"Retningslinjer 3/2019 for behandling av personopplysninger ved bruk av videoenheter". Retningslinjene ble vedtatt i Det europeiske personvernrådet 29. januar 2020, og dette er en oversettelse av disse.

Den omfattende bruken av videoenheter påvirker folks atferd. Når slike verktøy gjennomgående tas i bruk på mange områder av enkeltmenneskers liv, legges det et ytterligere press på den enkelte om å forhindre at andre skal oppdage det som kan anses som avvikende oppførsel. Slik teknologi kan de facto begrense mulighetene for å bevege seg anonymt og bruke tjenester anonymt samt generelt begrense muligheten for å holde seg utenfor oppmerksomhet. Dette har store konsekvenser for personvernet.

Selv om vi for eksempel kan være komfortable med videoovervåking for visse sikkerhetsmessige formål, må det treffes tiltak for å unngå misbruk i form av helt andre og – for den registrerte – uventede formål (for eksempel markedsføring, overvåking av arbeidsinnsats og så videre). I tillegg brukes nå mange verktøy til å utnytte bildene som tas, og til å gjøre tradisjonelle kameraer om til smartkameraer. Mengden data som genereres av videoopptakene, kombinert med disse verktøyene og teknikkene, øker risikoen for sekundærbruk (knyttet til eller ikke knyttet til systemets opprinnelige formål) eller til og med risikoen for misbruk. De grunnleggende prinsippene i personvernforordningen (artikkel 5) må alltid vurderes nøye i forbindelse med videoovervåking.

Videoovervåkingssystemer endrer på mange vis måten aktører fra privat og offentlig sektor omgås på i private og offentlige rom, med økt sikkerhet, publikumsanalyse, personlig tilpasset reklame og lignende som formål. Videoovervåking har blitt svært effektivt som følge av den økende bruken av intelligent videoanalyse. Disse teknikkene kan være mer inngripende (for eksempel kompleks biometrisk teknologi) eller mindre inngripende (for eksempel enkle tellealgoritmer). Å holde seg anonym og beskytte privatlivet sitt har generelt blitt stadig vanskeligere. De personvernsrelaterte utfordringene vil avhenge av situasjonen, det samme vil den juridiske vurderingen av bruk av slik teknologi.

I tillegg til utfordringer knyttet til personvern er det også risiko knyttet til funksjonsfeil på slike enheter og avvikene det kan medføre. Forskere rapporterer at programvare som brukes til å identifisere, gjenkjenne eller analysere ansikter, fungerer i varierende grad avhengig av alder, kjønn og etnisitet.

Algoritmene baserer seg på ulike befolkningsgrupper, og skjevheter i ansiktsgjenkjenningsalgoritmen truer dermed med å forsterke fordommene i samfunnet. Derfor må behandlingsansvarlige også sørge for at behandlingen av biometriske opplysninger som stammer fra videoovervåking, regelmessig gjennomgår en vurdering av om behandlingen er relevant, og om sikkerhetstiltakene er tilstrekkelige.

Videoovervåking er i seg selv ikke nødvendig så lenge det finnes andre måter å oppnå det underliggende formålet på. Alternativt risikerer vi at de kulturelle normene endres slik at manglende privatliv blir noe vi godtar på generell basis.

Disse retningslinjene har som mål å gi råd om hvordan personvernforordningen skal anvendes ved behandling av personopplysninger når det brukes videoenheter. Eksemplene er ikke uttømmende, og den generelle tankegangen kan få anvendelse på alle potensielle bruksområder.

Personopplysninger

Systematisk automatisert overvåking av et bestemt sted ved hjelp av optiske eller audiovisuelle hjelpemidler, i hovedsak for å verne om eiendom eller liv og helse, har blitt et betydelig fenomen i dagens samfunn. Dette medfører innsamling og lagring av informasjon i form av bilde, lyd og/eller video om alle personer som entrer det overvåkede området, og som kan identifiseres basert på utseende eller andre spesifikke kjennetegn. Identiteten til disse personene vil kunne fastslås basert på denne informasjonen. Det muliggjør også videre behandling av personopplysninger om personenes tilstedeværelse og atferd på det aktuelle stedet.

Den potensielle risikoen for misbruk av disse opplysningene vokser i takt med størrelsen på det overvåkede området og antallet personer som oppholder seg der. Dette gjenspeiles i personvernforordningens artikkel 35 nr. 3 bokstav c, som krever at det foretas en vurdering av personvernkonsekvenser i forbindelse med systematisk overvåking i stor skala av et offentlig tilgjengelig område, samt i artikkel 37 nr. 1 bokstav b, som pålegger databehandlere å utpeke et personvernombud hvis behandlingsaktivitetenes art krever regelmessig og systematisk monitorering av registrerte.

Forordningen gjelder likevel ikke behandling av opplysninger som ikke kan knyttes til en person, for eksempel hvis en person verken direkte eller indirekte kan identifiseres.

Anvendelse av direktiv (EU) nr. 2016/680

Kompetente myndigheters særskilte behandling av personopplysninger for å forebygge, etterforske, oppdage eller rettsforfølge straffbare forhold eller gjennomføring av straffereaksjoner, herunder beskyttelse mot og forebygging av trusler mot den offentlige sikkerhet, faller inn under direktiv (EU) nr. 2016/680.

Unntak for rent personlige eller familiemessige aktiviteter

I henhold til artikkel 2 nr. 2 bokstav c ligger behandlinger av personopplysninger som foretas av en fysisk person – som ledd i rent personlige eller familiemessige aktiviteter, noe som også kan omfatte nettbaserte aktiviteter – utenfor personvernforordningens virkeområde (se også fortalepunkt 18).

Dette unntaket må tolkes smalt når det gjelder videoovervåking. Derfor, i henhold til EU-domstolen, må dette unntaket «fortolkes således, at den udelukkende vedrører de aktiviteter, der indgår i den enkelte borgers privatliv eller familieliv, hvilket åbenbart ikke er tilfældet med hensyn til behandling af personoplysninger, som består i, at de offentliggøres på internettet, hvorved disse oplysninger bliver tilgængelige for et ubestemt antal personer» (Domstolen i Den europeiske union, dom i sak C-101/01, Bodil Lindqvist-saken, 6. november 2003, avsnitt 47).

Videre, hvis et videoovervåkingssystem, i den grad det involverer kontinuerlig opptak og lagring av personopplysninger og omfatter «et offentligt område – om end kun delvist – og derfor optager uden for det private rum, som den, der gennem overvågningen foretager behandlingen af disse oplysninger, befinder sig i, kan den ikke anses for en rent "personlig eller familiemæssig" aktivitet som omhandlet i artikel 3, stk. 2, andet led, i direktiv 95/46» (Domstolen i Den europeiske union, dom i sak C-212/13, František Ryneš v Úřad pro ochranu osobních údajů, 11. desember 2014, avsnitt 33).

Når det gjelder videoenheter som brukes innenfor en privatpersons eiendom, kan disse falle inn under unntaket for rent personlige eller familiemessige aktiviteter. Det vil avhenge av en rekke faktorer, og disse må vurderes før det er mulig å konkludere med noe. I tillegg til de momentene som EU-domstolen viser til ovenfor, må de som benytter seg av videoovervåking hjemme, vurdere om de i noen grad har et personlig forhold til den registrerte, om overvåkingens omfang eller frekvens antyder en form for profesjonell aktivitet, og om overvåkingen potensielt kan ha negative konsekvenser for den registrerte. Selv om ett eller flere av disse momentene er til stede, betyr ikke det nødvendigvis at behandlingen ikke omfattes av unntaket for rent  personlige eller familiemessige aktiviteter. For å fastslå det, må det gjøres en totalvurdering.

Før bruk må formålene med behandlingen spesifiseres (artikkel 5 nr. 1 bokstav b). Videoovervåking kan tjene mange formål, for eksempel bidra til å verne om eiendom eller andre eiendeler, til å verne om folks liv og helse og til å samle inn bevis i forbindelse med sivile krav (reglene for innsamling av bevis i forbindelse med sivile krav varierer mellom medlemsstatene). Disse overvåkingsformålene må dokumenteres skriftlig (artikkel 5 nr. 2) og spesifiseres for hvert overvåkingskamera som brukes. Kameraer som brukes til samme formål av én enkelt behandlingsansvarlig, kan dokumenteres samlet.

