GDPR Del 5 – Publicera bilder på anställda

Den 25 maj 2018 har passerat, och den nya dataskyddsförordningen (GDPR) har trätt i kraft och ska därmed tillämpas på all personuppgiftshantering inom EU. Datainspektionen kommer löpande med information och ställningstaganden och har inlett ett 80-tal granskningsärenden mot försäkringsbolag, banker och myndigheter.

Text: Katarina Ladenfors

I den här artikeln är tanken att beröra Datainspektionens rekommendation avseende behandling av bilder på anställda på webbplatsen. I kommande artiklar kommer jag att redogöra för Datainspektionens syn på hanteringen av e-post med mera.

En inte helt ovanlig situation är att arbetsgivaren vill publicera bilder på anställda tillsammans med namn på webbplatsen eller på intranätet. Bilder på anställda ger ett personligt intryck av organisationen och ett ansikte på en person som en besökare eventuellt kan komma att ha kontakt med.

Anställda kan uppleva bildpublicering som känslig och i vissa yrken kan publicering av bilder på anställda vara direkt olämplig. Datainspektionens råd, mot bakgrund av dataskyddsförordningen, är att alltid fråga de anställda först. Det kan även vara ett gott råd att följa för att undvika en potentiell konflikt med anställda som kan ha väldigt goda och starka skäl för att inte få sin bild publicerad. Hur ni som arbetsgivare resonerar bör även dokumenteras internt och övervägandena ska kunna visas upp om ni får en granskning av Datainspektionen.

Jag rekommenderar att organisationen tar fram en policy för bild och film där bilder på anställda är en del som behandlas liksom bild- och filmhantering i andra sammanhang. Policyn kan användas för att informera internt men också för att visa upp vid en eventuell granskning av Datainspektionen.

 

Rättslig grund för publicering

 

För all personuppgiftsbehandling krävs att en rättslig grund identifieras och anges. Det förekommer diskussioner om att all bildpublicering nu ska stödja sig på grunden samtycke. Detta är dock inte korrekt utan det är oftast lämpligare att försöka stödja bildpubliceringen på en annan rättslig grund. Datainspektionen anser att det oftast inte är lämpligt att stödja bildpublicering av anställda på grunden samtycke. Anledningen till det är att en arbetstagare normalt sett står i en beroendeställning till sin arbetsgivare och det kan därför ifrågasättas om samtycke har lämnats helt frivilligt.

För en privat aktör kan en arbetsgivare ha tungt vägande skäl för att publicera bilder på webbplatsen om det exempelvis rör kundorienterade arbetsuppgifter och där den personliga kontakten och förtroendet är viktigt. I sådana fall kan arbetsgivarens intresse av att publicera bilder väga tyngre än de anställdas intresse av skydd och därmed ge stöd för publiceringen. Den rättsliga grunden är då intresseavvägning.

Den rättsliga grunden för en offentlig aktör kan vara att behandlingen är nödvändig för att uppfylla en uppgift av allmänt intresse om ändamålet med publiceringen är att informera om verksamheten. Datainspektionen anser i sådana fall att det för myndigheter finns utrymme för en publicering av namn och bild vad avser till exempel generaldirektör, presskontakt och vissa andra anställda men troligtvis inte för att publicera samtliga anställdas bilder.

Datainspektionen har i sin rekommendation uppgett att en bedömning bör göras i varje enskilt fall och beroende av aktuella omständigheter. Reglerna som följer av dataskyddsförordningen måste oavsett beaktas och varje organisation måste begrunda och ta ställning till syftet med publiceringen samt den rättsliga grunden vid varje typ av publicering.

 

Informera alltid!

 

Dataskyddsförordningens krav på att informera samtliga personer vars personuppgifter behandlas omfattar så klart även anställda. Det är därför viktigt att se över vilken behandling som sker av anställdas personuppgifter, att dokumentera detta, och även att sammanställa denna information och att sedan tillse att varje anställd får ta del av denna information.

Förutom vilka uppgifter som lagras, vilken behandling som sker av bilderna, hur länge bilderna lagras och vilket rättsligt stöd för detta som organisationen har, ska det även framgå hur den anställda kan utöva sina rättigheter enligt förordningen. Det ska även framgå vem som är personuppgiftsansvarig och vem som kan kontaktas vid eventuella frågor rörande behandlingen av personuppgifter.

Utöver rekommendation om hantering av bilder på anställda kommer Datainspektionen löpande med nya rekommendationer vilka jag ämnar återkomma till i framtida artiklar. Ses vi under något av de utbildningstillfällen som finns bokade i höst kommer vi givetvis även gå igenom dessa delar utifrån kommunikatörens roll.

 

Hela artikelserien:

GDPR Del 1 – Se över rutiner för behandling av personuppgifter

GDPR Del 2 – Bildpublicering i ljuset av GDPR

GDPR Del 3 – Missbruksregeln upphör, vad innebär det för kommunikatören?

GDPR Del 4 – Nyhet från Datainspektionen om hantering av mingelbilder

 


Bli medlem i Sveriges största nätverk för kommunikatörer och träffa 7 800 kollegor. Du får tillgång till våra kostnadsfria event för medlemmar, rabatt på kompetensutveckling och får ta del av det senaste inom vår bransch. Du hjälper även till och stöttar svensk kommunikationsforskning.

loader
Laddar