Nyheter

Integritetsmyndigheten har under det senaste året varit flitiga på att granska och utdöma sanktionsavgifter avseende aktörers kamerabevakning. I februari i år inleddes två nya granskningar mot företagens kamerabevakning på deras lager. Vilka regler gäller egentligen vid kamerabevakning?

GDPR och kamerabevakningslagen

De två lagar som reglerar kamerabevakning i Sverige är dels den mer övergripande dataskyddsförordningen GDPR som omfattar all kamerabevakning inom EU där identifierbara personer filmas, dels kamerabevakningslagen som är en kompletterande svensk nationell lagstiftning. 

GDPR gäller för all personuppgiftsbehandling, även personuppgiftshantering i bild, detta under förutsättning att personer kan identifieras. All kamerabevakning som sker inom EU och kan identifiera en person omfattas av GDPR, men endast viss kamerabevakning omfattas av den svenska kamerabevakningslagen. Syftet med kamerabevakningslagen är att se till så att kamerabevakning bara används när övervakningsintresset väger tyngre än integritetsintresset.

Kamerabevakningslagen kompletterar GDPR och gäller för kamerabevakning där kameran inte manövreras på plats och som innebär varaktig eller regelbundet upprepad bevakning av personer som kan identifieras. Det kan till exempel handla om bevakning med en kamera som under en längre tid är placerad på eller riktad mot en plats där människor normalt vistas. Ren privat bevakning, till exempel inne i någons bostad eller på tomten, omfattas inte av lagen. Om kameran däremot även fångar upp ett område som allmänheten har tillträde till, t.ex. en trottoar eller en skog där allemansrätten gäller så gäller lagen. Lagen gäller dock inte inom yttrandefrihetens område, såsom filmning av sportevenemang eller till ett nyhetsinslag.

Varken kamerabevakningslagen eller GDPR gäller för bevakningen om de som filmas inte kan identifieras, till exempel om kameran filmar på långt avstånd. Detsamma gäller om man sätter upp kameraattrapper.

Ändamål, lagring, information och tillgång

Tidigare krävdes som huvudregel tillstånd vid all bevakning av allmänt tillgängliga platser och utrymmen, men detta krav har i princip ersatts av att den som utför bevakningen själv ansvarar för att följa reglerna. Varje kamerabevakning behöver ha ett specifikt och berättigat ändamål. Den som ansvarar behöver säkerställa att bevakningen blir så begränsad som möjligt både vad gäller platsen som bevakas och tiden som bevakningen pågår. Filmerna behöver också lagras kortast möjliga tid och omfattas av hög säkerhet. Till exempel behöver man begränsa vilka som har tillgång till filmerna. Det är viktigt att vara medveten om att det är olagligt att sätta upp dolda kameror.

Vid kamerabevakning måste man också lämna information till allmänhet och besökare av platsen som bevakas. Eftersom dataskyddsförordningen gäller handlar det om en ganska omfattande informationsmängd. Oftast löser man detta genom att kombinera en varningsskylt med en fullständig information som till exempel finns tillgänglig receptionen och på företagets webbplats.

Enligt GDPR har den som bevakas rätt att få veta om att hen har blivit bevakad samt att få tillgång till filmer där hen syns. Exempelvis har en anställd eller kund som blir filmad av en butiks bevakningskamera rätt att begära ut bevakningsbilderna på sig själv. För att kunna hjälpa de som ni filmat på bästa möjliga sätt är det en god idé att ni har en tydlig policy för hur ni ska hantera begäran om registerutdrag och tekniska möjligheter att kunna tillgodose denna rätt. Om flera individer syns på filmen behöver alla förutom den aktuella registrerade avidentifieras innan filmen kan lämnas ut. Detta är ett exempel på en teknisk möjlighet som är bra att säkerställa.

Välkommen att kontakta oss om ni har frågor om er kamerabevakning!

