Kameraovervåking på arbeidsplassen: hva er egentlig tillatt?

Flere og flere norske virksomheter setter opp overvåkingskamera — ofte uten å vite hva regelverket faktisk krever. Brudd kan koste dyrt: Datatilsynet har gitt gebyrer fra 35 000 til 10 millioner kroner de siste årene. Her er en gjennomgang av hva arbeidsgivere må kunne dokumentere før kameraet skrus på.

Tre regelsett — ikke bare ett

Mange arbeidsgivere vet at kameraovervåking har noe med personvern å gjøre, men underestimerer omfanget av regelverket. Det er ikke tilstrekkelig å lese GDPRs artikkel 6 og konstatere at man har en berettiget interesse. Virkeligheten er at kameraovervåking på arbeidsplassen reguleres av tre regelsett som gjelder parallelt og som alle må oppfylles:

• Personvernforordningen (GDPR) — krav til behandlingsgrunnlag, informasjonsplikt, sikkerhet, lagringsbegrensning og DPIA
• Arbeidsmiljøloven kapittel 9 — krav til saklig grunn, forholdsmessighet, drøfting med tillitsvalgte, informasjon til ansatte og jevnlig evaluering
• Kameraforskriften (forskrift 2018 nr. 1107) — tilleggsvilkår for overvåking av områder med begrenset krets, regler om sletting og utlevering

Denne oppdelingen er viktig å forstå fordi den forklarer hvorfor mange virksomheter feiler: de konsentrerer seg om ett av regelsettene og overser de to andre. Datatilsynet og Personvernnemnda vurderer alltid samspillet mellom dem — og manglende overholdelse av arbeidsmiljøloven påvirker direkte vurderingen av om GDPR-grunnlaget holder.

Tre-trinns-testen: berettiget interesse

Det mest aktuelle behandlingsgrunnlaget for kameraovervåking i privat sektor er GDPR artikkel 6 nr. 1 bokstav f — berettiget interesse.

Behandlingen er bare lovlig dersom og i den grad (…)
behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.

Bestemmelsen krever en test i tre kumulative trinn:

Trinn 1: Har virksomheten en berettiget interesse?

Interessen må være konkret, lovlig og dokumentert. Vern av eiendom mot tyveri og hærverk, forebygging av ran og vern av ansattes sikkerhet er typiske berettigede interesser. Men det er ikke nok å si «sikkerhet» — virksomheten må kunne peke på hva kameraet faktisk skal beskytte, og helst dokumentere at problemet er reelt. Datatilsynet har i flere saker vist til at en generell frykt for at noe kan skje ikke er tilstrekkelig. Det kreves et konkret og aktuelt behov — typisk dokumentert gjennom tidligere hendelser, politianmeldelser, forsikringssaker, svinnstatistikk eller bransjeerfaring.

Trinn 2: Er kameraovervåking nødvendig?

Her stiller GDPR og EDPB Retningslinjer 3/2019 et strengt nødvendighetskrav. Virksomheten må vurdere — og dokumentere — om det finnes mindre inngripende tiltak som ville gitt tilsvarende effekt: bedre belysning, sikrere låser, fysiske barrierer, vakthold, alarm uten kamera, elektronisk adgangskontroll. Dersom slike alternativer er tilstrekkelige, er kameraovervåking ikke nødvendig og dermed ikke tillatt. I noen tilfeller kan tilsynsmyndigheter kreve at alternative tiltak faktisk er forsøkt først.

Trinn 3: Veier virksomhetens interesse tyngre?

Interesseavveiingen er den skjønnsmessige kjernen. Virksomhetens interesse veies mot de registrertes rettigheter og friheter. Sentrale momenter er kameraets vinkel og oppløsning, om det tas opp lyd, om det brukes fjerntilgang via mobilapp, om opptak lagres, hvor lenge, hvem som har tilgang, og hvilke risikoreduserende tiltak som er iverksatt. Ansattes forventning om å ikke bli kontinuerlig overvåket på jobben veier tungt — EDPB fremhever at maktforskjellen mellom arbeidsgiver og arbeidstaker gjør at tersklene skjerpes.

Et vanlig misforhold: virksomheten har et legitimt sikkerhetsbehov i inngangen, men kameraet filmer også kassaområdet, lageret, korridoren og pauserommet. Hvert område krever sin egen vurdering — og det som er lovlig i inngangen er kanskje ikke lovlig i korridoren.

Arbeidsmiljøloven: saklig grunn og forholdsmessighet

Arbeidsmiljøloven § 9-1 setter to tilleggsvilkår: tiltaket må ha saklig grunn i virksomhetens forhold, og det må ikke innebære en uforholdsmessig belastning for arbeidstakeren. Vurderingen ligner GDPR-testen, men har selvstendig betydning. Det er virksomhetens samlede kontrolltiltak som vurderes — kameraovervåking, GPS, adgangskontroll, tidsregistrering, logging — og totalbelastningen må ikke overskride en forsvarlig tålegrense.

Før tiltaket iverksettes skal arbeidsgiver dessuten drøfte behovet, utformingen, gjennomføringen og eventuelle vesentlige endringer med de tillitsvalgte, jf. § 9-2. Drøftingen skal skje så tidlig som mulig, og de tillitsvalgte skal ha reell mulighet til å påvirke. De berørte arbeidstakerne skal informeres om formål, praktiske konsekvenser og antatt varighet. Manglende drøfting er noe av det Datatilsynet og Personvernnemnda hyppigst reagerer på — og det påvirker direkte om behandlingsgrunnlaget etter GDPR holder.