I tillegg må de registrerte informeres om formålet eller formålene med behandlingen i samsvar med artikkel 13 (se kapittel 7 i disse retningslinjene, Krav til åpenhet og informasjon). Hvis formålet med videoovervåkingen bare er angitt som «sikkerhet» eller «for din egen sikkerhet», anses ikke dette som spesifikt nok (artikkel 5 nr. 1 bokstav b). Videre bryter det med prinsippet om at personopplysninger skal behandles på en lovlig, rettferdig og åpen måte med hensyn til den registrerte (se artikkel 5 nr. 1 bokstav a).

I utgangspunktet kan alle vilkårene under artikkel 6 nr. 1 fungere som rettslig grunnlag for behandling av opplysninger som stammer fra videoovervåking. For eksempel får artikkel 6 nr. 1 bokstav c anvendelse der nasjonal lovgivning krever bruk av videoovervåking (disse retningslinjene verken analyserer eller går i detalj om hvordan nasjonal lovgivning eventuelt varierer mellom medlemsstatene). Men i praksis vil de følgende vilkårene være mest aktuelle:

• artikkel 6 nr. 1 bokstav f (berettiget interesse)
• artikkel 6 nr. 1 bokstav e (nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet)

Bare i enkelte eksepsjonelle situasjoner vil artikkel 6 nr. 1 bokstav a (samtykke) potensielt kunne brukes som rettslig grunnlag av den behandlingsansvarlige.

Berettiget interesse

Den rettslige vurderingen av artikkel 6 nr. 1 bokstav f skal basere seg på de nedenstående kriteriene, i samsvar med fortalepunkt 47.

Tilstedeværelse av berettigede interesser

Videoovervåking er lovlig hvis det er nødvendig for formål knyttet til de berettigede interessene til den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran (artikkel 6 nr. 1 bokstav f). De berettigede interessene til den behandlingsansvarlige kan være rettslige (Domstolen i Den europeiske union, dom i sak C-13/16, Rīgas satiksme-saken, 4. mai 2017), økonomiske eller ikke-materielle (se WP 217, Artikkel 29-arbeidsgruppen).

Men den behandlingsansvarlige må ta hensyn til at hvis den registrerte protesterer mot overvåkingen (i samsvar med artikkel 21), kan ikke den behandlingsansvarlige gå videre med videoovervåkingen av den registrerte, med mindre det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.

I en reell og farlig situasjon kan formålet om å beskytte en eiendom mot innbrudd, tyveri eller hærverk utgjøre en berettiget interesse for videoovervåking.

De berettigede interessene må være reelle og representere en aktuell problemstilling, det vil si ikke være konstruerte eller spekulative (se WP 217, Artikkel 29-arbeidsgruppen, s. 24 et seq. Se også EU-domstolens sak nr. C-708/18 s. 44). Det må foreligge en reell faresituasjon – slik som forutgående skader eller alvorlige hendelser – før overvåkingen kan iverksettes.

I lys av prinsippet om ansvar vil den behandlingsansvarlige gjøre klokt i å dokumentere relevante hendelser (dato, omstendigheter, økonomisk tap) og tilhørende anmeldelser. Slike dokumenterte hendelser kan utgjøre sterke indisier på at det foreligger berettiget interesse. Tilstedeværelsen av berettiget interesse og nødvendigheten av overvåkingen bør vurderes på nytt med jevne mellomrom (for eksempel én gang i året, avhengig av omstendighetene).

Overhengende faresituasjoner kan utgjøre en berettiget interesse, for eksempel for banker eller butikker som selger dyre varer (for eksempel gullsmeder), eller for steder som har høy sannsynlighet for å bli utsatt for kriminalitet (for eksempel bensinstasjoner).

Personvernforordningen er også klar på at det rettslige grunnlaget berettiget interesse ikke får anvendelse på behandlinger som utføres av offentlige myndigheter som ledd i utførelsen av deres oppgaver (jf. artikkel 6 nr. 1 andre punktum).

Behandlingens nødvendighet

Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»), jf. artikkel 5 nr. 1 bokstav c. Før den behandlingsansvarlige installerer et videoovervåkingssystem, må vedkommende alltid vurdere nøye om dette tiltaket for det første er egnet til å oppfylle det ønskede formålet, og for det andre adekvat og nødvendig for formålet. Videoovervåking skal bare velges som tiltak hvis formålet med behandlingen ikke i rimelig grad kan oppfylles gjennom andre tiltak som er mindre inngripende med hensyn til den registrertes grunnleggende rettigheter og friheter.

Hvis den behandlingsansvarlige ønsker å forhindre kriminalitet mot egen eiendom, kan vedkommende i stedet for å installere et videoovervåkingssystem benytte alternative sikkerhetstiltak, for eksempel å gjerde inn eiendommen, sette inn regelmessig vakthold, bruke vakter, sørge for bedre belysning, installere sikkerhetslåser, innbruddssikre vinduer og dører eller påføre antigrafittibelegg eller -folie på vegger. Slike tiltak kan være like effektive mot innbrudd, tyveri og hærverk som det videoovervåkingssystemer er. Den behandlingsansvarlige må i hvert enkelt tilfelle vurdere om slike tiltak kan være en rimelig løsning.

Før den behandlingsansvarlige tar i bruk et videoovervåkingssystem, er vedkommende forpliktet til å vurdere hvor og når videoovervåking er strengt nødvendig. Normalt vil et overvåkingssystem som er i drift om natten, samt utenfor vanlige åpningstider, oppfylle den behandlingsansvarliges behov for å forhindre skade på eiendommen.

Generelt sett slutter nødvendigheten av å bruke videoovervåking for å beskytte den behandlingsansvarliges lokaler, ved eiendomsgrensene (dette kan også være underlagt nasjonal lovgivning i enkelte stater). Men det finnes likevel tilfeller hvor overvåking av selve eiendommen ikke er nok til å gi et effektivt vern. I visse enkeltsaker kan det være nødvendig å utvide videoovervåkingen til å dekke omgivelsene i umiddelbar nærhet til lokalene. I denne sammenhengen må den behandlingsansvarlige vurdere fysiske og tekniske tiltak, for eksempel å sladde eller pikselere områder som ikke er relevante.

Spørsmål om behandlingens nødvendighet oppstår også rundt måten bevisene lagres på. I noen tilfeller kan det være nødvendig å bruke løsninger der opptakene slettes automatisk etter en viss lagringsperiode og bare kan hentes frem i tilfelle det skjer noe («svart boks»).

I andre situasjoner kan det hende at det ikke er nødvendig å ta opp videomaterialet i det hele tatt, men at overvåking i sanntid er mer hensiktsmessig. Avgjørelsen om å bruke enten opptak eller overvåking i sanntid skal også ta utgangspunkt i formålet som ønskes oppnådd. Hvis formålet med videoovervåkingen er å innhente bevis, er sanntidsmetoder vanligvis ikke egnet. Noen ganger kan overvåking i sanntid til og med være mer inngripende enn lagring og automatisk sletting av opptak etter en begrenset tidsperiode (for eksempel kan det være mer inngripende hvis noen kontinuerlig ser på skjermen, enn hvis det ikke finnes noen skjerm og alt materialet lagres direkte i en svart boks). Prinsippet om dataminimering må tas hensyn til i denne konteksten (artikkel 5 nr. 1 bokstav c). Det må også vurderes om den behandlingsansvarlige vil kunne bruke sikkerhetspersonell som kan reagere og gripe inn umiddelbart, i stedet for videoovervåking.

Avveining av interesser

Hvis vi går ut fra at videoovervåking er nødvendig for å verne om en behandlingsansvarlig sine berettigede interesser, vil et videoovervåkingssystem kunne tas i bruk så lenge ikke den behandlingsansvarliges eller en tredjeparts berettigede interesser (for eksempel vern av eiendom eller liv og helse) tilsidesettes av interessene eller de grunnleggende rettighetene og frihetene til den registrerte. Den behandlingsansvarlige må vurdere

1. i hvilken grad overvåkingen vil påvirke interessene og de grunnleggende rettighetene og frihetene til enkeltpersoner, og
2. om dette vil føre til brudd på eller negative konsekvenser for den registrertes rettigheter.

Faktisk er det påbudt å avveie disse interessene. De grunnleggende rettighetene og frihetene på den ene siden og den behandlingsansvarliges berettigede interesser på den andre må evalueres og avveies grundig.

Vurdering av hvert enkelt tilfelle

Siden avveining av interesser er obligatorisk i henhold til forordningen, må hvert enkelt tilfelle vurderes hver for seg (se artikkel 6 nr. 1 bokstav f). Det er ikke tilstrekkelig å referere til tenkte situasjoner eller å sammenligne lignende saker med hverandre. Den behandlingsansvarlige må evaluere risikoen forbundet med inngrepet i den registrertes rettigheter, og det avgjørende kriteriet er her inngrepets intensitet med hensyn til personens rettigheter og friheter.

