Integritetsskyddsmyndigheten (IMY) har utfärdat en reprimand mot ett säkerhetsföretag för behandling av personuppgifter utan rättslig grund genom användning av inåtriktade kameror i bolagets fordon i strid dataskyddsförordningen (GDPR).
Bakgrund
Bolaget genomförde ett pilotprojekt under december 2024 och under perioden april–maj 2025 där inåtriktade kameror installerades i bolagets rondbilar. Kamerorna placerades under backspegeln och täckte fordonshytten, vilket innebar att förarens beteende registrerades under körning. Projektet bedrevs i Skövde, Örebro, Helsingborg och Märsta.
Inspelningsfunktionen var aktiverad i cirka 53 fordon under december 2024, under vilken tid 119 anställda använde bilarna. Teknik för realtidsdetektering var aktiverad under december 2024 samt april till maj 2025. Systemet detekterade händelser som rökning, mobilanvändning, ouppmärksamhet, avsaknad av säkerhetsbälte samt om kameran var täckt. Vid en händelse visades en varningsikon i fordonet, och om beteendet inte korrigerades inom 10–20 sekunder registrerades händelsen.
Syftet med kamerabevakningen var enligt bolaget att återkoppla om riskfyllda förarbeteenden, minimera person- och fordonsskador samt utreda ansvars- och försäkringsfrågor vid olyckor. IMY inledde tillsyn efter ett antal klagomål.
Myndighetens bedömning
IMY konstaterade inledningsvis att den aktuella kamerabevakningen måste uppfylla kraven i GDPR för att vara tillåten. Det följer av principen om ansvarsskyldighet i artikel 5.2 GDPR att det är den personuppgiftsansvarige som ansvarar för att dataskyddsreglerna följs och som ska kunna visa att så är fallet. Detta innefattar bland annat att behandlingen har en giltig rättslig grund. För att kamerabevakningen ska vara laglig måste bolaget därför kunna stödja behandlingen på minst en av de rättsliga grunder som anges i artikel 6.1 GDPR.
Bolaget åberopade rättslig förpliktelse enligt 6.1 (c) GDPR med hänvisning till bestämmelserna i 3 kap. 2–2 a §§ arbetsmiljölagen samt 11–12 §§ i Arbetsmiljöverkets föreskrifter (AFS 2023:1). IMY bedömde att dessa bestämmelser är allmänt hållna och varken enskilt eller tillsammans tillräckligt tydliga och precisa för att göra intrånget förutsebart. Behandlingen kunde därmed inte stödjas på 6.1 (c) GDPR.
Bolaget åberopade även berättigat intresse enligt 6.1 (f) GDPR, bland annat intresset av att säkerställa god fordonsekonomi genom uppföljning av försäkringsutredningar och reparationskostnader, att hantera incidentrapporter och utreda påstådda tjänstefel samt att skydda sig mot tvister med försäkringsbolag. IMY bedömde att bolagets intressen varit lagenliga, verkliga och faktiska och konstaterade därmed att bolaget haft ett berättigat intresse i den mening som avses i 6.1 (f) GDPR.
Avseende nödvändighet ansåg IMY att utredningen gav visst stöd för att behandlingen kan anses ha varit nödvändig för ändamålen. För detta talade särskilt att bolaget hade vidtagit alternativa åtgärder under flera år, däribland informationsinsatser och sensorbaserade system, men att dessa bedömts vara otillräckliga.
Vid intresseavvägningen beaktade IMY att bevakningen skett kontinuerligt under arbetspasset i ett begränsat utrymme där den anställde under lång tid befunnit sig ensam framför kameran. Kameran registrerade den anställdes beteende och agerande i tjänsten, och systemet förmedlade vissa varningar även till arbetsgivaren. IMY bedömde att kontinuerlig registrering riskerar att skapa en känsla av ständig kontroll och kan påverka den personliga integriteten i betydande grad. I arbetslivet, där arbetstagaren befinner sig i beroendeställning gentemot arbetsgivaren, ställs höga krav på att arbetsgivaren kan visa att behandlingen är proportionerlig. IMY konstaterade att även om behandlingen kan ha varit nödvändig för att uppnå de berättigade intressena, vägde bolagets intressen vid en sammantagen bedömning inte tyngre än de anställdas rätt att inte bli föremål för sådan kontinuerlig kamerabevakning i arbetet. Det tredje villkoret i 6.1 (f) GDPR var därmed inte uppfyllt och behandlingen kunde inte stödjas på denna grund.
IMY bedömde däremot att bolaget hade vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32.1 GDPR avseende hanteringen av det inspelade materialet.
Vid val av ingripande vägde IMY samman omständigheterna i ärendet. IMY bedömde att överträdelsen var av integritetskänslig karaktär i arbetslivet, vilket talade i skärpande riktning. Myndigheten noterade att lagstridig övervakning av anställda som sker upprepat eller på ett systematiskt sätt normalt bör motivera en kännbar sanktionsavgift. I detta fall rörde det sig dock om ett begränsat pilotprojekt vad gäller antalet berörda fordon och tidsperioden. Behandlingen hade avslutats, uppgifterna hade inte använts för andra ändamål än de uppgivna, och det förelåg inga tidigare relevanta överträdelser. Vid en samlad bedömning fann IMY därför att det var fråga om en sådan mindre överträdelse som avses i skäl 148 i GDPR och att en reprimand var en tillräcklig och proportionerlig åtgärd.
Praktiska konsekvenser
Beslutet klargör att allmänt hållna bestämmelser i arbetsmiljölagstiftningen inte är tillräckliga för att utgöra rättslig grund för integritetskänslig kamerabevakning av anställda. Ju mer ingripande bevakningen är, desto högre krav ställs på att den rättsliga grunden är tydlig och precis nog för att göra intrånget förutsebart.
Beslutet visar också att berättigat intresse i princip kan utgöra rättslig grund för kamerabevakning i fordon, men att kraven på intresseavvägningen är höga när behandlingen sker i arbetslivet. Vid bedömningen fästs stor vikt vid att arbetstagare befinner sig i en beroendeställning gentemot arbetsgivaren och ofta har begränsade möjligheter att motsätta sig eller undvika bevakningen. Arbetsgivare som överväger att införa AI-baserade förarövervakningssystem eller annan kontinuerlig kamerabevakning bör därför noggrant dokumentera varför behandlingen är nödvändig och säkerställa att de eftersträvade ändamålen inte kan uppnås genom mindre integritetsinträngande åtgärder.
Kontakta oss
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör rättslig grund för kamerabevakning, behandling av personuppgifter i arbetslivet och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om dataskydd, GDPR eller IT-rättsliga frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: IMY.