Kameraövervakning och GDPR skapar en juridisk balansgång som många företagsledare underskattar. Det räcker inte att sätta upp kameror med hänvisning till säkerhet. Varje kamera på en arbetsplats, ett lager, en butik eller i ett kontorsutrymme är en behandling av personuppgifter, och den behandlingen kräver en tydlig rättslig grund, korrekt information till de som filmas, och dokumenterade rutiner. Missuppfattningarna är många, och konsekvenserna av att göra fel sträcker sig från tillsynsbeslut till betydande böter. Den här guiden ger dig det du faktiskt behöver veta.
Innehållsförteckning
- Viktiga slutsatser
- När GDPR gäller vid kameraövervakning
- Informationskrav och skyltning
- Hantering av inspelat material och rättigheter
- Trygghetsövervakning kontra prestationsövervakning
- Vanliga fallgropar och misstag
- Min reflektion: var många företag faktiskt går fel
- Hur Trustview stödjer din efterlevnad
- FAQ
Viktiga slutsatser
| Punkt | Detaljer |
|---|---|
| GDPR gäller fullt ut | Verksamheters kameraövervakning faller under GDPR och kamerabevakningslagen, inte privatundantaget. |
| Intresseavvägning är huvudregeln | Berättigat intresse är vanligast som rättslig grund, men kräver dokumenterad bedömning och proportionalitetsprövning. |
| Skyltning måste vara omedelbar | Artikel 13 GDPR kräver information vid insamlingstillfället, inte i efterhand via e-post eller brev. |
| Samtycke räcker sällan | Anställda i beroendeställning kan inte ge giltigt samtycke till kameraövervakning på arbetsplatsen. |
| Dokumentation är avgörande | Rutiner för lagringstider, åtkomst och rättighetsförfrågningar måste vara skriftliga och tillgängliga vid tillsyn. |
När GDPR gäller vid kameraövervakning
IMY klargör att för verksamheter gäller GDPR och kamerabevakningslagen fullt ut. Det så kallade privatundantaget, som undantar rent privat behandling av personuppgifter, är inte tillämpligt när ett företag bevakar sina lokaler, sin personal eller sina kunder. Det spelar ingen roll om det är ett litet familjeföretag eller en stor koncern.
Det finns dock viktiga nyanser beroende på vad som filmas och var.
- Slutna utrymmen inom verksamheten, som personalrum, omklädningsrum eller toaletter, är förbjudna att övervaka oavsett syfte.
- Allmänna ytor i lokalen, som butiksgolv, lager och entréer, kan bevakas med rätt rättslig grund och korrekt information.
- Offentliga platser utanför lokalen, som trottoarer eller parkeringsplatser, kräver ytterligare bedömning och i vissa fall tillstånd.
- Ljud får normalt inte spelas in tillsammans med video utan att det finns synnerliga skäl och tydlig information om detta.
Den vanligaste rättsliga grunden för GDPR och videoövervakning i företagsmiljöer är intresseavvägning enligt artikel 6.1 f. Det innebär att verksamhetens intresse av att bedriva kameraövervakning måste väga tyngre än den registrerades intresse av skydd för sin integritet. Denna avvägning ska vara dokumenterad, och det räcker inte att hänvisa till “säkerhetsskäl” utan att specificera vilket hot man skyddar sig mot och varför kamera är nödvändigt för det syftet.
Nationella regler i Sverige kompletterar GDPR med krav på anmälan och placering av kameror, vilket innebär att din verksamhet måste hålla reda på två parallella regelverk. Kamerabevakningslagen ställer bland annat krav på att tillstånd kan krävas för bevakning av platser dit allmänheten har tillträde.
Informationskrav och skyltning
EU-domstolens förhandsavgörande i mål C-422/24 från december 2025 är tydligt: artikel 13 GDPR gäller vid direkt kamerainsamling, och informationsskyldigheten är omedelbar. Det är alltså inte möjligt att luta sig mot artikel 14, som tillåter att information ges i efterhand, när det rör sig om kamera som filmar personer i realtid.
Det praktiska kravet är att den som träder in i ett bevakat område redan ska ha fått tillräcklig information. För att uppfylla detta utan att täcka väggar med juridisk text rekommenderas en skiktad informationsmodell i fyra steg:
- Synlig skylt vid entrén med kamerasymbol, verksamhetens namn som personuppgiftsansvarig, och syftet med bevakningen i korthet.
- QR-kod eller webbadress på skylten som leder till fullständig information om behandlingen.
- Fullständig integritetsinformation online med alla uppgifter som artikel 13 kräver, bland annat lagringstid, rättslig grund, och kontaktuppgifter till dataskyddsombud.
- Intern dokumentation som visar att informationsmodellen är genomtänkt, uppdaterad och testad.
Transparens i två steg är ett effektivt sätt att uppfylla GDPR: enkel skyltning på plats och detaljerad information tillgänglig digitalt. Det är ett format som IMY och Fondia båda förespråkar för att göra efterlevnad praktiskt hanterbar utan att tumma på informationskvaliteten.