Intensitet kan blant annet defineres av typen informasjon som innhentes (innholdet i informasjonen), omfanget (informasjonstetthet, romlig og geografisk utstrekning), antallet registrerte det gjelder, enten som et bestemt antall eller som en andel av den relevante populasjonen, den aktuelle situasjonen, de faktiske interessene til den aktuelle gruppen registrerte, alternative tiltak og hvilken art og hvilket omfang vurderingen av opplysningene har.

Viktige avveiningsfaktorer kan være størrelsen på området som overvåkes, og antallet registrerte som overvåkes. Bruk av videoovervåking i et avsidesliggende område (for eksempel for å se på dyrelivet eller beskytte viktig infrastruktur slik som en privateid radioantenne) må vurderes annerledes enn videoovervåking i en gågate eller på et kjøpesenter.

De registrertes rimelige forventninger

I henhold til fortalepunkt 47 må det vurderes nøye om det foreligger berettiget interesse. Det må også vurderes om en registrert på tidspunktet for og i forbindelse med innsamling av personopplysninger med rimelighet kan forvente at disse behandles. Når det gjelder systematisk overvåking, kan forholdet mellom den registrerte og den behandlingsansvarlige variere betydelig, noe som kan påvirke de rimelige forventingene den registrerte har. Tolkingen av konseptet med rimelige forventinger skal ikke utelukkende basere seg på de subjektive forventningene som foreligger. Det avgjørende kriteriet skal heller være om en objektiv tredjepart rimeligvis kan forvente og godta overvåking i det aktuelle tilfellet.

En ansatt vil for eksempel i de fleste tilfeller ikke forvente å bli overvåket av arbeidsgiveren sin (se også: Artikkel 29-arbeidsgruppen, Opinion 2/2017 on data processing at work, WP 249, vedtatt 8. juni 2017). Overvåking er heller ikke noe man forventer i egen hage, i oppholdsrom eller i undersøkelses- og behandlingsrom. På samme måte er det ikke rimelig å forvente å bli overvåket på toaletter eller i badstuer, og overvåking på slike steder er en kraftig inngripen i den registrertes rettigheter. De registrertes rimelige forventinger er at det ikke er videoovervåking på slike steder. På den annen side vil bankkunder kunne forvente at de overvåkes inne i banken eller av minibanken.

Registrerte kan også forvente at det ikke skjer overvåking på offentlige områder, spesielt hvis områdene brukes til avslapping, fritidsaktiviteter, generelt opphold og/eller kommunikasjon, for eksempel sitteområder, restaurantbord, parker, kinoer og treningssentre. Her vil de registrertes interesser eller rettigheter og friheter ofte tilsidesette den behandlingsansvarliges berettigede interesser.

Skilt som informerer de registrerte om videoovervåkingen, har ingen relevans for vurderingen av hva de registrerte objektivt sett kan forvente. Det betyr for eksempel at en butikkeier ikke kan basere seg på at kundene objektivt sett har rimelige forventinger om å bli overvåket, bare fordi et skilt ved inngangsdøren informerer dem om overvåkingen.

Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt

Personopplysninger kan behandles gjennom videoovervåking i henhold til artikkel 6 nr. 1 bokstav e hvis det er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet. (Grunnlaget for behandlingen «skal fastsettes i unionsretten eller medlemsstatens nasjonale rett» og «skal være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt» (artikkel 6 nr. 3).)

Det kan hende at utøvelsen av offentlig myndighet ikke gir rett til slik behandling, men andre rettslige grunnlag, for eksempel vern av besøkendes eller ansattes «helse og sikkerhet», kan gi rett til behandling i begrenset omfang samtidig som kravene i personvernforordningen og de registrertes rettigheter overholdes.

For å tilpasse anvendelsen av reglene i personvernforordningen, kan medlemsstatene beholde eller innføre spesifikk nasjonal lovgivning for videoovervåking ved å fastsette mer presise krav til behandlingen, så lenge lovgivningen er i samsvar med prinsippene i personvernforordningen (for eksempel lagringsbegrensning, forholdsmessighet).

Samtykke

Et samtykke må være frivillig, spesifikt, informert og utvetydig, som beskrevet i retningslinjene for samtykke (artikkel 29-arbeidsgruppen (Art. 29 WP) Guidelines on consent under Regulation 2016/679 (WP 259 rev. 01) – bifalles av Personvernrådet). 

Når det gjelder systematisk overvåking, er det bare under eksepsjonelle omstendigheter at den registrertes samtykke kan fungere som rettslig grunnlag i samsvar med artikkel 7 (se fortalepunkt 43). Det ligger i overvåkingens natur at denne teknologien overvåker et ukjent antall mennesker på samme tid. Den behandlingsansvarlige vil vanskelig kunne bevise at den registrerte har gitt et forutgående samtykke til behandling av personopplysninger (artikkel 7 nr. 1). I et tilfelle der den registrerte trekker tilbake samtykket, vil det i tillegg være vanskelig for den behandlingsansvarlige å bevise at den registrertes personopplysninger ikke lenger behandles (artikkel 7 nr. 3).

Hvis den behandlingsansvarlige ønsker å bruke samtykke som grunnlag, er det den behandlingsansvarliges plikt å sørge for at hver av de registrerte som beveger seg inn på området som blir videoovervåket, har gitt samtykke til å bli overvåket. Dette samtykket må oppfylle vilkårene i artikkel 7. Det å bevege seg inn på et område som er markert som overvåket (for eksempel hvis folk oppfordres til å gå gjennom en bestemt inngang eller port for å komme inn i et overvåket område), utgjør ikke den typen erklæring eller tydelig bekreftelse som kreves for å gi samtykke, med mindre det oppfyller kriteriene i artikkel 4 og 7 som beskrevet i retningslinjene for samtykke (Artikkel 29-arbeidsgruppen (Art. 29 WP) Guidelines on consent under Regulation 2016/679 (WP 259) – bifalles av Personvernrådet – og må tas med i betraktningen).

Maktubalansen mellom arbeidsgivere og ansatte gjør at arbeidsgivere som oftest ikke bør bruke samtykke som rettslig grunnlag for behandling av personopplysninger, da samtykke i slike tilfeller vanskelig kan anses som frivillig. Retningslinjene for samtykke må tas i betraktning i denne sammenhengen.

I medlemsstatenes nasjonale rett eller tariffavtaler, herunder «arbeidsavtaler», kan det fastsettes særlige regler om behandling av arbeidstakernes personopplysninger i ansettelsesforhold (se artikkel 88).

I prinsippet gjelder de generelle reglene i personvernforordningen for utlevering av videoopptak til tredjeparter.

Generell utlevering av videoopptak til tredjeparter

Utlevering defineres i artikkel 4 nr. 2 som overføring (for eksempel individuell kommunikasjon), spredning (for eksempel publisering på nettet) eller alle andre former for tilgjengeliggjøring. Tredjeparter defineres i artikkel 4 nr. 10. Der utlevering skjer til tredjestater eller internasjonale organisasjoner, gjelder også særbestemmelsene i artikkel 44.

Enhver form for utlevering av personopplysninger er en separat type behandling av personopplysninger som den behandlingsansvarlige må finne rettslig grunnlag for i artikkel 6.

Overføring av videoopptaket til tredjeparter for et annet formål enn det som personopplysningene er blitt samlet inn for, er mulig i henhold til reglene i artikkel 6 nr. 4.

En tredjepart som mottar opptaket, vil måtte foreta sin egen juridiske vurdering, spesielt med tanke på å finne rettslig grunnlag for behandlingen i henhold til artikkel 6 (for eksempel å motta materialet).

Utlevering av videoopptak til politi og påtalemyndigheter

Utlevering av videoopptak til politi og påtalemyndigheter er også en uavhengig prosess som krever et separat grunnlag fra den behandlingsansvarliges side.

I henhold til artikkel 6 nr. 1 bokstav c er behandlingen lovlig hvis den er nødvendig for å oppfylle en rettslig forpliktelse som hviler på den behandlingsansvarlige. Selv om medlemsstatene ene og alene er ansvarlige for sine respektive politilover, finnes det mest sannsynlig generelle regler som regulerer overføringen av bevis til politi- og påtalemyndigheter, i alle medlemsstatene. Behandlingen forbundet med at den behandlingsansvarlige som overleverer personopplysningene, er regulert av personvernforordningen. Hvis nasjonal lovgivning krever at den behandlingsansvarlige samarbeider med myndighetene (for eksempel en i etterforskning), er det rettslige grunnlaget for overlevering av personopplysningene rettslig forpliktelse i henhold til artikkel 6 nr. 1 bokstav c.