Anna Lööv och Lina Sandmark

Kompass Advokat har utsett Kawin Mårtensson till partner från och med den 1 februari.

”Det är väldigt glädjande att kunna utse ytterligare en av våra senior associates till ny partner. Detta är andra gången på kort tid som vi välkomnar en ny partner från våra egna led. Det visar att vår interna organisation på byrån fungerar väl och att våra medarbetare uppskattas av klienter”, säger Kompass grundare Anna Lööv.

”Kawin är mycket engagerad i byråns klienter och han har på kort tid hos oss på Kompass blivit en etablerad och välkänd rådgivare som är mycket uppskattad. Han kompletterar övriga på byrån på att bra sätt och är en omtyckt kollega. Kawins långa och breda erfarenhet av framförallt försäkringsbranschen värdesätts högt och vi ser en stor efterfrågan från våra klienter inom det försäkringsrättsliga området. Vi är mycket glada att få välkomna Kawin som partner hos oss för att fortsätta denna resa”. 

”Jag ser väldigt mycket fram emot att fortsätta att hjälpa byråns klienter med att ta rätt beslut för deras affär. Många av byråns klienter har stora och komplexa regelverk, affärsavtal, tvister och andra juridiska frågeställningar att förhålla sig till, och det gäller att göra rätt avvägningar som passar in på rätt sätt i verksamheten. Det skapar affärsmöjligheter och mervärde. Jag ser även fram emot att få möjligheten att delta i arbetet med att leda och utveckla vår egen byråverksamhet tillsammans med erfarna och duktiga kollegor”.

Kawin arbetar främst med frågor inom och med anknytning till försäkringsrätt och finansiell sektor. Han arbetar även med dataskydd, avtalsrätt och tvister/processer. Kawin håller ofta utbildningar och är nätverksledare för flera populära nätverk.

Kawin började på byrån 2019. Han är medlem i Sveriges Advokatsamfund och har en jur kand från Stockholms universitet och en affärsjuridisk magisterexamen från Linköpings universitet. Han har även arbetat på Finansinspektionen och på flera försäkringsbolag.

För mer information, välkomna att kontakta Anna Lööv eller Kawin Mårtensson.

Anna Lööv: +46 (0) 708 499 498
Kawin Mårtensson: +46 (0) 721 436 568

Beslutet avser en tvist som uppkommit efter ett utkast till beslut som utfärdats av irländska tillsynsmyndigheten såsom ansvarig tillsynsmyndighet (LSA) och de efterföljande invändningarna från ett antal berörda tillsynsmyndigheter (CSA) angående ett ärende som rör Twitter.

GDPR ställer krav på tillsynsmyndigheterna att samarbeta för att säkerställa en konsekvent tillämpning av GDPR. En av deras uppgifter är att samordna beslutsfattande vid gränsöverskridande personuppgiftsbehandling. LSA ansvarar för att leda samarbetsprocessen och förbereda utkast till beslut. CSA ska konsulteras och kan uttrycka sina invändningar mot utkastet till beslut. Om LSA har för avsikt att följa invändningarna ska ett reviderat utkast till beslut skickas till CSA som återigen kan uttrycka sina invändningar. Om LSA inte avser att följa invändningarna och det därför uppstår en tvist om ett utkast till beslut, och inget samförstånd kan uppnås, är LSA skyldig att hänvisa ärendet till EDPB. EDPB fungerar då som tvistlösningsorgan och fattar beslut som är bindande för LSA och CSA (se artikel 65 i GDPR). LSA (och i vissa situationer CSA om klagomålet ingavs där) måste sedan anta sitt slutliga beslut på grundval av EDPB:s beslut. Tillsynsmyndighetens beslut ska sedan meddelas PUA/PUB och i förekommande fall klaganden.

