Skriftliga rutiner
Rutiner för hantering av sociala medier och fotografering
Det är bra för företag att upprätta rutiner för hantering av sociala medier och fotografering av medarbetare eller event.
Många företag behandlar personuppgifter i sociala medier
Sociala medier är en viktig kommunikationskanal för många företag. Till exempel är att utföra marknadsföring och ha en kompletterande kundtjänst. Det är viktigt att tänka på att företaget kan ha ett personuppgiftsansvar, även fast behandlingen sker i en sociala medie-plattform. Det innebär bland annat att företaget måste rensa sin sociala medie inkorg och utkorg regelbundet, i enlighet med reglerna kring gallring.
Bilder och ljudfiler kan vara personuppgifter
När det går att identifiera en fysisk levande person genom en uppgift, utgör det en personuppgift enligt GDPR. Till exempel namn, personnummer och telefonnummer. Dessutom kan bilder och ljudfiler utgöra personuppgifter, om det går att identifiera en person genom uppgiften. Vid sådana fall gäller GDPR även för bilder och ljudinspelningar.
Saker att tänka på vid användning av bilder
Bilder på fysiska levande individer utgör personuppgifter enligt GDPR. Detsamma gäller om bilderna inkluderar andra uppgifter som kan användas för att identifiera en fysisk levande person. Exempelvis registreringsnumret på ett privatägt fordon som är synligt på bilden. Företag som använder och publicerar bilder som innehåller personuppgifterna, måste därför säkerställa att det sker i enlighet med alla tillämpliga regler.
Vad rutiner för hantering av sociala medier och fotografering bör innehålla
Rättslig grund
Företag måste alltid ha en rättslig grund vid behandling av personuppgifter. Inkludera vilken eller vilka rättsliga grunder som används vid behandling av personuppgifter i sociala medier och vid fotografering. Samtycke brukar vara vanligt att stödja behandlingen av bilder och marknadsföring, men även berättigat intresse kan vara lämpligt.
Korrekt inhämtning av samtycke
Om den rättsliga grunden är samtycke, är det bra att rutinerna inkluderar hur samtycket ska inhämtas för att vara giltigt. Dessutom är det bra att undvika muntliga samtycken, eftersom de är svårare att bevisa.
Bilder i offentliga eller halvoffentliga miljöer
Inkludera när personer ska bli förfrågade gällande bildpublicering, hur det är möjligt att fotografera utan att det går att identifiera personer på bilderna, och hur fotografering ska få ske på kontoret. Observera att minderåriga har ett extra starkt skydd och därför är det viktigt att särskilt reglera sådan behandling om det är aktuellt.
Lagring av bilder
Det är viktigt att tänka på att företag behöver lagra bilder och andra personuppgifter på ett säkert sätt. Rutinerna bör därför bland annat inkludera vart lagringen ska ske, hur länge lagringen sker och vem som har rätt till åtkomst till bilderna i lagringsplatsen.
Granskning och godkännande innan publicering
Det är inte bra att publicera personuppgifter spontant, eftersom det är större risk att reglerna i GDPR inte efterföljs vid sådana fall. Därför är det bra ha krav och rutiner om granskning innan publikationen sker.
Samarbetspartners
Om företaget anlitar en extern part för behandlingar av personuppgifter i sociala medier eller för fotografering för företagets räkning, är det viktigt att ingå ett skriftligt personuppgiftsbiträdesavtal. Dessutom behöver leveranser av bildmaterialet ske via säkra kommunikationskanaler i proportion till känsligheten av personuppgifterna.
Hur riskerna kan minimeras
Genom att implementera tydliga rutiner och strukturer minskar riskerna vid behandlingen av personuppgifterna. Rutinerna bör inkludera vem som ansvarar för de olika kontona, vad för typ av innehåll som är tillåten, användning av plattformarna privat och riktlinjer för att undvika känsliga situationer.
Återkallelse och gallring
Registrerade har alltid rätt att återkalla sitt samtycke, och därför bör en rutin om detta upprättas eller inkluderas. Till exempel vem som ansvarar för att ta bort materialet och personuppgifterna, om den registrerade återkallar sitt samtycke till sin medverkan.
Dokumentation
Företag måste kunna visa att de följer GDPR och därför är det bra att dokumentera GDPR-arbetet, inklusive hantering av sociala medier och fotografering.
Mer info
Rutiner för gallring är en annan rutin som kan vara lämplig att upprätta
Företag ska gallra personuppgifter regelbundet i enlighet med reglerna i GDPR. Gallring innebär att företaget raderar eller anonymiserar personuppgifter. Det ska ske när de inte längre är nödvändiga för ändamålet de blev insamlade för eller om en registrerad begär det. Däremot finns det undantag. Till exempel om företaget måste behandla personuppgifterna för att uppnå en rättslig förpliktelse.