en interesseavveiing. Disse må også være dokumentert for at ansvarsskyldigheten etter artikkel 5 skal være oppfylt.

Uansett sektor er dokumentasjonen din beste beskyttelse mot klager og sanksjoner.

Bevis at du tar ansvar

Kameraovervåking stiller høye krav til både ansvar og dokumentasjon.
Gode intensjoner er ikke nok – du må kunne vise at du har vurdert risikoene og gjort nødvendige tiltak.

Sjekkliste for lovlig kameraovervåking:

• Gjennomfør en konsekvensvurdering (DPIA)

• Dokumenter interesseavveiingen

• Oppdater behandlingsprotokollen med overvåkingsaktiviteten

Ved å dokumentere grundig viser du at du tar personvernet på alvor – og reduserer risikoen for feil og reaksjoner fra myndighetene.

Usikker på om dokumentasjonen din holder?

Book en kostnadsfri gjennomgang – så viser vi hvordan du kan styrke etterlevelsen og unngå unødvendige feil.