Juridik

Här ger Datainspektionen grundläggande vägledning om reglerna för kameraövervakning av skyddsobjekt, bland annat när tillstånd krävs för kameraövervakningen och när övervakningen är undantagen från tillståndskravet. Den som bedriver kameraövervakning måste även följa de generella regler som gäller för all kameraövervakning. 

Kameraövervakningslagen innehåller en samlad reglering av kameraövervakning. Syftet med lagen är att tillgodose behovet av kameraövervakning för berättigade ändamål samtidigt som enskilda skyddas mot otillbörliga intrång i den personliga integriteten. På den här sidan beskriver vad som är viktigt att tänka på för att kameraövervakning ska få bedrivas inomhus i skolor.

Kameraövervakning på arbetsplatser dit allmänheten inte har tillträde

När man använder sig av kameraövervakning, till exempel för att förebygga brott och att förhindra olyckor, är det viktigt att hålla en hög säkerhetsnivå. För att veta vad detta innebär i praktiken har Datainspektionen tagit fram denna checklista över säkerhetsåtgärder och en vägledning för hur säkerhetsarbetet ska bedrivas. Dessutom finns en genomgång av de relevanta bestämmelser som ligger till grund för de bedömningar som måste göras om säkerheten. Informationen vänder sig till alla. 

Kameraövervakningslagens syfte är att se till så att kameraövervakning kan användas där så behövs samtidigt som enskilda människor skyddas mot otillbörliga intrång i den personliga integriteten. Som ett allmänt krav för kameraövervakning av alla typer av platser gäller att övervakningen ska bedrivas lagligt, enligt god sed och med hänsyn till enskildas personliga integritet.

Kameraövervakningslagens syfte är att se till så att kameraövervakning bara används när övervakningsintresset väger tyngre än integritetsintresset. Som ett allmänt krav för kameraövervakning av alla typer av platser gäller att övervakningen ska bedrivas lagligt, enligt god sed och med hänsyn till enskildas personliga integritet.

Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.
 

Ja, i en del fall. Enligt dataskyddsförordningen måste vissa organisationer, exempelvis myndigheter, utse ett dataskyddsombud. Se mer under nästa fråga. Den som vill får utse ett dataskyddsombud även i andra fall.
 

Ja, förordningen innehåller regler om personuppgiftsansvarig och personuppgiftsbiträde precis som förut. I förordningen finns dessutom många fler regler som uttryckligen riktar sig mot personuppgiftsbiträden. Ett av syftena med dataskyddsreformen har varit att göra det tydligare vilket ansvar och vilka skyldigheter de som behandlar personuppgifter har.
 

Den reformerade dataskyddslagstiftningen består av två delar: en EU-förordning som gäller alla utom polisen (och andra brottsbekämpande myndigheter) och ett EU-direktiv som bara gäller polisen (och andra brottsbekämpande myndigheter).
 

I mitten av 2018 ska den nya dataskyddsförordningen börja tillämpas. Dataskyddsförordningen kommer att gälla som lag i Sverige och ersätta personuppgiftslagen. Syftet med förordningen är att skapa enhetliga dataskyddsregler inom hela EU vilket underlättar för företag att verka på hela unionens inre marknad. Dataskyddsförordningen kommer att medföra stora förändringar för de som behandlar personuppgifter.

Denna vägledning tar upp 13 frågor som ni som behandlar personuppgifter bör ta ställning till redan nu för att förbereda er inför införandet av den nya dataskyddsförordningen som ska börja tillämpas i mitten av 2018.

Dataskyddsförordningen hindrar inte den personuppgiftsbehandling som är nödvändig för att myndigheter ska kunna uppfylla skyldigheten att lämna ut allmänna handlingar enligt offentlighetsprincipen.

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s medlemsstater har ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna Norge, Island och Liechtenstein. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU och EES har man ansett att överföring till sådana länder bara får ske under särskilda förutsättningar.

De som behandlar personuppgifter kan ansluta sig till en uppförandekod för att visa att de följer bestämmelserna i dataskyddsförordningen. En uppförandekod är riktlinjer som särskilt beskriver hur en viss verksamhet, bransch eller samhällssektor ska behandla personuppgifter i enlighet med förordningen. En uppförandekod ska förutom riktlinjer innehålla bestämmelser om hur efterlevnaden av uppförandekoden ska säkerställas.

Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Dataskyddsombudet ska även vara en kontaktpunkt för tillsynsmyndigheten och de registrerade. Dataskyddsombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling och ha en självständig roll i förhållande till ledningen. Ett ombud kan vara anställd inom den personuppgiftsansvariges eller personuppgiftsbiträdets egna organisation men det är också möjligt att anlita någon utanför organisationen.

Innan man inleder en behandling av personuppgifter som kan leda till en hög risk för integritetsintrång till exempel ett omfattande register med känsliga personuppgifter, måste man bedöma konsekvenserna för de registrerade (konsekvensbedömning). Om man bedömer att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken måste man samråda med Datainspektionen (förhandssamråd).
 

Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång eller en oavsiktlig förlust av personuppgifter, måste man dokumentera incidenten och anmäla den till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade till exempel om det finns risk för id-stöld eller bedrägeri. För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att organisationer som behandlar personuppgifter har tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Denna skyldighet är en nyhet i dataskyddsförordningen.
 

Den som behandlar personuppgifter måste se till att ha en lämplig säkerhetsnivå för uppgifterna, både tekniskt och organisatoriskt. Vad som är en lämplig säkerhetsnivå beror på bland annat riskerna med behandlingen, vilken typ av uppgifter som behandlas, på de tekniska möjligheter som finns och på kostnaderna.

Både personuppgiftsansvariga och personuppgiftsbiträden är enligt dataskyddsförordningen skyldiga att föra ett register över sina behandlingar av personuppgifter. Vad som ska finnas med i förteckningen framgår uttryckligen i förordningen, till exempel ändamålen med behandlingen, beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, eventuella externa mottagare av personuppgifterna och om uppgifter förs över till tredjeland.