Vanliga misstag vid informationsgivning inkluderar skyltar som saknar uppgift om vem som är personuppgiftsansvarig, skyltar som enbart säger “övervakad plats” utan vidare information, och integritetssidor online som är inaktuella eller inte täcker kamerabevakning specifikt.
Proffstips: Gör en fysisk genomgång av alla kameraplaceringar och kontrollera att varje kamera täcks av en synlig skylt som en person rimligen kan läsa innan de träder in i det bevakade området. Dokumentera genomgången med datum och ansvarig person.
You are currently viewing a placeholder content from Default. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.
Hantering av inspelat material och rättigheter
Den som filmas är en registrerad person med rättigheter enligt GDPR. Det är ett faktum som många verksamheter inte har byggt rutiner kring, och det är just där tillsynsmyndigheter ofta hittar brister.
Rätten till tillgång till inspelat material innebär att en person som vet att de finns på inspelat material har rätt att begära ut det. Verksamheten måste då:
- Identifiera den aktuella sekvensen i inspelningssystemet.
- Anonymisera eller på annat sätt skydda andra personers identiteter som förekommer i samma sekvens.
- Lämna ut materialet inom den tidsgräns GDPR föreskriver, normalt en månad.
- Dokumentera förfrågan och åtgärden.
Utöver tillgång har registrerade även rätt att invända mot kameraövervakning. En invändning kan leda till att verksamheten måste maskera eller stänga av specifika kameror om det inte finns tvingande berättigade skäl som väger tyngre. Det är sällan en situation verksamheter förbereder sig för, men den kan uppstå, och då behöver du ha en intern process att följa.
Lagringstider är ett område där fel är vanliga. Det saknas en generell regel i GDPR om hur länge kamerainspelningar får lagras, men principen om uppgiftsminimering kräver att material inte lagras längre än vad som behövs för det angivna syftet. För de flesta verksamheter innebär det 30 dagar eller kortare. Att spara material i 90 eller 180 dagar utan ett konkret och dokumenterat skäl är en tydlig överträdelse.
En praktisk guide om registerförteckning enligt GDPR kan hjälpa dig att dokumentera kamerabevakning som en behandlingsaktivitet med rätt uppgifter om syfte, rättslig grund, lagringstid, och mottagare av uppgifterna.
Proffstips: Definiera en standardiserad lagringstid för er kameraövervakning, dokumentera det beslutet och bygg in automatisk radering i det tekniska systemet. Det minskar risken för att material sparas längre än nödvändigt av ren slentrian.
Trygghetsövervakning kontra prestationsövervakning
Det är i gränslandet mellan säkerhet och kontroll som de svåraste juridiska frågorna uppstår. Tabellen nedan illustrerar de mest centrala skillnaderna:
| Aspekt | Trygghetsbaserad övervakning | Prestationsbaserad övervakning |
|---|---|---|
| Syfte | Förebygga stöld, skador, inbrott | Mäta produktivitet, närvaro, arbetsutförande |
| Rättslig grund | Intresseavvägning möjlig | Sällan giltig rättslig grund |
| IMY:s inställning | Tillåten med rätt dokumentation | Normalt inte tillåten |
| Samtycke från anställd | Inte tillräckligt ensamt | Inte tillräckligt i beroendeförhållande |
| Exempel | Kamera vid kassaregister i butik | Kamera riktad mot arbetsstation för att mäta arbetstakt |
IMY framhåller att allmän säkerhetslogik inte räcker för att kontrollera anställda via kamera. Det krävs ett specifikt och dokumenterat syfte som är proportionerligt i förhållande till integritetsintresset.
Samtycke är ett område där många arbetsgivare gör fel. Samtycke från anställda gör inte kamerabevakning tillåten i ett beroendeförhållande. Anledningen är att ett samtycke från en anställd till sin arbetsgivare sällan kan anses vara frivilligt i lagens mening, eftersom anställda riskerar negativa konsekvenser om de nekar.
Det innebär att arbetsgivare måste ha tvingande skäl som är oberoende av de anställdas samtycke. En kamera som sitter ovanför ett kassaregister för att förebygga stöld är fundamentalt annorlunda än en kamera som är riktad mot en produktionslinje för att mäta hur snabbt varje anställd arbetar. Det förstnämnda kan ha stöd i intresseavvägning. Det sistnämnda saknar normalt giltig rättslig grund och kan leda till tillsynsåtgärder.
I arbetslivskontext måste arbetsgivare aktivt skilja mellan säkerhetsbaserad övervakning och otillåten prestationskontroll. Det räcker inte att syftet är oklart eller dubbeltydigt. En kamera som “råkar” kunna användas för prestandamätning, även om det inte var det primära syftet, skapar juridisk exponering.
Vanliga fallgropar och misstag
Vanliga misstag vid kameraövervakning ökar risken för GDPR-överträdelser och böter påtagligt. Nedan följer de brister som IMY och tillsynsmyndigheter återkommande pekar på:
- För långa lagringstider. Material sparas i 60 eller 90 dagar utan att det finns ett dokumenterat skäl. Grundregeln är kortast möjliga tid som är nödvändig för syftet.