Formålsbegrensningen i artikkel 6 nr. 4 er derfor ofte uproblematisk, da utleveringen gjerne bygger på medlemsstatenes nasjonale rett. I slike tilfeller er ikke en vurdering av særkravene for endring av formål (som angitt i bokstav a–e) nødvendig.

I slike tilfeller er ikke politi og påtalemyndighetenes behandling av personopplysningene underlagt personvernforordningen (se artikkel 2 nr. 2 bokstav d), men faller i stedet inn under direktiv (EU) nr. 2016/680.

Videoovervåkingssystemer samler vanligvis inn massive mengder personopplysninger, noe som kan avsløre opplysninger av svært personlig art og særlige kategorier av personopplysninger. Tilsynelatende uvesentlige personopplysninger som samles inn via video, kan brukes til å avdekke annen informasjon for å oppnå et annet formål (for eksempel å kartlegge en enkeltpersons vaner). Videoovervåking anses likevel ikke alltid som behandling av særlige kategorier av personopplysninger.

Men hvis videoopptakene behandles for å utlede særlige kategorier av personopplysninger, kommer artikkel 9 til anvendelse.

Generelt sett skal prinsippet om dataminimering alltid vurderes nøye når det er snakk om å installere et videoovervåkingssystem. Derfor må den behandlingsansvarlige, selv i saker der artikkel 9 nr. 1 ikke kommer til anvendelse, alltid forsøke å minimere risikoen forbundet med å gjøre opptak som avslører andre sensitive personopplysninger (utover artikkel 9), uavhengig av formålet med behandlingen.

Hvis et videoovervåkingssystem brukes til å behandle særlige kategorier av personopplysninger, må den behandlingsansvarlige både finne et unntak for behandling av slike opplysninger i henhold til artikkel 9 (det vil si et unntak fra den generelle regelen om at særlige kategorier av personopplysninger ikke skal behandles), og et rettslig grunnlag i henhold til artikkel 6.

For eksempel kan artikkel 9 nr. 2 bokstav c («[…] behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser […]») – i teorien og i unntakstilfeller – brukes, men den behandlingsansvarlige må da kunne begrunne at det er en absolutt nødvendighet for å kunne verne en persons vitale interesser, og bevise at den registrerte «[…] fysisk eller juridisk ikke er i stand til å gi samtykke». Den behandlingsansvarlige vil heller ikke kunne bruke systemet til et annet formål enn dette.

Her er det viktig å merke seg at alle unntakene som står oppført i artikkel 9 sannsynligvis ikke vil kunne brukes til å begrunne behandlinger av særlige kategorier av personopplysninger ved bruk av videoovervåking. Nærmere bestemt kan ikke behandlingsansvarlige som behandler slike opplysninger via videoovervåking, støtte seg på artikkel 9 nr. 2 bokstav e som gjelder behandling av personopplysninger som det er åpenbart at den registrerte har offentliggjort. Det å bevege seg innenfor et kameras rekkevidde betyr ikke at den registrerte har planer om å offentliggjøre særlige kategorier av personopplysninger om seg selv.

Behandling av særlige kategorier av personopplysninger krever i tillegg at  man til enhver tid er ekstra oppmerksom på å oppfylle visse plikter, for eksempel høy grad av sikkerhet og vurdering av personvernkonsekvenser (DPIA) der det er nødvendig.

Generelle hensyn ved behandling av biometriske opplysninger

Bruken av biometriske opplysninger, og spesielt ansiktsgjenkjenning, medfører forhøyet risiko for de registrertes rettigheter. Det er viktig at bruk av slik teknologi behørig respekterer prinsippene om lovlighet, nødvendighet, forholdsmessighet og dataminimering som angitt i personvernforordningen. Selv om det kan oppfattes som spesielt effektivt å bruke slik teknologi, må den behandlingsansvarlige først og fremst vurdere konsekvensene for grunnleggende rettigheter og friheter og vurdere mindre inngripende tiltak for å oppnå sine berettigede formål med behandlingen.

For å kvalifisere som biometriske opplysninger slik det er definert i personvernforordningen, må behandlingen av rådata (for eksempel en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper) innebære en måling av disse egenskapene. Siden biometriske opplysninger er et resultat av slike målinger, fastslås det i artikkel 4 nr. 14 at de «[…] stammer fra en særskilt teknisk behandling knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper, og som muliggjør eller bekrefter en entydig identifikasjon av nevnte fysiske person […]».

Videoopptak av en person kan likevel ikke i seg selv anses som biometriske opplysninger i henhold til artikkel 9, så lenge opptaket ikke har gjennomgått særskilt teknisk behandling for å bidra til å identifisere en person.(Personvernforordningens fortalepunkt 51 støtter denne analysen og fastslår at «[…] Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger, ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person […]»). 

For at det skal kunne anses som behandling av særlige kategorier av personopplysninger, må de biometriske opplysningene behandles «med det formål å entydig identifisere en fysisk person».

For å oppsummere, i lys av artikkel 4 nr. 14 og artikkel 9, er det tre kriterier som må vurderes:

• Opplysningenes art: Opplysninger som er knyttet til en fysisk persons fysiske, fysiologiske eller atferdsmessige egenskaper.
• Hvordan og med hvilke midler behandlingen gjennomføres: Opplysninger «som stammer fra en særskilt teknisk behandling».
• Formålet med behandlingen: Opplysningene må behandles «med det formål å entydig identifisere en fysisk person».

Bruk av videoovervåking med biometrisk gjenkjenningsteknologi i regi av private virksomheter for egne formål (for eksempel markedsføring, statistikk eller sikkerhet) vil, i de fleste tilfeller, kreve uttrykkelig samtykke fra alle registrerte (artikkel 9 nr. 2 bokstav a), men et annet egnet unntak i artikkel 9 kan eventuelt også komme til anvendelse.

I denne typen saker hvor det genereres biometriske maler, må den behandlingsansvarlige sørge for at så snart det er avgjort om ansiktet gir et treff eller ikke, må alle midlertidige maler som lages der og da (med uttrykkelig og informert samtykke fra den registrerte) for å sammenlignes med de malene som ble opprettet da enkeltpersonene registrerte seg, umiddelbart bli slettet på en sikker måte. Malene som opprettes under registreringen, skal bare beholdes for å kunne oppfylle formålet med behandlingen, og skal ikke lagres eller arkiveres.

Dersom formålet med behandlingen derimot er å skjelne mellom to kategorier av mennesker, men uten å entydig identifisere enkeltpersoner, faller behandlingen utenfor artikkel 9.

Artikkel 9 får likevel anvendelse hvis den behandlingsansvarlige lagrer biometriske opplysninger (vanligvis gjennom maler som opprettes ved å hente ut hovedtrekk fra biometriske rådata, for eksempel ansiktsmålinger fra et bilde) for å entydig identifisere en person.

Hvis den behandlingsansvarlige ønsker å avdekke om en registrert kommer tilbake til området eller beveger seg inn på et annet område (for eksempel som ledd i kontinuerlig tilpasning av reklame), vil formålet være entydig identifisering av en fysisk person, noe som betyr at hele prosessen faller inn under artikkel 9. Dette kan være tilfellet hvis en behandlingsansvarlig lagrer genererte maler for å kunne vise skreddersydde annonser på flere skjermer rundt om i butikken. Siden systemet bruker fysiske egenskaper til å spore og kjenne igjen spesifikke personer når de kommer innenfor kameraets rekkevidde igjen (slik som besøkende på et kjøpesenter), er det å anse som biometrisk identifisering, da det er rettet mot gjenkjenning ved bruk av særskilt teknisk behandling.

Personvernrådet noterer seg at enkelte biometriske systemer installeres i ukontrollerte omgivelser (dette innebærer at det biometriske systemet befinner seg på et offentlig tilgjengelig område og kan fungere på alle som passerer det, i motsetning til biometriske systemer i kontrollerte omgivelser, som bare kan brukes av personer som har gitt samtykke til det), noe som betyr at systemet omfatter opptak av ansiktene til alle personer som passerer innenfor kameraets rekkevidde, inkludert personer som ikke har samtykket til det biometriske systemet og dermed heller ikke til opprettelse av biometriske maler.

