Kamerabevakning och GDPR 2025 – hur efterlever ni de nya reglerna?

Publicerat den 3 juni 2025

Den 1:a april 2025 trädde nya regler för kamerabevakning i kraft. Verksamheter behöver nu inte längre ansöka om tillstånd hos Integritetsskyddsmyndigheten (IMY). Istället har offentliga och privata aktörer fått ett större ansvar att själva bedöma om bevakningen är laglig.

Kamerabevakning innebär behandling av personuppgifter och kan påverka människors integritet. De nya reglerna gör det enklare att kamerabevaka, men ställer samtidigt högre krav på att förstå och följa Kamerabevakningslagen och Dataskyddsförordningen.

I det här inlägget går vi igenom vad som är nytt i IMY:s vägledning, vad lagen kräver, vilka vanliga misstag du bör undvika och hur du kan arbeta praktiskt med dataskydd i samband med kamerabevakning.

Vad är nytt i IMY:s vägledning om kamerabevakning 2025?

Syftet med den nya vägledningen är att öka transparensen och rättssäkerheten i hur kamerabevakning används. IMY vill ge tydligare stöd till verksamheter som nu själva ansvarar för att göra rätt.

De tre viktigaste förändringarna är:

Tillståndskravet har tagits bort, verksamheter måste själva göra en dokumenterad intresseavvägning och registrera all bevakning i en förteckning innan de börjar bevaka.
Kraven gäller för all bevakning i verksamheten, det vill säga inte enbart den typ av bevakning som tidigare var tillståndspliktig.
Brottsbekämpande myndigheter får utökade möjligheter att kamerabevaka i den brottsbekämpande verksamheten.

Kamerabevakningslagen och GDPR – vad säger lagkraven?

Även om tillstånd inte längre krävs, gäller fortfarande GDPR och kamerabevakningslagen. Det innebär att varje bevakning behöver:

Ha en rättslig grund
Vara nödvändig och proportionerlig
Erbjuda tydlig och lättillgänglig information till de som filmas
Krav på skyltning

Några av de viktigaste kraven enligt GDPR är:

Behandlingen ska vara laglig, korrekt och transparent
Det ska finnas ett berättigat syfte
Personuppgifter får inte sparas längre än nödvändigt
Den registrerade ska informeras om behandlingen

Vilka ska du involvera för dataskyddsvänlig kamerabevakning?

För att kamerabevakningen ska vara korrekt, lagenlig och respektera individens integritet krävs samarbete mellan flera funktioner i organisationen.

Dataskyddsombudet bör alltid involveras tidigt i processen för att ge vägledning kring rättslig grund och behovet av konsekvensbedömning (DPIA). IT- och säkerhetsansvariga ansvarar för att tekniken är säker, att inspelat material hanteras korrekt och att obehörig åtkomst förhindras. Andra viktiga funktioner som juridik, HR och kommunikation kan också behöva bidra.

Om en DPIA visar att behandlingen av personuppgifter medför en hög risk för de registrerades rättigheter och friheter som inte går att minimera behöver ni genomföra ett förhandsråd med IMY. Detta behöver ske innan ni påbörjar kamerabevakningen. Kravet gäller främst vid känslig bevakning, såsom kameror i känsliga miljöer där människor har ett starkt integritetsskydd, eller om tekniken innefattar ansiktsigenkänning eller annan biometrisk behandling.

Vad är vanliga fallgropar vid kamerabevakning och hur undviker du dem?

Kamerabevakning kan vara ett snårigt område. För att vara lagenlig krävs rätt dokumentation, information och hantering av allt material. Här är några av de vanligaste fallgroparna och hur du undviker dem.

Missad dokumentation av intresseavvägning

Enligt GDPR så måste du kunna visa att kamerabevakning är nödvändig och proportionerlig. Det innebär att en intresseavvägning behöver göras, där behovet av bevakningen vägs mot enskildas rätt till integritet.

Många verksamheter genomför en intresseavvägning, men glömmer att dokumentera den. För att uppfylla kraven enligt GDPR är det viktigt att skapa ett skriftligt dokument där du tydligt beskriver:

Syftet med bevakningen
Vilken typ av personuppgifter som samlas in
Hur länge materialet sparas
Samt vilka åtgärder som vidtas för att skydda den personliga integriteten.

IMY har tagit fram en mall för intresseavvägning vid kamerabevakning som kan användas som stöd som du hittar här: Mall för intresseavvägning vid kamerabevakning med stöd av den rättsliga grunden intresseavvägning (artikel 6.1 f).

Observera att detta dokument inte är detsamma som ett behandlingsregister enligt artikel 30 i GDPR. Intresseavvägningen är en separat del av den dokumentation som krävs för att visa att behandlingen är laglig och att principen om ansvarsskyldighet uppfylls.

Bristfällig information till de som filmas

En annan vanlig fallgrop är otillräcklig information till de som vistas i det bevakade området. För att uppfylla kraven enligt GDPR och kamerabevakningslagen bör informationen till de som filmas vara tydlig, lättillgänglig och innehålla uppgifter om syftet med bevakningen, vem som är ansvarig, kontaktuppgifter och var man kan läsa mer.