- Ljudinspelning utan grund. Att kameror spelar in ljud utan att detta framgår av skyltning eller integritetsinformation är en allvarlig överträdelse som ofta inte upptäcks förrän vid incident.
- Bristande eller otydlig skyltning. Skyltar som sitter gömda, är för små, saknar nödvändig information, eller saknas helt vid delar av lokalen.
- Inga rutiner för rättighetsförfrågningar. Om en anställd eller kund begär tillgång till material och verksamheten inte vet hur den ska hantera det, är det en brist som syns omedelbart vid tillsyn.
- Okänt syfte. Kameror som sattes upp för länge sedan och ingen längre vet varför de är där. Utan dokumenterat och aktuellt syfte saknas rättslig grund.
- Ingen konsekvensanalys. Kameraövervakning av känsliga miljöer, stora grupper av anställda, eller platser med hög integritetsrisk kräver en konsekvensbedömning enligt GDPR innan behandlingen påbörjas.
Det gemensamma temat för dessa misstag är avsaknad av dokumentation och struktur. Krav för kameraövervakning i Sverige är inte orimliga att uppfylla, men de kräver att du faktiskt har en kameraövervakning policy som är nedskriven, kommunicerad och löpande uppdaterad.
Min reflektion: var många företag faktiskt går fel
Jag har sett mönstret upprepas i verksamhet efter verksamhet. Det börjar med en rimlig tanke: “Vi sätter upp kameror för säkerheten.” Ingen ifrågasätter det. Sedan rullas systemet igång utan att någon har dokumenterat syftet, valt rättslig grund, eller ens vet om skyltningen täcker hela det bevakade området.
Det som förvånar mig mest är hur ofta samtycket används som en slags universallösning. Arbetsgivare tror att om anställda har skrivit under något i anställningskontraktet, är problemet löst. Det är det inte. Samtycke och arbetsplatsövervakning fungerar inte på det sättet i ett beroendeförhållande, och det är en grundläggande missuppfattning som kostar dyrt när tillsynen väl knackar på.
Det jag har lärt mig är att de verksamheter som klarar sig bäst vid granskning inte nödvändigtvis har de mest avancerade systemen. De har tydliga rutiner, uppdaterad dokumentation, och en person som faktiskt äger frågan internt. Tekniken kan stödja det arbetet, men den ersätter inte det.
Transparent kommunikation till anställda om varför kameror finns, vad de filmar, och hur material hanteras är inte bara en juridisk skyldighet. Det är också det enklaste sättet att förebygga klagomål och bygga förtroende. Effekter av kameraövervakning på arbetsplatsen påverkar arbetsmiljö och kultur, inte bara juridiken.
— Jesper
Hur Trustview stödjer din efterlevnad
Att hålla ordning på kameraövervakning, rättsliga grunder, skyltning, lagringstider och rättighetsförfrågningar kräver struktur. Det är precis det Trustview är byggt för.
Med Trustview kan du dokumentera kameraövervakning som en behandlingsaktivitet i din registerförteckning, koppla den till rätt rättslig grund, och sätta upp en åtgärdsplan för compliance om brister identifieras. Plattformen stödjer även hantering av rättighetsförfrågningar med spårbarhet, och gör det enkelt att visa IMY att ni inte bara försöker följa GDPR utan faktiskt gör det.
Om du vill förstå om din verksamhet är helt compliant när det gäller kameraövervakning och dataskydd, är Trustview ett naturligt nästa steg. Plattformen samlar juridik, styrning och praktiska verktyg i en och samma miljö, och gör det möjligt att arbeta systematiskt i stället för reaktivt.
FAQ
Gäller GDPR när mitt företag använder kameraövervakning?
Ja. IMY fastslår att verksamheters kameraövervakning faller under GDPR och kamerabevakningslagen. Privatundantaget gäller inte för företag.
Kan anställdas samtycke ge rätt att filma dem?
Nej, inte som ensam rättslig grund. Samtycke i ett anställningsförhållande anses sällan frivilligt, och IMY kräver att arbetsgivare har tvingande och dokumenterade skäl bortom samtycket.
Hur länge får inspelat kameramaterial sparas?
Det finns ingen fast gräns i GDPR, men principen om uppgiftsminimering innebär att material ska raderas så snart syftet är uppfyllt. För de flesta verksamheter innebär det 30 dagar eller kortare.
Vad krävs för att skyltningen ska uppfylla GDPR?
Artikel 13 GDPR kräver att information ges vid insamlingstillfället. En synlig skylt vid entrén med kamerasymbol, syfte, personuppgiftsansvarig, och hänvisning till fullständig information online uppfyller grundkraven.
Vad är skillnaden mellan trygghetskamera och prestationsövervakning?
Trygghetskameraövervakning syftar till att förebygga stöld och skador och kan ha stöd i intresseavvägning. Prestationsövervakning av anställda för att mäta arbetsutförande saknar normalt giltig rättslig grund och är i de flesta fall inte tillåten enligt IMY:s riktlinjer.