Disse malene sammenlignes med de som opprettes av registrerte som har gitt forutgående samtykke i løpet av en registreringsprosess (det vil si en bruker av det biometriske systemet), slik at den behandlingsansvarlige kan se om personen bruker det biometriske systemet eller ikke. I slike tilfeller er systemet ofte utformet slik at det differensierer mellom de personene det ønsker å gjenkjenne fra en database, og de som ikke er registrert. Siden formålet er entydig identifisering av fysiske personer, er det fortsatt nødvendig med et unntak i henhold til artikkel 9 nr. 2 i personvernforordningen for alle som fanges opp av kameraet.

Når samtykke er påkrevd i henhold til artikkel 9, kan ikke den behandlingsansvarlige gjøre samtykket til biometrisk behandling til en betingelse for tilgang til tjenestene. Den behandlingsansvarlige må med andre ord, og spesielt når den biometriske behandlingen brukes med autentisering som formål, tilby en alternativ løsning som ikke involverer biometrisk behandling – uten begrensninger eller ekstrakostnader for den registrerte. Denne alternative løsningen er også nødvendig for personer som ikke har mulighet til å bruke det biometriske systemet (umulig å registrere eller lese av de biometriske opplysningene, nedsatt funksjonsevne vanskeliggjør bruken, og så videre), og i tilfelle det biometriske systemet skulle være utilgjengelig (for eksempel som følge av en funksjonsfeil på systemet), må det foreligge en «reserveløsning» som kan holde den aktuelle tjenesten tilgjengelig uten avbrudd, men som bare skal brukes unntaksvis. I unntakstilfeller kan det oppstå situasjoner der behandlingen av biometriske opplysninger er kjerneaktiviteten til en tjeneste som tilbys på bakgrunn av en avtale.

Anbefalte tiltak for å minimere risiko ved behandling av biometriske opplysninger

I samsvar med prinsippet om dataminimering må den behandlingsansvarlige sørge for at opplysningene som hentes ut fra et digitalt bilde med tanke på å bygge en mal, ikke er for omfattende og bare inneholder informasjon som er nødvendig for det angitte formålet, slik at eventuell annen behandling unngås. Det skal treffes tiltak for å garantere at malene ikke kan overføres mellom biometriske systemer.

Identifisering og autentifisering/verifisering vil mest sannsynlig kreve at malen lagres for bruk i senere sammenligninger. Den behandlingsansvarlige må vurdere hva som er det mest egnede stedet for lagring av opplysningene. I kontrollerte omgivelser (avgrensede ganger eller kontrollpunkter) skal maler lagres på en separat enhet som den registrerte har full kontroll over (på en smarttelefon eller et ID-kort), eller – når det er nødvendig for bestemte formål og i tilfelle det objektivt sett er behov for det – lagres i en sentralisert database i kryptert form, med nøkkel/passord som kun den registrerte har tilgang til, for å forhindre at uvedkommende får tilgang til malen eller lagringsstedet. Hvis den behandlingsansvarlige ikke kan forhindre at han selv har tilgang til malene, må han treffe egnede tiltak for å sikre informasjonssikkerheten til de lagrede opplysningene. Dette kan omfatte å kryptere malen ved hjelp av en kryptografisk algoritme.

I alle tilfeller må den behandlingsansvarlige ta alle nødvendige forholdsregler for å sikre de behandlede opplysningenes tilgjengelighet, integritet og konfidensialitet. For å oppnå dette må den behandlingsansvarlige treffe følgende tiltak:

• kategorisere opplysningene under overføring og lagring,
• lagre biometriske maler og rådata eller identitetsopplysninger i separate databaser,
• kryptere biometriske opplysninger, spesielt biometriske maler, og definere retningslinjer for kryptering og nøkkeladministrasjon,
• treffe et teknisk og organisatorisk tiltak for å avdekke svindel,
• knytte en integritetskode til opplysningene (for eksempel signatur eller avtrykk) og
• forhindre all ekstern tilgang til de biometriske opplysningene.

Slike tiltak må kunne tilpasses den teknologiske utviklingen.

I tillegg må behandlingsansvarlige iverksette sletting av rådata (ansiktsbilder, talesignaler, ganglag og så videre) og sørge for at slettingen fungerer som den skal. Foreligger det ikke lenger noe rettslig grunnlag for behandlingen, må rådataene slettes. Ettersom biometriske maler stammer fra slike opplysninger, kan det antas at databaser i seg selv kan representere en like stor, om ikke større, trussel (fordi det ikke alltid vil være lett å lese en biometrisk mal uten kunnskap om hvordan den ble programmert, mens rådata danner utgangspunkt for enhver mal). I tilfelle den behandlingsansvarlige har behov for å oppbevare slike opplysninger, må det vurderes bruk av «støy» (for eksempel i form av vannmerking) for å forhindre at det kan opprettes maler basert på opplysningene.

Den behandlingsansvarlige må også slette biometriske opplysninger og maler hvis uvedkommede skulle få tilgang til terminalen for sammenligning av maler eller serveren opplysningene er lagret på, samt slette eventuelle opplysninger som ikke lenger er nødvendige for videre behandling, ved slutten av den biometriske enhetens levetid.

Databehandlingens beskaffenhet ved bruk av videoovervåking gjør at noen av de registrertes rettigheter etter personvernforordningen krever nærmere klargjøring. Dette kapittelet er likevel ikke uttømmende, da alle rettighetene etter personvernforordningen også vil gjelde for behandling av personopplysninger ved bruk av videoovervåking.

Rett til innsyn

Den registrerte har rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles. For videoovervåking innebærer dette at hvis ingen opplysninger på noen måte lagres eller overføres etter at tidspunktet for sanntidsovervåkingen er omme, er det nok at den behandlingsansvarlige informerer om at ingen personopplysninger lenger behandles (bortsett fra de generelle informasjonspliktene i henhold til artikkel 13, se kapittel 7 i denne veilederen, "Krav til åpenhet og informasjon"). Men hvis opplysninger fortsatt behandles på tidspunktet for forespørselen (det vil si hvis opplysningene er lagret eller behandles kontinuerlig på en eller annen måte), skal den registrerte ha rett til innsyn og informasjon i henhold til artikkel 15.

Det finnes likevel en rekke begrensninger som i visse tilfeller kan få anvendelse på retten til innsyn:

Artikkel 15 nr. 4: Negativ innvirkning på andres rettigheter

Gitt at et ukjent antall registrerte kan bli fanget opp samtidig i forbindelse med videoovervåking, vil en gjennomgang av materialet medføre ytterligere behandling av personopplysningene til andre registrerte. Hvis den registrerte ønsker å motta en kopi av materialet (artikkel 15 nr. 3), kan dette gi negativ innvirkning på rettighetene og frihetene til andre registrerte i materialet.

For å forhindre den konsekvensen, må den behandlingsansvarlige derfor ta med i vurderingen at som følge av videoopptakenes sensitive beskaffenhet, bør den behandlingsansvarlige i noen tilfeller ikke levere fra seg videoopptak hvor andre registrerte kan identifiseres. Vernet av rettighetene til tredjeparter skal likevel ikke brukes som en unnskyldning for å forhindre berettigede anmodninger om innsyn, og den behandlingsansvarlige skal i slike tilfeller treffe tekniske tiltak for å etterkomme innsynsanmodningen (for eksempel bilderedigering i form av sladding eller forvrengning). De behandlingsansvarlige er likevel ikke pålagt å treffe slike tiltak hvis de på annen måte kan sikre at de reagerer på anmodningen i henhold til artikkel 15 innenfor tidsrammen som er angitt i artikkel 12 nr. 3.

Artikkel 11 nr. 2: Den behandlingsansvarlige er ikke i stand til å identifisere den registrerte

Hvis videoopptaket ikke er søkbart med hensyn til personopplysninger (for eksempel hvis den behandlingsansvarlige må gjennomgå en stor mengde lagret materiale for å finne den registrerte det gjelder), kan det hende at den behandlingsansvarlige ikke er i stand til å identifisere den registrerte.

På grunn av dette må den registrerte (i tillegg til å identifisere seg i form av ID-dokument eller ved personlig oppmøte) i sin anmodning til den behandlingsansvarlige spesifisere når – innenfor et rimelig tidsrom sett i forhold til antallet registrerte som fanges opp – han eller hun beveget seg inn på det overvåkede området. Den behandlingsansvarlige skal informere den registrerte på forhånd om hvilken informasjon den behandlingsansvarlige trenger for å etterkomme anmodningen. Dersom den behandlingsansvarlige kan påvise at man ikke er i stand til å identifisere den registrerte, skal den behandlingsansvarlige, dersom det er mulig, informere den registrerte om dette. I en slik situasjon skal den behandlingsansvarlige i sitt svar til den registrerte informere om det nøyaktige området overvåkingen gjelder, bekreftelse på kameraer som var i bruk og så videre, slik at den registrerte har full oversikt over hvilke personopplysninger som kan ha blitt behandlet.