IMY har tagit fram ett exempel på hur en informationsskylt kan utformas – du hittar det på deras webbplats under Steg 9 – Informera om kamerabevakningen | IMY.

Otydliga eller saknade rutiner för hantering av material

Det är avgörande att inspelat material hanteras säkert, med tydliga rutiner för lagringstid, kryptering och åtkomstkontroll. Se därför till att sätta upp rutiner för detta. Brist på tydliga rutiner kan leda till både integritetsrisker och juridiska problem.

Behöver ni göra en DPIA för er kamerabevakning?

Ja, i många fall behöver ni göra en DPIA innan ni börjar kamerabevaka, speciellt vid hög risk.

Enligt artikel 35 i GDPR ska en DPIA genomföras när en organisation eller verksamhet behandlar personuppgifter som innebär hög risk för individers rättigheter och friheter. Om en DPIA visar att bevakningen medför en hög risk för individers rättigheter och friheter, och dessa inte kan minimeras, behöver ni genomföra ett förhandssamråd med IMY. Syftet med DPIA är att minska dessa risker.

En DPIA krävs särskilt vid:

Systematisk övervakning av allmän plats
Bevakning av anställda
Användning av ny eller känslig teknik, till exempel ansiktsigenkänning
Bevakning i känsliga miljöer
Omfattande eller regelbunden övervakning

En konsekvensbedömning ska innehålla:

Beskrivning av behandlingen och dess syfte
Bedömning av nödvändighet och proportionalitet
Analys av riskerna för de registrerade
Åtgärder för att hantera dessa risker

Hur ni upprättar en DPIA samt hur mallen ser ut hittar ni i vår guide för att genomföra en konsekvensbedömning.

Vanliga frågor och svar om kamerabevakning och GDPR

Är kamerabevakning tillåten enligt GDPR?

Ni behöver bedöma om kamerabevakningen är tillåten. Det måste finnas ett berättigat syfte, en rättslig grund och ni informerar tydligt. Bevakningen måste vara nödvändig, proportionerlig och dokumenterad.

Krävs samtycke för att kamerabevaka?

Nej, oftast är berättigat intresse eller allmänt intresse/myndighetsutövning rätt grund, artikel 6.1 f GDPR. Samtycke används sällan eftersom det ska vara frivilligt – vilket sällan går att säkerställa i kameramiljöer.

Vad ska ingå i en DPIA för kamerabevakning?

Syftet med bevakningen
Beskrivning av tekniken
Riskanalys för registrerade personer
Bedömning av proportionalitet och nödvändighet
Åtgärder för att minska risker

Vad gäller för kamerabevakning i molnet?

Ni måste ha personuppgiftsbiträdesavtal med leverantören, säkerställa att data inte skickas utanför EU/EES utan att vidta adekvata åtgärder som ger ett tillräckligt skydd och ha kontroll på åtkomst och loggar.

Kan en kommun kamerabevaka skolor, äldreboenden eller gator?

Ja, men bara efter noggrann bedömning. Den nya kamerabevakningslagen innebär att kommuner har ett större ansvar att säkerställa att bevakningen är laglig och proportionerlig. De nya reglerna tydliggör att ni måste visa varför andra lösningar inte räcker, samt göra DPIA.

Innehållet i denna blogg är endast avsett som allmän information och utgör inte juridisk rådgivning. Vi ansvarar inte för eventuella felaktigheter eller bristande uppdateringar. För juridisk rådgivning som är anpassad efter din specifika situation rekommenderar vi att du kontaktar oss eller annan kvalificerad jurist.

Relaterat innehåll:

I väntan på Cybersäkerhetslagen – vad gäller?

februari 19, 2025

Sverige som medlemsstat har misslyckats med att implementera NIS2-direktivet i tid. Den kommande Cybersäkerhetslagen väntas inte börja gälla förrän under 2025, sannolikt närmare ett år försenad. Vad innebär då detta i praktiken för verksamhetsutövare i Sverige? Innan vi kan reda ut det mer noggrant känns

Läs mer »

Så blir cybersäkerhet affärsdrivet!

februari 10, 2025

Uppkopplade tjänster, ökad medvetenhet om cyberrisker hos kunder och nya lagkrav på cybersäkerhet. Ja helt plötsligt har cybersäkerhet blivit affärsdrivet. En förutsättning för att fortsätta vara en professionell och konkurrenskraftig leverantör. Så vad innebär det att cybersäkerhet har blivit affärsdrivet? Det utforskar jag i det

Läs mer »

Så kravställer du på ett externt Dataskyddsombud – kostnadsfri guide

januari 16, 2025

Behöver din organisation utse ett externt Dataskyddsombud? Att hitta rätt person som hjälper er efterleva GDPR på ett effektivt sätt är lättare sagt än gjort. I den här guiden får du svar på hur du kravställer för att hitta rätt Dataskyddsombud. Guiden riktar sig till

Läs mer »