Tillbaka till Insikter
REGELVERK

Kamerabevakningslagen 2026, komplett guide för företag

Av Joakim Klintred, medgrundare och vd

Den 1 april 2025 avskaffades tillståndskravet i kamerabevakningslagen helt. Ändringen påverkar främst myndigheter och aktörer som utför uppgifter av allmänt intresse. De flesta privata företag har inte behövt tillstånd sedan 2018 års lag, men bär fullt ansvar för dokumenterad intresseavvägning och GDPR-efterlevnad. Här är vad som gäller och vad ni behöver göra.

Vad ändrades 1 april 2025

Den 1 april 2025 avskaffades tillståndskravet i kamerabevakningslagen (2018:1200) helt. Förändringen påverkar framför allt myndigheter och aktörer som utför uppgifter av allmänt intresse, till exempel kollektivtrafik och vissa infrastrukturägare, som tidigare behövde tillstånd från Integritetsskyddsmyndigheten (IMY) för att kamerabevaka platser dit allmänheten hade tillträde.

De flesta privata företag har inte behövt söka tillstånd sedan 2018 års lag, eftersom bevakning för brottsförebyggande syften på egen mark i regel hanterades genom intresseavvägning enligt GDPR. Det ansvaret ligger kvar: privata företag är och förblir tillståndsfria, men bär hela ansvaret för dokumenterad intresseavvägning, informationsplikt, lagringstid och säker hantering. GDPR:s krav på laglig grund, ändamål, dataminimering, lagringstid, information och säkerhet är oförändrade.

Vad företag måste göra nu

  • Dokumenterad intresseavvägning. Väg ert berättigade intresse mot de registrerades integritet. Beskriv problembilden, varför andra åtgärder inte räcker, och hur bevakningen är avgränsad i tid och rum.
  • MBL-förhandling. Vid kamerabevakning av en arbetsplats har arbetsgivaren förhandlingsskyldighet mot berörd facklig organisation enligt medbestämmandelagen (MBL) innan beslut fattas, i enlighet med kamerabevakningslagen.
  • Skyltning och informationsplikt. Tydliga skyltar innan det bevakade området, med personuppgiftsansvarig, ändamål och hänvisning till mer information och rättigheter enligt GDPR artikel 13.
  • Begränsad lagringstid. IMY:s vägledning är att 72 timmar normalt är en rimlig gräns för allmän kamerabevakning. Längre tider kräver konkret motivering.
  • Säker hantering. Åtkomstkontroll, loggning av visning och export, kryptering i vila och i transport, samt tydliga rutiner vid begäran om radering eller registerutdrag.
  • Tystnadsplikt. Inspelat material omfattas av lagstadgad tystnadsplikt enligt kamerabevakningslagen. Att sprida bild eller video, till exempel på sociala medier för att peka ut en misstänkt, kan utgöra brott.
  • Register över behandlingar. Kamerabevakningen ska föras in i verksamhetens register enligt GDPR artikel 30. Aktörer med uppgifter av allmänt intresse ska dessutom föra ett separat register över sin kamerabevakning.

Steg för steg, checklista i åtta punkter

  1. Behovsanalys. Beskriv problembilden i konkreta ord. Antal händelser, typ av skador, geografiska hotspots och varför andra åtgärder inte räcker.
  2. Ändamål. Formulera ändamålet med bevakningen tydligt och avgränsat, till exempel förebygga inbrott vid lastintag eller utreda skadegörelse på perimeter.
  3. Val av teknik. Bestäm täckning, kameratyp, om videoanalys ska användas, om ljud ska spelas in (särskilt känsligt) och om bevakningen är konstant eller händelsedriven.
  4. Intresseavvägning. Dokumentera ert berättigade intresse, de registrerades intressen, avgränsningar och slutsatsen om att bevakningen är proportionerlig.
  5. Skyltning och information. Placera skyltar innan det bevakade området och publicera en fördjupad informationstext, till exempel på er webbplats, med kontaktväg för registrerade.
  6. Lagring och åtkomst. Bestäm lagringstid (utgå från 72 timmar om inget annat är motiverat), kryptering, vem som har åtkomst och hur åtkomst loggas.
  7. Rutin för registrerade. Fastställ hur ni hanterar begäran om registerutdrag, radering och invändning, och vem som är kontaktperson.
  8. Dokumentation. Samla intresseavvägning, ändamålsbeskrivning, teknisk beskrivning, lagringspolicy och register över behandlingar på en plats som är redo att lämnas till IMY vid tillsyn.

Kopplingen till GDPR och NIS2

Kamerabevakningslagen är ett kompletterande regelverk till GDPR, inte ett parallellt spår. Intresseavvägningen, informationsplikten och lagringstiden följer GDPR:s logik. För organisationer inom kritisk infrastruktur tillkommer kraven i NIS2 på riskhantering, incidentrapportering och kontinuitet, där kamerabevakningen ofta är en del av det tekniska skalskyddet. Läs mer i vår genomgång av NIS2 och CER och om hur regelverken knyter an till regelefterlevnad i praktiken.

Var bevakningsdatan lagras spelar också roll. Videoströmmar, bilder och händelseloggar är personuppgifter, och för organisationer med krav på svensk eller EU-baserad datahantering är det värt att fördjupa sig i datasuveränitet innan val av lagringsleverantör.

Vanliga frågor

Behöver vi tillstånd för kamerabevakning 2026?

Nej. De flesta privata företag har inte behövt tillstånd sedan 2018 års lag, och den 1 april 2025 avskaffades tillståndskravet helt även för myndigheter och aktörer som utför uppgifter av allmänt intresse. Ansvaret ligger på verksamheten att göra och dokumentera en intresseavvägning enligt GDPR, uppfylla informationskrav, förhandla enligt MBL vid bevakning av arbetsplats och följa övriga dataskyddsregler samt kamerabevakningslagens (2018:1200) bestämmelser om bland annat tystnadsplikt.

Hur länge får vi spara inspelat material?

Lagen anger ingen exakt tid, men IMY:s vägledning är att 72 timmar normalt är en rimlig gräns för allmän kamerabevakning. Längre lagring kräver konkret motivering, till exempel pågående utredning eller specifika hotbilder. Grundregeln är att materialet ska raderas så snart syftet med bevakningen inte längre motiverar lagring.

Vad ska stå på skylten?

Skylten ska tydligt informera om att kamerabevakning pågår, vem som är personuppgiftsansvarig, ändamålet med bevakningen och hur den registrerade kan få mer information samt utöva sina rättigheter. Skylten ska sitta väl synlig innan personer passerar in i det bevakade området. Enbart en kamerasymbol är inte tillräckligt.

Vad händer vid tillsyn från IMY?

Integritetsskyddsmyndigheten kan begära in dokumentationen av er intresseavvägning, registret över behandlingar, information till registrerade och tekniska rutiner för lagring och åtkomst. Brister kan leda till förelägganden, administrativa sanktionsavgifter enligt GDPR eller krav på att bevakningen upphör. Väldokumenterade rutiner är den viktigaste skyddsfaktorn.

Den här texten är en praktisk översikt, inte juridisk rådgivning. För gränsfall och specifika tolkningar, ta hjälp av jurist med dataskyddskompetens.

Källor

NÄSTA STEG

Behöver ni hjälp att komma i mål med dokumentationen?

Vi går igenom era ändamål, intresseavvägning och tekniska rutiner tillsammans med en lokal partner.