Artikkel 12: Overdrevne anmodninger

Dersom anmodninger fra en registrert er åpenbart grunnløse eller overdrevne, kan den behandlingsansvarlige enten kreve et rimelig gebyr i henhold til artikkel 12 nr. 5 bokstav a eller nekte å etterkomme anmodningen (artikkel 12 nr. 5 bokstav b). Den behandlingsansvarlige skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.

Rett til sletting og rett til å protestere

Rett til sletting (rett til å bli glemt)

Hvis den behandlingsansvarlige fortsetter å behandle personopplysninger utover overvåking i sanntid (for eksempel lagring), kan den registrerte anmode om at personopplysningene slettes (i henhold til artikkel 17 i personvernforordningen).

Den behandlingsansvarlige har ved anmodning fra den registrerte plikt til å slette personopplysninger uten ugrunnet opphold dersom et av forholdene i artikkel 17 nr. 1 gjør seg gjeldende (og dersom ingen av unntakene som er angitt i artikkel 17 nr. 3, gjelder). Det omfatter plikten til å slette personopplysninger som ikke lenger er nødvendige for formålet de ble lagret for, eller hvis behandlingen er ulovlig (se også kapittel 8 i denne veiledningen, "Lagringsperioder og plikt til å slette"). I tillegg, avhengig av det rettslige grunnlaget for behandlingen, skal personopplysninger slettes:

• for samtykke når samtykket trekkes tilbake (og det ikke foreligger noe annet rettslig grunnlag for behandlingen)
• for berettiget interesse
  • når den registrerte utøver sin rett til å protestere (se del 2.2), og det ikke finnes mer tungtveiende berettigede grunner til behandlingen, eller
  • hvis det er snakk om direkte markedsføring (inkludert profilering), når den registrerte protesterer mot behandlingen.

Dersom den behandlingsansvarlige har offentliggjort personopplysningene (for eksempel via kringkasting eller strømming via nettet), skal vedkommende treffe rimelige tiltak for å underrette andre behandlingsansvarlige (som nå behandler de aktuelle personopplysningene) om anmodningen (i henhold til artikkel 17 nr. 2 i personvernforordningen). De rimelige tiltakene skal, idet det tas hensyn til tilgjengelig teknologi og gjennomføringskostnadene, omfatte tekniske tiltak. Så langt det er mulig, skal den behandlingsansvarlige underrette enhver mottaker som har fått utlevert personopplysninger, om enhver sletting av opplysningene i henhold til artikkel 19 i personvernforordningen.

I tillegg til den behandlingsansvarliges plikt til å slette personopplysninger på anmodning fra den registrerte, har den behandlingsansvarlige plikt til å begrense lagrede personopplysninger i henhold til de generelle prinsippene i personvernforordningen (se kapittel 8, "Lagringsperioder og plikt til å slette").

For videoovervåking er det verdt å merke seg at hvis man for eksempel gjør et bilde uklart, uten at det i etterkant er mulig å hente frem igjen de personopplysningene som bildet tidligere inneholdt, anses personopplysningene som slettet i henhold til personvernforordningen.

Rett til å protestere

For videoovervåking som baserer seg på berettiget interesse (artikkel 6 nr. 1 bokstav f), eller som er nødvendig for å utføre en oppgave i allmennhetens interesse (artikkel 6 nr. 1 bokstav e), har den registrerte – til enhver tid – av grunner knyttet til vedkommendes særlige situasjon, rett til å protestere mot behandling (artikkel 21 i personvernforordningen). Så fremt ikke den behandlingsansvarlige kan påvise at det foreligger tvingende berettigede grunner som går foran den registrertes rettigheter og interesser, må behandlingen av opplysningene til den som protesterer, dermed opphøre. Den behandlingsansvarlige har plikt til å svare på anmodninger fra registrerte uten ugrunnet opphold, og senest innen én måned.

Når det gjelder videoovervåking, vil den registrerte kunne protestere enten idet vedkommende kommer inn på det overvåkede området, mens vedkommende oppholder seg der, eller etter å ha forlatt området. I praksis betyr det at med mindre den behandlingsansvarlige har tvingende berettigede grunner, vil overvåking av et område hvor fysiske personer kan identifiseres, utelukkende være lov hvis:

• den behandlingsansvarlige umiddelbart kan hindre kameraet i å behandle personopplysninger ved anmodning om dette, eller
• hvis det overvåkede området er godt nok avgrenset til at den behandlingsansvarlige kan være sikker på å få godkjenning fra den registrerte før sistnevnte beveger seg inn på området, og det er et område som den registrerte som vanlig innbygger ikke har adgang til.

Disse retningslinjene tar ikke sikte på å identifisere hva som anses som tvingende berettigede grunner (artikkel 21 i personvernforordningen).

Når videoovervåking brukes i forbindelse med direkte markedsføring, har den registrerte rett til å protestere på behandlingen på skjønnsmessig grunnlag, siden retten til å protestere er absolutt i så henseende (artikkel 21 nr. 2 og 3 i personvernforordningen).

Det har lenge vært dypt rotfestet i europeisk personvernlovgivning at de registrerte skal være klar over at videoovervåking pågår. De har rett på detaljert informasjon om stedene som overvåkes (se WP 859, Opinion 4/2004 on the Processing of Personal Data by means of Video Surveillance fra Artikkel 29-arbeidsgruppen). 

I personvernforordningen finnes de generelle kravene til åpenhet og informasjon i artikkel 12 og utover. Artikkel 29-arbeidsgruppens "Guidelines on transparency under Regulation 2016/679" (WP 260), som ble bifalt av Personvernrådet 25. mai 2018, inneholder mer informasjon. I tråd med WP 260 nr. 26 er det artikkel 13 i personvernforordningen som får anvendelse hvis personopplysninger samles inn «[…] from a data subject by observation (e.g. using automated data capturing devices or data capturing software such as cameras […])».

Med tanke på den store mengden informasjon som må gis til den registrerte, kan en nivådelt tilnærming, hvor en bruker en kombinasjon av ulike metoder for å sikre åpenhet, være aktuell for den behandlingsansvarlige (WP 260 nr. 35, WP 89 nr. 22). Når det gjelder videoovervåking, skal den viktigste informasjonen vises på selve varselskiltet (første nivå), mens annen påkrevd informasjon kan legges frem på andre måter (andre nivå).

Informasjon på første nivå (varselskilt)

Det første nivået gjelder den primære måten den behandlingsansvarlige innledningsvis henvender seg til den registrerte på. På dette punktet kan den behandlingsansvarlige bruke et varselskilt som viser den mest relevante informasjonen. Den angitte informasjonen kan gis sammen med et ikon for å gi en lett synlig, forståelig og lettlest oversikt over den tiltenkte behandlingen (artikkel 12 nr. 7 i personvernforordningen). Formatet informasjonen presenteres i, skal tilpasses det aktuelle stedet (WP 89 nr. 22).

Plassering av varselskiltet

Informasjonen skal plasseres slik at den registrerte enkelt kan gjenkjenne omstendighetene for videoovervåkingen, før han eller hun beveger seg inn på det overvåkede området (dvs. omtrent i ansiktshøyde). Det er ikke nødvendig å opplyse om plasseringen av kameraet så lenge det ikke er tvil om hvilke områder som blir overvåket, og så lenge bakgrunnen for overvåkingen er entydig forklart (WP 89 nr. 22). Den registrerte må kunne anslå hvilket område som dekkes av kameraet, slik at han eller hun kan unngå overvåkingen eller om nødvendig tilpasse sin egen atferd.

Innhold på første nivå

Informasjon på første nivå (varselskilt) skal generelt formidle den viktigste informasjonen, for eksempel detaljer om formålet med behandlingen, identiteten/kontaktinformasjonen til den behandlingsansvarlige og den registrertes rettigheter, sammen med informasjon om de største konsekvensene av behandlingen (se WP 260 avsnitt 38). Dette kan for eksempel omfatte den behandlingsansvarliges (eller en tredjeparts) berettigede interesser og kontaktinformasjonen til personvernombudet (hvis aktuelt). Det må også refereres til det mer detaljerte andre nivået med informasjon og hvordan man kan finne det.

