GDPR – Bilder på personer. Vad gäller?

Vänligen notera att den här texten inte innehåller några juridiska råd. Textens mål är att ge en kort och enkel redogörelse över användning och behandling av bilder, enligt Dataskyddsförordningen (GDPR). För mer information bör man vända sig till Datainspektionen.

Bilder och filmer kan utgöra personuppgifter

Den nya Dataskyddsförordningen (GDPR) omfattar all behandling av känsliga personuppgifter. En personuppgift är information som direkt eller indirekt kan knytas till en fysisk person (som lever). Detta innebär att en bild eller film kan utgöra känsliga personuppgifter och omfattas av GDPR. För att tala klarspråk så kan det bli olagligt när GDPR träder i kraft den 25 maj 2018.

Tidigare har bilder och filmer reglerats i personuppgiftslagen eller marknadsföringslagen men nu kommer det även att ingå i den nya Dataskyddsförordningen. Det innebär att det kommer att ställas krav på att avsändaren kan redovisa rättslig grund att de behandlade har informerats och att det förs ett register över behandlingen. Det betyder att alla organisationer, företag och föreningar måste avgöra på vilken rättslig grund de har rätt att använda bilder och filmer som föreställer människor i sin marknadsföring.

Filnamn och alt-texter

Du behöver också tänka på vad du döper bilden till. Ger du den filnamnet per-andersson.jpg och en alt-text “Per Andersson, ekonomiansvarig” så är även dessa känsliga personuppgifter.

Missbruksregeln försvinner

I Sverige har vi haft en regel som kallats för missbruksregeln. Den har legat under personuppgiftslagen och reglerat personuppgifter i ostrukturerat material. När den nya förordningen träder i kraft den 25 maj gäller alltså inte den regeln. Då kommer samma regler att gälla för alla personuppgifter.

Behandling av personuppgifter

Någon av nedanstående punkter måste uppfyllas om man, enligt GDPR, ska ha laglig grund att behandla personuppgifter:

  • Samtycke från registrerad person
  • Nödvändigt för att fullgöra ett avgöra
  • Nödvändigt för att fullgöra en rättslig förpliktelse
  • Nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade personen eller för annan fysisk person (som att t ex rädda liv, egendom)
  • Nödvändigt för att kunna utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning
  • Nödvändigt för de ändamål som rör den personuppgiftsansvariges eller tredje parts berättigade intresse. Om nu inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Datainspektionen

Datainspektionen är den tillsynsmyndighet som ska se till att den nya förordningen efterlevs och avgöra om någon organisation ska få ett föreläggande. Om du t ex tar mingelbilder och publicerar dem så gäller inte den tidigare nämnda missbruksregeln längre. Men Datainspektionen konstaterar att det kan bli svårt att samla in samtycke för alla personer vi just mingelfotografering. För ett företag kan publicering av mingelbilder istället vara tillåtet enligt den rättsliga grunden intresseavvägning. Då krävs det att företaget intresse att publicera bilderna för att informera om verksamheten väger tyngre än det intresse som personerna på bilderna har för skyddet av sina personuppgifter. Det här kan dock bli ett svårt dilemma eftersom GDPR ställer relativt hårda krav på att personer vars personuppgifter behandlas ska få information om ändamålet med publiceringen, hur länge det sparas, vem som är personuppgiftsansvarig och vem de ska kontakta om de vill radera eller hämta sina uppgifter. Många advokatbyråer och juridiskt sakkunniga råder därför organisationer att inhämta ett samtycke till behandlingen. Det ska då vara frivilligt, uttryckligt och dokumenterat. På så sätt har man alltid “ryggen fri”.

Tips! Läs artikeln med vår expert Inför GDPR – Jenny Arvidsson, Head of Legal and Compliance

Säkerhet och integritet

Hos Qred kan du känna dig trygg. Vi erbjuder trygga och säkra företagslån och tar din säkerhet och integritet på största allvar. Vi garanterar att din information alltid är säker och att ingen obehörig kan komma åt dina uppgifter. Du kan läsa mer om hur vi arbetar med just säkerhet och integritet på sidan om säkerhet.

Lycka till med företagandet!
/Teamet på Qred