Vurdering av personvernkonsekvenser
Etter artikkel 35 nr. 1 i personvernforordningen må den behandlingsansvarlige foreta en vurdering av personvernkonsekvenser (DPIA) dersom det er sannsynlig at en type behandling vil medføre en høy risiko for fysiske personers rettigheter og friheter. Artikkel 35 nr. 3 bokstav c angir at den behandlingsansvarlige må foreta en vurdering av personvernkonsekvenser dersom behandlingen utgjør systematisk overvåking i stor skala av et offentlig tilgjengelig område. I tillegg, i henhold til artikkel 35 nr. 3 bokstav b, er en vurdering av personvernkonsekvenser nødvendig dersom den behandlingsansvarlige har til hensikt å behandle særlige kategorier av opplysninger i stor skala.
Retningslinjene for vurdering av personvernkonsekvenser (WP 248 rev. 01, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679. – bifalles av Personvernrådet) gir ytterligere råd og mer detaljerte eksempler som er relevante for videoovervåking (for eksempel «bruk av kamerasystemer til å overvåke trafikkatferd på motorveier»).
Artikkel 35 nr. 4 i personvernforordningen krever at alle tilsynsmyndigheter skal offentliggjøre en liste over hvilke typer behandlingsaktiviteter som omfattes av kravet om vurdering av personvernkonsekvenser i deres respektive land. Disse listene ligger som regel på tilsynsmyndighetenes nettsider. Med tanke på de vanligste formålene med videoovervåking (vern av personer og eiendom, avdekke, forhindre og reagere på lovbrudd, innsamling av bevis og biometriske opplysninger om mistenkte) er det rimelig å anta at mange tilfeller av videoovervåking vil kreve en DPIA. Derfor må den behandlingsansvarlige gå gjennom disse dokumentene nøye for å fastslå om en slik vurdering er nødvendig, og i tilfelle den er det, gjennomføre den. Den behandlingsansvarlige skal la resultatene av DPIA-en være avgjørende for hvilke personverntiltak som velges.
Det er også viktig å merke seg at den behandlingsansvarlige må rådføre seg med den aktuelle tilsynsmyndigheten før behandlingen dersom DPIA-en tilsier at behandlingen vil medføre høy risiko selv om den behandlingsansvarlige har planlagt sikkerhetstiltak. Se artikkel 36 i personvernforordningen for mer informasjon om slike forhåndsdrøftinger med tilsynsmyndighetene.