I tillegg skal skiltet også inneholde eventuell informasjon som kan virke overraskende på den registrerte (WP 260 avsnitt 38.). Det kan for eksempel være informasjon om lagringsperioden eller om opplysninger overføres til tredjeparter, særlig hvis de befinner seg utenfor EU. Hvis denne informasjonen ikke er oppgitt, skal den registrerte kunne stole på at det utelukkende foregår direkteovervåking (uten noen form for opptak eller overføring til tredjeparter).

Informasjon på andre nivå

Det andre nivået med informasjon må også gjøres tilgjengelig på et sted som er lett tilgjengelig for den registrerte, for eksempel som et fullstendig informasjonsark som kan hentes på et sentralt sted (for eksempel informasjonsskranken, resepsjonen eller kassen), eller slått opp på en lett tilgjengelig plakat. Som nevnt ovenfor må varselskiltet på første nivå tydelig referere til det andre informasjonsnivået. I tillegg er det best hvis informasjonen på første nivå viser til en digital kilde (for eksempel en QR-kode eller en nettadresse) der man kan finne det andre nivået. Informasjonen skal likevel også være lett tilgjengelig i ikke-digital form. Det skal være mulig å få tilgang til informasjonen på andre nivå uten å bevege seg inn på det overvåkede området, spesielt hvis informasjonen gis digitalt (dette kan for eksempel oppnås ved å bruke en lenke). En annen egnet måte kan være et telefonnummer. Den fremlagte informasjonen må i alle tilfeller inneholde alt som er ufravikelig i henhold til artikkel 13 i personvernforordningen.

I tillegg, for å gjøre tiltakene mer effektive, oppfordrer Personvernrådet til bruk av teknologiske midler for å gi informasjon til de registrerte. Dette kan for eksempel inkludere geolokalisering av kameraer og å legge ut informasjon på apper eller nettsider med kartfunksjon, slik at folk på den ene siden enkelt kan identifisere og spesifisere videokildene som knytter seg til utøvelsen av rettighetene deres, og på den andre siden kan innhente mer detaljert informasjon om behandlingsaktiviteten.

Personopplysninger kan ikke lagres lenger enn det som er nødvendig for formålene de behandles for (artikkel 5 nr. 1 bokstav c og e i personvernforordningen). Enkelte medlemsstater kan ha mer spesifikke bestemmelser for lagringsperioder i forbindelse med videoovervåking (jf. artikkel 6 nr. 2).

Spørsmålet om hvorvidt det er nødvendig å lagre personopplysningene eller ikke, skal avgjøres innenfor et kort tidsrom. Generelt sett er berettigede grunner til videoovervåking ofte vern av eiendom eller sikring av bevis. Skader som har oppstått, kan normalt sett oppdages innen én eller to dager. For å få frem at videoovervåkingen er i samsvar med personvernregelverket, er det i den behandlingsansvarliges interesse å treffe organisatoriske tiltak på forhånd (for eksempel om nødvendig utnevne en representant som kan ta seg av gjennomgang og sikring av videomateriale).

Med hensyn til prinsippene i artikkel 5 nr. 1 bokstav c og e i personvernforordningen, nærmere bestemt dataminimering og lagringsbegrensning, skal personopplysninger i de fleste tilfeller (for eksempel med formål om å avdekke hærverk) slettes, ideelt sett automatisk, etter et par dager. Jo lenger lagringsperioden er (spesielt utover 72 timer), dess mer dokumentasjon av berettigelsen av formålet og nødvendigheten av lagringen må det legges frem.

Hvis den behandlingsansvarlige ikke utelukkende bruker videoovervåking for å overvåke eiendommen sin, men også har til hensikt å lagre opplysningene, må han kunne dokumentere at lagringen faktisk er nødvendig for å oppnå formålet. I så tilfelle må lagringsperioden være klart definert og angitt separat for hvert enkelt formål. Det er den behandlingsansvarliges ansvar å definere lagringsperioden i henhold til prinsippene for nødvendighet og forholdsmessighet, og å vise samsvar med bestemmelsene i personvernforordningen.

Som angitt i artikkel 32 nr. 1 i personvernforordningen må behandling av personopplysninger ved bruk av videoovervåking ikke bare være basert på et rettslig grunnlag, men den behandlingsansvarlige og databehandleren må i tillegg sikre den på en egnet måte. De gjennomførte tekniske og organisatoriske tiltakene må stå i forhold til risikoen forbundet med brudd på fysiske personers rettigheter og friheter som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger som stammer fra videoovervåking.

Etter artikkel 24 og 25 må den behandlingsansvarlige gjennomføre tekniske og organisatoriske tiltak for å sikre at behandlingen utføres i samsvar med personvernsprinsippene, og legge til rette for at de registrerte kan utøve rettighetene sine som definert i artikkel 15–22 i forordningen. Den behandlingsansvarlige skal innføre interne rammeverk og retningslinjer som sikrer denne gjennomføringen (både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen), og gjennomføre egnede tekniske og organisatoriske tiltak, inkludert gjennomføre vurderinger av ved behov.

Oversikt over et videoovervåkingssystem

Et videoovervåkingssystem (artikkel 21 i personvernforordningen har ingen definisjon av det, men en teknisk beskrivelse finnes i EN 62676-1- 1:2014 Video surveillance systems for use in security applications – del 1-1: Video system requirements) består av analoge og digitale enheter samt programvare med formål om å ta bilder av et sted, behandle bildene og vise dem til en operatør. Bestanddelene deles inn i følgende kategorier (se også figur nedenfor):

• Videomiljøet: bildetaking, sammenkoblinger og bildebehandling
  • Formålet med bildetaking er å generere et bilde av den virkelige verden i et format som kan brukes av resten av systemet.
  • Sammenkoblinger beskriver all overføring av opplysninger innenfor videomiljøet, det vil si koblinger og kommunikasjon. Eksempler på koblinger er kabler, digitale nettverk og trådløse overføringsenheter. Kommunikasjon beskriver alle video- og kontrolldatasignaler som kan være enten digitale eller analoge.
  • Bildebehandling omfatter analyse, lagring og presentasjon av et bilde eller en sekvens av bilder.
• Sett fra en systemadministrators perspektiv har et videoovervåkingssystem følgende logiske funksjoner:
  • databehandling og aktivitetsadministrasjon, som omfatter bruk av operatørkommandoer og systemgenererte aktiviteter (alarmprosedyrer, varsling av operatører)
  • grensesnitt til andre systemer, som kan omfatte tilkobling til andre sikkerhetssystemer (adgangskontroll, brannalarm) og systemer som ikke er sikkerhetsrelaterte (systemer for byggforvaltning, automatisk gjenkjenning av nummerskilt)

• Sikkerhet i forbindelse med et videoovervåkingssystem knytter seg til systemets og opplysningenes konfidensialitet, integritet og tilgjengelighet:
  • Systemsikkerhet omfatter fysisk sikring av alle systemkomponenter og adgangskontroll til systemet.
  • Datasikring omfatter forebyggelse av tap eller manipulering av opplysninger.

Figur 1 – videoovervåkingssystem:

Innebygd personvern og personvern som standardinnstilling

Som angitt i artikkel 25 i personvernforordningen, må de behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak så snart de planlegger videoovervåking, før de starter innsamlingen og behandlingen av videoopptak.

Disse prinsippene vektlegger behovet for teknologi som forsterker innebygd personvern, standardinnstillinger som minimerer behandlingen av personopplysninger og tilgang på nødvendige verktøy som sikrer best mulig vern av personopplysninger (WP 168, Opinion on the "The Future of Privacy", joint contribution by the Article 29 Data Protection Working Party and the Working Party on Police and Justice to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data (vedtatt 1. desember 2009)).

Den behandlingsansvarlige skal innføre tiltak som sikrer personvernet, ikke bare i teknologiens designmessige spesifikasjoner, men også i organisatorisk praksis. Når det gjelder organisatorisk praksis, skal den behandlingsansvarlige innføre et egnet rammeverk for administrasjon og etablere og håndheve retningslinjer og prosedyrer for videoovervåking. Fra et teknisk ståsted skal systemets spesifikasjoner og design omfatte krav til behandling av personopplysninger i tråd med prinsippene som angis i artikkel 5 (behandlingens lovlighet, formåls- og databegrensning, dataminimering som standardinnstilling som beskrevet i artikkel 25 nr. 2, integritet og konfidensialitet, ansvar og så videre).

Dersom en behandlingsansvarlig planlegger å anskaffe et kommersielt videoovervåkingssystem, må den behandlingsansvarlige ta med disse kravene i kravspesifikasjonen. Den behandlingsansvarlige må sikre samsvar med disse kravene og la dem få anvendelse på alle bestanddeler i systemet og alle opplysninger som behandles av det, gjennom hele levetiden til systemet.

