DPIA ved kameraovervåking: når er det påkrevd, og hvordan gjøres den?

Personvernkonsekvensvurdering (DPIA) er pålagt for mange former for kameraovervåking — og manglende DPIA er en selvstendig grunn til gebyr. Artikkelen går gjennom når DPIA er obligatorisk, hva den skal inneholde, og hva Datatilsynet forventer.

Hva er en DPIA?

En vurdering av personvernkonsekvenser — Data Protection Impact Assessment (DPIA) — er en strukturert prosess der virksomheten kartlegger hvordan en behandling av personopplysninger påvirker personvernet til de berørte, identifiserer risikoer, og beskriver tiltak som reduserer risikoen til et akseptabelt nivå. DPIA er lovfestet i GDPR artikkel 35 og er ment å være et proaktivt verktøy — vurderingen skal gjøres før behandlingen igangsettes, ikke i etterkant.

For kameraovervåking fyller DPIA-en en dobbelt funksjon: den dokumenterer at virksomheten har vurdert personvernkonsekvensene (og oppfyller dermed ansvarlighetsprinsippet i artikkel 5 nr. 2), og den tvinger virksomheten gjennom en systematisk analyse som ofte avdekker svakheter som kan korrigeres i planleggingsfasen.

Når er DPIA obligatorisk?

DPIA er påkrevd når en behandling sannsynligvis vil medføre «høy risiko for fysiske personers rettigheter og friheter», jf. artikkel 35 nr. 1. For kameraovervåking er tre situasjoner i artikkel 35 nr. 3 særlig relevante:

• Automatisert beslutning: systematisk og omfattende vurdering av personlige aspekter basert på automatisert behandling, herunder profilering, som har rettsvirkning (punkt a). Typisk relevant ved ansiktsgjenkjenning og atferdsanalyse
• Sensitive opplysninger i stor skala: behandling i stor skala av særlige kategorier av personopplysninger (punkt b). Relevant dersom kamera bevisst fanger opp helsedata, religiøse kjennetegn mv.
• Systematisk overvåking i stor skala av offentlig tilgjengelig område: (punkt c). Den hyppigst relevante bestemmelsen — gjelder for kjøpesentre, hoteller, parkeringsplasser, terminaler, eksterne kameraer rettet mot gater mv.

I tillegg har Artikkel 29-gruppens retningslinjer (WP 248) etablert ni kriterier som tilsynsmyndighetene bruker for å vurdere om en behandling utløser DPIA-plikt. Som tommelfingerregel: dersom to eller flere kriterier er oppfylt, er DPIA obligatorisk. For kameraovervåking er flere kriterier typisk aktuelle: systematisk overvåking, sårbare registrerte (ansatte, barn), storstilt behandling, og innovativ teknologibruk (AI, skylagring, fjerntilgang).

EDPB Retningslinjer 3/2019 punkt 10 fremhever at kameraovervåking i mange tilfeller vil utløse DPIA-plikt, og at den behandlingsansvarlige bør gå gjennom tilsynsmyndighetens publiserte lister nøye. Datatilsynet publiserte sin liste i mars 2019, og systematisk kameraovervåking på arbeidsplassen er inkludert.

Hva DPIA-en skal inneholde

Artikkel 35 nr. 7 fastsetter fire minimumskrav:

• En systematisk beskrivelse av behandlingsaktivitetene og formålene, herunder eventuelt berettiget interesse
• En vurdering av nødvendighet og proporsjonalitet
• En vurdering av risikoene for de registrertes rettigheter og friheter
• Tiltakene som er planlagt for å håndtere risikoene og påvise at forordningen overholdes

Datatilsynet anbefaler en firetrinns prosess: (1) beskrivelse av behandlingen, (2) vurdering av nødvendighet og proporsjonalitet, (3) risikovurdering, og (4) tiltak og ledelsens validering. Resultatet er et skriftlig dokument som bør arkiveres som del av virksomhetens internkontroll.

Praktiske tips for kameraovervåkings-DPIA

• Start enkelt: en DPIA for kameraovervåking behøver ikke være 50 sider. For et enkelt kameraanlegg med noen få kameraer holder det med 5–10 sider, så lenge strukturen er dekkende
• Bruk sjekklisten: Datatilsynet har publisert en nedlastbar sjekkliste. Vi har utarbeidet en egen sjekkliste tilpasset kameraovervåking, som kan lastes ned [her]
• Inkluder drøftingsprotokollen: DPIA-en bør dokumentere at drøfting med tillitsvalgte er gjennomført, og vedlegge protokollen
• Tenk situasjonskart: et enkelt plantegning eller kart som viser kameraenes plassering og dekningsområde er et svært nyttig vedlegg til DPIA-en
• Oppdater løpende: DPIA er ikke en engangsøvelse. Den skal oppdateres ved vesentlige endringer — nye kameraer, endret formål, ny teknologi, ny leverandør. Datatilsynet anbefaler at DPIA evalueres minst årlig, gjerne i sammenheng med evaluering etter aml. § 9-2 tredje ledd
• Involver personvernombudet: dersom virksomheten har utpekt personvernombud, skal vedkommende involveres i DPIA, jf. artikkel 35 nr. 2
• Vurder forhåndsdrøftelse: dersom DPIA viser at restrisikoen er høy selv etter tiltak, har virksomheten plikt til å kontakte Datatilsynet for forhåndsdrøftelse etter artikkel 36. Dette er sjelden aktuelt for vanlig kameraovervåking, men kan være det ved ansiktsgjenkjenning eller særlig inngripende løsninger

Sanksjoner ved manglende DPIA

Manglende DPIA der det er påkrevd er et selvstendig sanksjonsgrunnlag, jf. artikkel 83 nr. 4 bokstav a. Gebyret kan nå opp til 10 millioner euro eller 2 prosent av global årsomsetning. I nyere europeisk praksis — blant annet CNIL-saken mot den franske eiendomsmegleren i 2025 — ses manglende DPIA som en tydelig skjerpende faktor. Garante har i flere italienske saker uttrykkelig lagt vekt på at kameraovervåking ble gjennomført uten DPIA.

Det viktige poenget: selv om selve kameraovervåkingen kanskje ville ha vært lovlig dersom DPIA-en hadde vært gjennomført, utgjør fraværet av DPIA-en et selvstendig brudd. Virksomheten kan altså ikke forsvare seg med at «vi ville ha bestått testen hvis vi hadde gjort den».

Trenger du bistand med kameraovervåking?

Nordia Law bistår virksomheter med å vurdere lovligheten av kameraovervåking, gjennomføre DPIA, drøftingsprosess, skilting og dokumentasjon. Vi gir gjerne en innledende vurdering uten forpliktelser.

Kontakt advokat Kjell Steffner: kjs@nordialaw.com / +47 905 11 901

Les mer om Personvern og Kameraovervåking i virksomhet