Med dagens sociala medier, publicerar folk konstant bilder och videor online av sig själva och sina vänner. Företag har också ökat sin användning av sociala medier för att kommunicera sitt varumärke och låta konsumenter träffa teamet bakom organisationen. Det är troligt att ditt företag också har en sida på sociala medier med bilder och/eller videor av anställda. Med tanke på GDPR så finns det några saker man bör vara medveten om när man publicerar bilder och videor online. Vi diskuterar de viktigaste reglerna i det här blogginlägget.
För att testa din kunskap, och varför inte dina kollegors? Pröva vår gratis e-kurs i hur du får publicera bilder och videoklipp på nätet.
Är bilderna privata eller arbetsrelaterade?
Folk publicerar bilder och videor online hela tiden, både som privatpersoner, men också som en del av deras professionella eller frivilliga arbeten.
Från ett organisationsperspektiv, så är det helt okej att anställda delar privata bilder och videor av sig själva online, eftersom GDPR inte är avsett för att handla om dem.
Men, på den andra sida, när bilder tas i ett arbetsrelaterat sammanhang, eller när de publiceras av din organisation eller på uppdrag av den, så träder GDPR i kraft. Det är för att din organisation fungerar som dataansvarig för all personlig information som rör organisationen.
Bilder tagna på människor är personuppgifter, och ska behandlas som alla andra former av personuppgifter behandlas, enligt GDPR.
Ett exempel kan vara en icke-statlig organisation (NGO) eller en välgörenhet, som ska organisera ett evenemang för att samla in pengar, och öka medvetenhet om deras arbete. För att skapa spänning runt evenemanget, vill arrangören publicera bilder på deras Instagram om hur det ser ut bakom kulisserna. Om bilderna som publiceras innehåller personer som arbetar för organisation, ska organisationen följa GDPR om hur man hanterar den typen av personuppgifter.
Juridiska grunder för bearbetning
När du behandlar personuppgifter i en organisation, ska du alltid ha juridiska grunder för att få rätt till att bearbeta just den informationen.
Enkelt uttryckt, innebär juridiska grunder i detta sammanhang, att man har ett tillstånd till att publicera bilder och videor.
Det finns flera möjligheter att få dettas tillstånd.
Antigen genom en:
-
En enkel form av samtycke eller
-
Genom ett avtal
Till exempel, kan det stå skrivet i anställningsavtalet i din organisation att den anställda tillåter publicering av en profilbild på företagets “om oss”-sida.
Intresseavvägning
Om din organisation inte har ett formellt sätt att få de juridiska grunderna, så kan de använda sig av den rättsliga grunden ‘intresseavvägning’. På integritetsskyddsmyndigheten – IMY (Före detta Datainspektionen) hemsida kan man läsa att för att organisationen ska få publicera bilder med denna juridiska grund, ska företagets intresse av att publicera bilden väga tyngre än de intresse personen på bilden har av skydd för sina personuppgifter. Det är därmed viktigt att organisationen har dokumenterat hur man resonerat när man gjort denna avvägning.
Datainspektionen anser att samla in samtycke för att få publicera bilder, blir en för krånglig process.
Därmed är det viktigt att de anställda som ansvarar för att publicera bilder och videor online, är medvetna om den juridiska grunden; intresseavvägning, och hur man tillämpar den. Och om man är osäker på om man efterföljer GDPR, så är det alltid bättre att rådfråga organisationens ansvariga för GDPR, än att chansa.
Vi går tillbaka till exemplet med välgörenhets evenemanget, låt oss säga att Lisa är organisationens sociala media ansvarig. Hon har tagit en del bilder på förberedelserna inför evenemanget. Av de personer som syns på bilderna finns Peter. På bilderna kan man se Peter när han placerar ut några dekorationer och umgås med andra volontärer. Lisa anser att det är okej att dela dessa bilder online, baserat på intresseavvägning.
Informationsskyldighet och rätt till invändningar
I teorin finns det ingen anledning att be om tillstånd för att publicera en bild eller video när man använder intresseavvägning som juridisk grund. Men organisationer har en skyldighet att informera. Man måste informera de berörda personer om när och var bilderna eller videorna kommer att publiceras, för att ge dem möjlighet att invända.
Människor har olika gränser för när de skulle känna sig obekväma med att ett foto eller en video publiceras. Därför är det bästa sättet att helt enkelt fråga personen innan man publicerar. På så sätt får den berörda möjligheten att invända och förhindra obehagliga överraskningar för båda sidor.
Återigen måste de relevanta personerna i din organisation vara medvetna om denna upplysningsplikt, så att den alltid tillämpas ordentligt när man hanterar bilder eller videor.
I vårt exempel har Lisa informerat Peter i förväg om att några bilder av honom kommer att läggas ut på organisationens Instagram. Det visar sig så att Peter inte är särskilt bekväm med att bilder av honom läggs ut på Internet. Lisa är mycket förstående och går med på att inte publicera några bilder med Peter i dem.
En intresseavvägning är inte tillräckligt för känsliga personuppgifter
Då personuppgifter kan kategoriseras som normala och känsliga, kan också bilder och videor göra det.
Exempel på känsliga personuppgifter är:
-
Ras eller etnicitet
-
Politiska övertygelser
-
Religiösa eller filosofiska övertygelser
-
Hälsorelaterad information
-
Sexuella relationer och/eller läggning
-
Medlemskap i fackförening
Till exempel skulle bilder av anställda som tas på ett sjukhus, vid ett politiskt möte eller i en kyrka klassificeras som känsliga personuppgifter och måste därför hanteras noggrannare. I det här fallet är intresseavvägning inte en tillräckligt stark rättslig grund och du måste använda ett annat sätt att få tillstånd, till exempel samtycke.
För att gå tillbaka till exemplet med välgörenhetsorganisationen; låt oss säga att välgörenheten organiserar en händelse för en politiskt eller religiöst motiverad fråga. I det fallet när Lisa publicerar en bild av Peter som arbetar vid detta evenemang, så skulle det innebära att Lisa har avslöjat Peters politiska eller religiösa övertygelse. Detta är känslig information som Peter kanske inte alls vill vara till allmän kännedom. Därför är starkare rättsliga grunder nödvändiga.
Bekanta dig med de rättsliga grunderna för GDPR, och ditt ansvar som företag att efterleva dem.
Slutsats: dina anställda bör vara medvetna om de olika juridiska grunderna
De ansvariga för din organisations sociala media kanske inte alltid inser att inte alla är lika bekväma som de är med att ha sina ansikten online. Det är därför det är en bra idé att skapa en stark medvetenhet hos alla anställda så att de förstår och kan tillämpa GDPR.
Kort sagt, det är ganska viktigt att skapa en medvetenhet i din organisation om att, ja, foton och videor är personuppgifter, och ja, det är bästa praxis att alltid be om tillåtelse från berörda personer om de är bekväma med att bilden eller videon publiceras. Slutligen bör anställda alltid komma ihåg de strängare reglerna för känsliga personuppgifter. Och om det råder osäkerhet bör anställda alltid rådfråga dataskyddsombudet eller den person som ansvarar för GDPR i sin organisation.
För att skapa en bättre översikt över dessa föreslagna riktlinjer, så har vi skapat ett enkelt diagram som du och dina anställda kan använda när ni funderar på att publicera bilder eller videor.
Diagramet ger dina anställda en snabb översikt över reglerna för publicering av bilder eller videor. Vi hoppas att du hittar diagrammet användbart och att du har lärt dig något i blogginlägget.
