SKRIFTLIGE PROCEDURER
Procedurer for forvaltning og fotografering af sociale medier
Det er nyttigt for virksomheder at fastlægge procedurer for forvaltning af sociale medier og fotografering af medarbejdere eller arrangementer.
Mange virksomheder behandler personoplysninger på de sociale medier
Sociale medier er en vigtig kommunikationskanal for mange virksomheder. F.eks. gennemførelse af markedsføring og ydelse af en accessorisk kundeservice. Det er vigtigt at huske på, at virksomheden kan have et dataansvar, selv om behandlingen finder sted på en social medieplatform. Det betyder bl.a., at virksomheden regelmæssigt skal rengøre sin indbakke og udbakke til sociale medier i overensstemmelse med reglerne om udtynding.
Billeder og lydfiler kan være personoplysninger
Hvis det er muligt at identificere en fysisk levende person ved hjælp af oplysninger, udgør disse oplysninger personoplysninger som omhandlet i databeskyttelsesforordningen. F.eks. navn, personligt identifikationsnummer og telefonnummer. Desuden kan billeder og lydfiler udgøre personoplysninger, hvis opgaven gør det muligt at identificere en person. I sådanne tilfælde finder databeskyttelsesforordningen også anvendelse på billeder og lydoptagelser.
Ting, der skal tages i betragtning ved brug af billeder
Billeder af levende personer udgør personoplysninger i henhold til GDPR. Det samme gælder, hvis billederne indeholder andre data, der kan anvendes til at identificere en fysisk levende person. F.eks. registreringsnummeret på et privatejet køretøj, der er synligt på billedet. Virksomheder, der anvender og offentliggør billeder, der indeholder personoplysninger, skal derfor sikre, at dette sker i overensstemmelse med alle gældende regler.
Hvilke procedurer for forvaltning og fotografering af sociale medier bør omfatte?
Retlige bemærkninger
Virksomheder skal altid have et retsgrundlag for behandling af personoplysninger. Medtag det eller de retsgrundlag, der anvendes til behandling af personoplysninger på sociale medier og til fotografi. Samtykke anvendes normalt til at understøtte behandling af billeder og markedsføring, men legitim interesse kan også være hensigtsmæssig.
Korrekt indhentning af samtykke
Hvis retsgrundlaget er samtykke, er det nyttigt, at procedurerne omfatter, hvordan samtykke skal indhentes for at være gyldigt. Desuden er det nyttigt at undgå mundtligt samtykke, da det er vanskeligere at bevise.
Billeder i offentlige eller halvoffentlige sammenhænge
Medtag, når folk bliver bedt om billedpublikationer, hvordan det er muligt at tage fotografier uden at identificere personer på billederne, og hvordan man tager fotografier på kontoret. Bemærk, at mindreårige nyder godt af et særligt højt beskyttelsesniveau, og at det derfor er vigtigt specifikt at regulere en sådan behandling, hvor det er relevant.
Lagring af billeder
Det er vigtigt at huske på, at virksomheder skal lagre billeder og andre personoplysninger sikkert. Procedurerne bør derfor bl.a. omfatte, hvor lagringen skal finde sted, hvor længe den varer, og hvem der har ret til at få adgang til billederne på lagringslokaliteten.
Gennemgang og godkendelse inden offentliggørelse
Det er ikke godt at offentliggøre personoplysninger spontant, da der er en højere risiko for manglende overholdelse af GDPR-reglerne i sådanne tilfælde. Det er derfor godt at have revisionskrav og -procedurer på plads, inden offentliggørelsen finder sted.
Partnere
Hvis virksomheden engagerer en ekstern part til behandling af personoplysninger på sociale medier eller til fotografi på vegne af virksomheden, er det vigtigt at indgå en skriftlig databehandleraftale. Desuden skal leveringen af det visuelle materiale ske via sikre kommunikationskanaler i forhold til personoplysningernes følsomhed.
Hvordan minimerer man risici?
Ved at indføre klare procedurer og strukturer mindskes de risici, der er forbundet med behandlingen af personoplysninger. Procedurerne bør omfatte, hvem der er ansvarlig for de forskellige konti, hvilken type indhold der er tilladt, privat brug af platforme og retningslinjer for at undgå følsomme situationer.
Tilbagekaldelse og udtynding
Registrerede har altid ret til at trække deres samtykke tilbage, og der bør derfor indføres eller medtages en procedure med henblik herpå. F.eks. hvem der er ansvarlig for at fjerne materialet og personoplysningerne, hvis den registrerede trækker sit samtykke til sin deltagelse tilbage.
Dokumentation
Virksomhederne skal kunne påvise overholdelse af GDPR, og det er derfor nyttigt at dokumentere GDPR's arbejde, herunder forvaltning af sociale medier og fotografi.
FLERE OPLYSNINGER
Procedurer for sletning er en anden rutine, der kan være hensigtsmæssigt at etablere
Virksomhederne vil regelmæssigt indsamle personoplysninger i overensstemmelse med reglerne i GDPR. Udtynding indebærer, at virksomheden sletter eller anonymiserer personoplysninger. Dette skal ske, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet, eller efter anmodning fra en registreret. Der er dog undtagelser. F.eks. hvis virksomheden skal behandle personoplysningerne for at opnå en retlig forpligtelse.