Konkrete eksempler på relevante tiltak

De fleste tiltakene som kan brukes til å sikre et videoovervåkingssystem, spesielt ved bruk av digitalt utstyr og programvare, vil ikke skille seg fra de som brukes i andre IT-systemer. Den behandlingsansvarlige må likevel, uavhengig av løsningen som velges, sørge for tilstrekkelig vern av alle bestanddelene i videoovervåkingssystemet og alle opplysninger på alle trinn i prosessen. Det vil si under lagring (data at rest), overføring (data in transit) og behandling (data in use). For å oppnå dette må behandlingsansvarlige og databehandlere kombinere organisatoriske og tekniske tiltak.

Ved valg av tekniske løsninger skal den behandlingsansvarlige vurdere personvernvennlig teknologi også fordi det gir økt sikkerhet. Eksempler på slik teknologi er systemer som muliggjør sladding eller forvrengning av områder som ikke er relevante for overvåkingen, eller fjerning av bilder av tredjeparter i forbindelse med utlevering av videoopptak til registrerte. (Bruken av slik teknologi kan til og med være obligatorisk i enkelte tilfeller, for å overholde artikkel 5 nr. 1 bokstav c. Slik teknologi kan i alle tilfeller fungere som eksempler på beste praksis.)

På den annen side skal ikke de valgte løsningene ha funksjoner som ikke er nødvendige (for eksempel ubegrenset kamerabevegelse, zooming, radiooverføring, analyse og lydopptak). Tilgjengelige funksjoner som ikke er nødvendige, må deaktiveres.

Det finnes mye litteratur om dette emnet, inkludert internasjonale standarder og tekniske spesifikasjoner om fysisk sikring av multimediesystemer (IEC TS 62045 – Multimedia security – Guideline for privacy protection of equipment and systems in and out of use) og sikring av generelle IT-systemer (ISO/IEC 27000 — Information security management systems series). Derfor gir denne delen bare en generell oversikt over emnet.

Organisatoriske tiltak

I tillegg til en potensiell vurdering av personvernkonsekvenser (se kapittel  10 i denne veiledningen, "Vurdering av personvernkonsekvenser") må den behandlingsansvarlige vurdere følgende punkter når de skal utforme sine egne retningslinjer og prosedyrer for videoovervåking:

• hvem er ansvarlig for å administrere og drifte videoovervåkingssystemet
• formålet med og omfanget av videoovervåkingssystemet
• lovlig og ulovlig bruk (hvor og når videoovervåking er tillatt, og hvor og når det ikke er det, for eksempel bruk av skjulte kameraer og lyd i tillegg til videoopptak). Dette kan avhenge av nasjonal lovgivning og sektorregulering. 
• tiltak for å sikre åpenhet, som angitt i kapittel 7, "Krav til åpenhet og informasjon"
• hvordan videoopptakene blir gjort, og hvor lenge opptakene varer, inkludert arkivering av videoopptak i forbindelse med sikkerhetsbrudd
• hvem som må gjennom relevant opplæring, og når opplæringen skal gjennomføres
• hvem som har tilgang til videoopptak, og hva som er formålet med tilgangen
• driftsmessige prosedyrer (hvem som følger med på videoovervåkingen, og hvor det utføres fra, og hva som skal gjøres i tilfelle avvik
• hvilke prosedyrer eksterne aktører må følge for å anmode om videoopptak, og hvilke prosedyrer som gjelder for avslag og aksept av slike anmodninger
• prosedyrer for innkjøp av videoovervåkingssystemer, installasjon og vedlikehold
• administrasjon av hendelser og prosedyrer for gjenoppretting

Tekniske tiltak

Systemsikring innebærer fysisk sikring av alle bestanddelene i systemet, samt systemintegritet som omfatter effektivt og robust vern mot og under tilsiktet og utilsiktet forstyrrelse av systemets normale drift og adgangskontroll. Datasikkerhet innebærer sikring av opplysningenes konfidensialitet (opplysningene er bare tilgjengelige for de som har fått tilgang til dem), integritet (forebyggelse av tap eller manipulering av opplysninger) og tilgjengelighet (opplysningene er tilgjengelige ved behov).

Fysisk sikring er en viktig del av personvernet og førstelinjeforsvaret da det beskytter videoovervåkingsutstyr mot tyveri, hærverk, naturkatastrofer, menneskeskapte katastrofer og utilsiktede skader (for eksempel fra elektrisk støt, ekstreme temperaturer og kaffesøl). Ved bruk av analoge systemer er fysiske sikkerhetstiltak den viktigste delen av vernet.

System- og datasikring innebærer vern mot tilsiktet og utilsiktet forstyrrelse av systemets normale drift, og kan omfatte:

• vern av hele infrastrukturen i videoovervåkingssystemet (inkludert eksterne kameraer, kabler og strømforsyninger) mot fysisk manipulering og tyveri
• vern av opptaksoverføring, med kommunikasjonskanaler som er sikret mot innbrudd
• datakryptering
• bruk av maskinvare- og programvarebaserte løsninger slik som brannmurer, antivirusprogrammer og varslingssystemer mot nettangrep
• deteksjon av feil på bestanddeler, programvare og koblinger
• midler for å gjenopprette tilgjengeligheten og adgangen til systemet i tilfelle fysiske eller tekniske hendelser

Adgangskontroll sikrer at bare autorisert personell har tilgang til systemet og opplysningene, mens andre nektes tilgang. Tiltak som understøtter fysisk og elektronisk adgangskontroll, omfatter

• å sikre alle steder hvor videoovervåking foregår, og hvor videoopptak lagres, for å hindre at tredjeparter får utilsiktet tilgang
• å plassere skjermer (spesielt når de står i åpne landskap, for eksempel en resepsjon) slik at bare autoriserte operatører kan se dem
• å utarbeide og håndheve prosedyrer for å gi, endre og trekke tilbake fysisk og elektronisk tilgang
• å implementere metoder og midler for autentisering og autorisasjon av brukere, for eksempel passordlengder og endringsfrekvens
• å registrere og regelmessig gjennomgå handlinger utført av brukere (både i forbindelse med systemet og opplysningene)
• å kontinuerlig overvåke og avdekke eventuell adgangssvikt og å løse identifiserte svakheter så snart som mulig

Etter artikkel 35 nr. 1 i personvernforordningen må den behandlingsansvarlige foreta en vurdering av personvernkonsekvenser (DPIA) dersom det er sannsynlig at en type behandling vil medføre en høy risiko for fysiske personers rettigheter og friheter. Artikkel 35 nr. 3 bokstav c angir at den behandlingsansvarlige må foreta en vurdering av personvernkonsekvenser dersom behandlingen utgjør systematisk overvåking i stor skala av et offentlig tilgjengelig område. I tillegg, i henhold til artikkel 35 nr. 3 bokstav b, er en vurdering av personvernkonsekvenser nødvendig dersom den behandlingsansvarlige har til hensikt å behandle særlige kategorier av opplysninger i stor skala.

Retningslinjene for vurdering av personvernkonsekvenser (WP 248 rev. 01, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679. – bifalles av Personvernrådet) gir ytterligere råd og mer detaljerte eksempler som er relevante for videoovervåking (for eksempel «bruk av kamerasystemer til å overvåke trafikkatferd på motorveier»).

Artikkel 35 nr. 4 i personvernforordningen krever at alle tilsynsmyndigheter skal offentliggjøre en liste over hvilke typer behandlingsaktiviteter som omfattes av kravet om vurdering av personvernkonsekvenser i deres respektive land. Disse listene ligger som regel på tilsynsmyndighetenes nettsider. Med tanke på de vanligste formålene med videoovervåking (vern av personer og eiendom, avdekke, forhindre og reagere på lovbrudd, innsamling av bevis og biometriske opplysninger om mistenkte) er det rimelig å anta at mange tilfeller av videoovervåking vil kreve en DPIA. Derfor må den behandlingsansvarlige gå gjennom disse dokumentene nøye for å fastslå om en slik vurdering er nødvendig, og i tilfelle den er det, gjennomføre den. Den behandlingsansvarlige skal la resultatene av DPIA-en være avgjørende for hvilke personverntiltak som velges.

Det er også viktig å merke seg at den behandlingsansvarlige må rådføre seg med den aktuelle tilsynsmyndigheten før behandlingen dersom DPIA-en tilsier at behandlingen vil medføre høy risiko selv om den behandlingsansvarlige har planlagt sikkerhetstiltak. Se artikkel 36 i personvernforordningen for mer informasjon om slike forhåndsdrøftinger med tilsynsmyndighetene.