I det aktuella fallet utfärdade den irländska tillsynsmyndigheten ett utkast till beslut efter en utredning av Twitter efter att företaget meddelat en personuppgiftsincident till tillsynsmyndigheten. Utkastet till beslut delades med CSA som bl.a. invände mot de överträdelser som identifierats av LSA, Twitters roll som ensamt personuppgiftsansvarig och bedömningen av det föreslagna sanktionsbeloppet.

Eftersom LSA avvisade invändningarna och/eller ansåg att de inte var ”relevanta och motiverade” hänvisade den ärendet till EDPB och initierade därmed tvistlösningsförfarandet. Den 9 november 2020 antog EDPB sitt bindande beslut och kommer inom kort att underrätta det formellt till den irländska tillsynsmyndigheten som sedan ska anta sitt slutliga beslut på grundval av EDPB-beslutet.

Här kan du ta del av EDPB:s pressmeddelande.

Redan i FI:s konsumentskyddsrapport 2020 aviserades att FI kommer att kartlägga försäkringsföretagens processer för produktgodkännande. Under hösten har EIOPA publicerat en rapport om just tillsynen över produktstyrning och produktgodkännande. Kort därefter publicerade FI en PM om FI-tillsynen om distribution av livförsäkringar. FI har också under hösten fortsatt med sin tillsyn på området, och som en del av detta begärt in utvalda försäkringsföretags produkttillsyns- och styrningspolicier.

Vad ska försäkringsföretagen tänka på, och hur kan företagen förbereda sig? Ett bra sätt är att gå igenom EIOPA:s rapport. Den rapporten kan i det närmaste ses som en handbok för praktisk tillämpning av regelverket och tillsynen. I en kort artikel på Sak & Liv sammanfattar vi de viktigaste delarna i EIOPA:s rapport. En särskilt viktig del är att ha rätt dokumentation på plats. Läs artikeln om vad som kan förväntas av FI:s tillsyn!

Datainspektionen, Barnombudsmannen och Statens medieråd har tagit fram en vägledning för aktörer på marknaden som skapar, tillhandahåller och ansvarar för digitala miljöer där det är vanligt att barn och ungdomar befinner sig, såsom t.ex. sociala medier, chattprogram och onlinespel. Vägledningen är till för att ge ett generellt stöd till aktörerna i syfte att stärka barn och ungdomars fri- och rättigheter på internet.

Enligt GDPR ska barns personuppgifter ges ett särskilt skydd då dessa grupper kan vara mindre medvetna om eventuella risker och konsekvenser i samband med sitt internetanvändande. Vägledningen innehåller bl.a. nedan dataskyddsrelaterade aspekter som aktörer bör tänka på i relation till barn och ungdomar:

• Behandla så få personuppgifter som möjligt och ta hänsyn till integritetsaspekter och barnskydd vid planering och utformning av tjänster och system.
• Ta hänsyn till mottagarens mognad och ålder genom att bl.a. anpassa informationen. Utöver enkel och kortfattad skriftlig information använd även t.ex. enklare diagram eller illustrationer för att förenkla mottagandet.
• Ta ställning till om mottagaren kan förutse konsekvenserna med vad personuppgiftsbehandlingen kan medföra och vad ett samtycke innebär.
• Som huvudregel, stäng av platsdata och vidaredelning av uppgifter.
• Informera mottagaren om verktyg såsom t.ex. föräldrakontroll. Tänk på att även om kontrollen kan vara viktig för att hjälpa vuxna att skydda sina barn och ungdomar, så riskerar kontrollerna begränsa barnets rätt till privatliv, lek och tillgång till information.
• Använda inte förinställda åldersalternativ eller förbockade samtycken. Förinställda val kan ses som nudging och leda till att barn och ungdomar uppger fel uppgifter.
• Om leksaker och anordningar samlar in data, förmedla då tydlig information om detta vid köp- och installationstillfället. Visa även tydligt när produkten samlar in data genom att t.ex. en lampa lyser.
• Kom ihåg att det är förbjudet att rikta direktreklam till barn under 16 år.