Videoovervågning og GDPR

I det moderne samfund spiller videoovervågning en afgørende rolle i at opretholde sikkerhed og drive virksomhed. GDPR og datalovgivning er blevet et nøgleelement for at sikre, at videoovervågning udføres på en måde, der beskytter personlige oplysninger og individuelle rettigheder. Men hvad siger GDPR præcist om videoovervågning, og hvordan udfører man compliant videoovervågning?

Bloggen her handler om, hvordan man skal praktisere videoovervågning som virksomhed eller organisation for at overholde GDPR.

Dataforordningen GDPR har til formål at beskytte enkeltpersoners rettigheder og sikre, at virksomheder håndterer persondata forsvarligt. Når det kommer til videoovervågning, er det afgørende at forstå, hvordan GDPR-principperne som datasikkerhed og gennemsigtighed finder anvendelse.

GDPR anser videomateriale af personer som en personoplysning på samme måde som tekstmateriale af personer. Derfor er principperne mere eller mindre de samme for video som for tekst. Videomateriale kan således anses for følsomt, når det involverer eller indeholder oplysninger, der relaterer sig til enkeltpersoners personlige eller private forhold. Følsomt videomateriale omfatter:

1. Identifikation: Hvis videomateriale tydeligt viser ansigter eller andre identificerende træk, anses det for følsomt, især når det er kombineret med andre oplysninger.
2. Personlige aktiviteter: Optagelser af enkeltpersoners personlige aktiviteter, f.eks. helbredsoplysninger, religiøs praksis eller politiske tilhørsforhold, anses også som følsomme.
3. Følsomme steder: Videomateriale, der viser enkeltpersoner i følsomme steder som sundhedsfaciliteter, steder for personlig rekreation eller private hjem, kan også betragtes som følsomt.
4. Adfærd: Optagelser, der dokumenterer enkeltpersoners følsomme adfærd eller interaktioner, som f.eks. emotionelle reaktioner, kan anses som følsomt materiale.
5. Børn: Videomateriale med personer under 18 år er følsomt.

At praktisere videoovervågning i overensstemmelse med GDPR kræver at man som virksomhed eller organisation sikrer beskyttelse af enkeltpersoners privatliv, så man opfylder de grundlæggende principper i databeskyttelsesforordningen. Her er nogle centrale punkter, man bør følge:

1. Definér formålet: Angiv klart og specifikt formålet med videoovervågningen i jeres privatlivspolitik. Dette kan omfatte sikkerhed, forebyggelse af kriminalitet eller beskyttelse af ejendom.
2. Identificér legitim interesse: Hvis videoovervågningen udføres baseret på legitim interesse, skal denne interesse være velbegrundet og veje tungere end de afbillede personers rettigheder. Hvis videoovervågningen ikke kan baseres på legitim interesse, skal man indhente samtykke fra de afbillede personer. Samtykket skal være frivilligt, informeret og specifikt til det pågældende formål.
3. Informér om overvågning: Udfører man tv-overvågning på fysiske steder med almindelig adgang skal både private og offentlige instanser tydeligt angive overvågningen ved skiltning. Overvåger man medarbejderne, bør man sørge for at informere de medarbejdere, der overvåges om formålet med videoovervågningen og andre relevante oplysninger som f.eks. kontaktoplysninger til den ansvarlige.
4. Minimer videomængden: Indsaml kun de nødvendige data for det definerede formål. Dette princip om dataminimering indebærer at undgå indsamling af unødvendige  oplysninger.
5. Sikker opbevaring: Sørg for, at indsamlede videodata opbevares sikkert og beskyttes mod uautoriseret adgang. Dette kan omfatte kryptering og adgangskontrolforanstaltninger. Læs mere om tekniske GDPR-tiltag her.
6. Undgå manipulation: Undgå at manipulere eller ændre videooptagelser uden gyldig grund, og bevar integriteten af de indsamlede data.
7. Opstil slettepolitikker: Fastlæg klare retningslinjer for, hvor længe videooptagelserne skal opbevares, og slet dem, når opbevaringsperioden er udløbet. Dette er typisk omkring 30 dage.
8. Besvar dataforespørgsler: Da videoovervågning af personer er behandling af persondata, er det jeres ansvar, at I er i stand til at svare på dataforespørgsler fra den eller de person, der afbilledes. Udpeg evt. en ansvarlig person for databeskyttelse til at varetage denne opgave.
9. Træning af personale: Sørg for at personale, der håndterer videodata, er uddannet i GDPR og forstår deres ansvar for at beskytte persondata.

Ved at følge disse retningslinjer kan virksomheder og organisationer praktisere videoovervågning på en måde, der er i overensstemmelse med GDPR og respekterer individets rettigheder til beskyttelse af persondata.