Kameraforskriftens skjerpede vilkår

Kameraforskriften § 3 inneholder et tilleggsvilkår for kameraovervåking av områder hvor en begrenset krets av personer ferdes jevnlig — typisk lager, kontor, verksted, område bak kasse, personalrom. Slik overvåking er bare tillatt dersom det er behov for å forebygge farlige situasjoner og ivareta sikkerhet, eller det for øvrig er et særskilt behov. Terskelen er høyere enn for publikumsområder.

Visse områder er i praksis helt utelukket: garderober, toaletter, dusjer og pauserom. EDPB presiserer at overvåking av toaletter ikke er forholdsmessig selv som ulykkes­forebygging. Restauranters og kaféers spiseområder er et grensetilfelle der EDPB og Personvernnemnda (PVN-2021-13) har lagt til grunn at gjester har en berettiget forventning om ikke å bli filmet.

Hva må dokumenteres?

Det grunnleggende mønsteret i tilsynspraksisen er at de virksomhetene som feiler nesten alltid mangler dokumentasjon — ikke nødvendigvis legitimt behov. Dokumentasjonen som bør være på plass før kameraet skrus på:

• Skriftlig formål for hvert kamera eller sone
• Interesseavveiing etter tre-trinns-testen (gjerne som sjekkliste)
• Drøftingsprotokoll fra møte med tillitsvalgte (les artikkelen Drøfting med tillitsvalgte før kameraovervåking — slik gjør du det riktig.)
• Skriftlig informasjon til ansatte
• Skilting etter EDPB-standard (lagdelt: skilt + utdypende informasjon, les arttikkelen Skilt ved kameraovervåking: dette må stå på dem etter GDPR)
• DPIA der dette er påkrevd (les artikkelen DPIA ved kameraovervåking: når er det påkrevd, og hvordan gjøres den?)
• Dokumenterte lagrings- og sletterutiner (les artikkelen Lagring av kameraopptak: hvor lenge har du egentlig lov?)
• Tilgangskontroll og logging for hvem som ser opptakene
• Databehandleravtale med alarmselskap, IT-leverandør eller annen tjenesteleverandør
• Plan for jevnlig evaluering (typisk årlig)

Typiske feil som utløser gebyr

Gjennomgangen av norsk og europeisk tilsynspraksis viser et stabilt mønster av tilbakevendende feil. De vanligste er:

• For vagt formål: «Sikkerhet» er ikke konkret nok. Hvert kamera må ha et dokumentert, spesifikt formål
• Manglende interesseavveiing: virksomheten har ikke dokumentert at den har veid sin interesse opp mot de registrertes rettigheter
• Ingen drøfting med tillitsvalgte: den hyppigste prosedyrefeilen i norske saker
• Mangelfull eller manglende skilting: bare et lite kameraskilt uten de opplysninger EDPB krever
• For vid kameravinkel: kameraet filmer mer enn nødvendig — naboeiendom, offentlig vei, spiseområder, garderober
• For lang lagringstid: opptak som lagres i 30 dager «for sikkerhets skyld» uten at vilkårene for unntaket er oppfylt
• Lyd og fjerntilgang: lydopptak er normalt forbudt; fjerntilgang via app er en betydelig skjerpende faktor
• Ulovlig utlevering: deling av opptak med tredjeparter uten rettslig grunnlag
• Manglende DPIA: der dette er påkrevd er fravær av DPIA selvstendig sanksjonsgrunnlag
• Bruk til kontroll av arbeidsinnsats: opptak samlet inn for sikkerhetsformål brukt til å kontrollere ansattes effektivitet

Gebyrnivåer: hva risikerer virksomheten?

Norske gebyrer i kameraovervåkingssaker de siste årene har typisk ligget i spennet 35 000 til 400 000 kroner for mindre og mellomstore virksomheter, og opp til 10 millioner kroner i den mest profilerte saken (SATS, 2023). I europeisk kontekst er nivåene høyere: franske CNIL ila Amazon France Logistique 32 millioner euro i 2023 for overdrevent inngripende ansattovervåking i varehus, og italienske Garante har ilagt H&M 50 000 euro for kameraovervåking i butikker uten rettslig grunnlag.

Retningen er tydelig: gebyrnivåene stiger, tilsynsmyndighetene styrker kapasiteten, og kameraovervåking er et prioritert tilsynstema. Datatilsynet gjennomførte i 2024 en målrettet kampanje med veiledningsbrev til virksomheter, og Personvernnemnda behandler jevnlig kameraovervåkingssaker.

Oppsummering: steg for steg

En virksomhet som ønsker å kameraovervåke lovlig bør gjennomføre følgende steg — i denne rekkefølgen:

• Definer formålet konkret og dokumenter behovet
• Vurder og dokumenter alternative tiltak
• Gjennomfør tre-trinns-test (berettiget interesse)
• Gjennomfør DPIA der det er påkrevd
• Drøft med tillitsvalgte og dokumenter i protokoll
• Informer ansatte skriftlig
• Sett opp lagdelt skilting
• Konfigurer automatisk sletting
• Etabler tilgangskontroll, logging og rutiner for utlevering
• Evaluer jevnlig — minst en gang i året

Trenger du bistand med kameraovervåking?

Nordia Law bistår virksomheter med å vurdere lovligheten av kameraovervåking, gjennomføre personvernkonsekvensvurdering (DPIA), drøftingsprosess, skilting og dokumentasjon.

Kontakt advokat Kjell Steffner: kjs@nordialaw.com / +47 905 11 901

Les mer om Personvern og Kameraovervåking i virksomhet