GDPR Del 4 – Nyhet från Datainspektionen om hantering av mingelbilder

25 maj 2018 närmar sig med stormsteg och det kan inte ha undgått någon att det är från detta datum dataskyddsförordningen (GDPR) börjar tillämpas. Datainspektionen kommer löpande med information om nya dataskyddsförordningen. Några av dessa nyheter är rekommendationer för hantering av personuppgifter i e-post, användning av mingelbilder och hantering av bilder på anställda.

Gästskribent: Katarina Ladenfors 

I den här artikeln tänkte jag berätta närmare om rekommendationen för mingelbilder. I kommande artiklar kommer jag att redogöra för Datainspektionens syn på hantering av bilder på anställda och hantering av e-post.

Som ni tidigare fått läsa upphör den s.k. "missbruksregeln" när GDPR träder i kraft. Missbruksregeln har tillämpats som ett undantag i Sverige och innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material. Det gäller ofta till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn men även publicering av bilder och film där människor syns. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas vid bildpublicering och för det som skrivs om personer i exempelvis e-post och på webbplatser. Det kommer att innebära krav på att bland annat ha en rättslig grund, informera de registrerade och föra register över sina behandlingar.

Datainspektionen har kommit med ett uttalande om publicering av mingelbilder.

Inledningsvis avseende mingelbilder konstaterar Datainspektionen att det kan vara svårt att inhämta samtycke och att det kan vara onödigt krångligt. Om syftet med publiceringen av bilderna är att informera om verksamheten kan den rättsliga grunden för myndigheter vara att utföra en uppgift av allmänt intresse.

Myndigheters uppgift att tillhandahålla information om sin verksamhet framgår av 6 § myndighetsförordningen.

För ett företag kan publiceringen istället vara tillåten enligt den rättsliga grunden intresseavvägning.

För det krävs att företagets intresse av att publicera bilderna för att informera om verksamheten väger tyngre än det intresse personerna på bilderna har av skydd för sina personuppgifter.

Datainspektionen påpekar att företaget ska dokumentera hur de har resonerat vid avvägningen. Dessa överväganden anges lämpligen i den interna dataskyddspolicyn som företaget/myndigheten ska kunna visa upp vid en eventuell granskning.

Datainspektionen poängterar att en myndighet inte kan luta sig mot en intresseavvägning när den behandlar personuppgifter för att fullgöra sina uppgifter.

Tuffa informationskrav

Dataskyddsförordningen uppställer tuffa informationskrav till de registrerade. Personerna som är med på bilderna har rätt att få information och utöva sina rättigheter enligt förordningen. Besökarna på eventet måste få information om att deras personuppgifter, alltså bilderna, kan komma att användas för att informera om verksamheten på webbplatsen och att de har möjlighet att invända mot detta. Det krävs också information om vem som är personuppgiftsansvarig och vem de ska kontakta. Det är dock oklart hur detta i praktiken ska gå till.

Datainspektionen anger att det inte krävs att alla namn på besökarna, som är med på bilderna, samlas in, endast för att kunna följa reglerna i förordningen. Men om någon identifierar sig själv och vill utöva sina rättigheter, så gäller rättigheterna i förordningen.

Datainspektionen tycks ha missat att lag (1978:800) om namn och bild i reklam kan bli tillämplig vid publicering av mingelbilder. Det är enligt lagen inte tillåtet att använda annans namn eller bild utan dennes samtycke vid marknadsföring.

Mingelbilder som används för att informera om ett företags verksamhet måste som huvudregel anses vara marknadsföring. Det är inte heller uteslutet att mingelbilder från en myndighet skulle kunna ses som marknadsföring beroende på omständigheterna i övrigt. Oavsett tillåtligheten enligt GDPR skulle det alltså vid marknadsföring ändå krävas samtycke från personer som kan identifieras på bilderna enligt lagen om namn och bild i reklam.

Utöver en rekommendation om mingelbilder har det även kommit en rekommendation om hantering av bilder på anställda och hantering av personuppgifter i e-post. Detta får jag återkomma till i nästa artikel. Om vi ses under något av de utbildningstillfällen som finns bokade i vår kommer vi givetvis även gå igenom dessa delar utifrån kommunikatörens roll.

Läs mer om vad som gäller för publicering av bilder, filmer och ljud på internet på Datainspektionens webbsida.

Kursen "GDPR för kommunikatörer"

Kursen ger dig en inblick i dataskyddsförordningen och verktyg för att förbereda din organisation på de krav som kommer att ställas gällande insamling, hantering och dokumentation av personuppgifter. Särskild fokus ligger på kommunikationsintensiva företag.

Kommande kurstillfällen:

Göteborg 26 april 2018, Läs mer eller anmäl dig här

Stockholm 15 maj 2018, Läs mer eller anmäl dig här


Bli medlem i Sveriges största nätverk för kommunikatörer och träffa 7 800 kollegor. Du får tillgång till våra kostnadsfria event för medlemmar, rabatt på kompetensutveckling och får ta del av det senaste inom vår bransch. Du hjälper även till och stöttar svensk kommunikationsforskning.

loader
Laddar