Skriftlige Prosedyrer
Prosedyrer for håndtering av sosiale medier og fotografering
Det er nyttig for bedrifter å etablere prosedyrer for å administrere sosiale medier og fotografere ansatte eller hendelser.
Mange selskaper behandler personopplysninger på sosiale medier
Sosiale medier er en viktig kommunikasjonskanal for mange virksomheter. For eksempel å utføre markedsføring og ha en tilknyttet kundeservice. Det er viktig å huske på at selskapet kan ha et kontrollansvar, selv om behandlingen foregår på en sosial medieplattform. Dette innebærer blant annet at selskapet må rense innboksen og utboksen for sosiale medier regelmessig, i tråd med reglene om tynning.
Bilder og lydfiler kan være personopplysninger
Der det er mulig å identifisere en fysisk levende person ved hjelp av informasjon, utgjør denne informasjonen personopplysninger i henhold til GDPR. For eksempel navn, personnummer og telefonnummer. I tillegg kan bilder og lydfiler utgjøre personopplysninger, dersom oppgaven gjør det mulig å identifisere en person. I slike tilfeller gjelder GDPR også for bilder og lydopptak.
Ting å vurdere når du bruker bilder
Bilder av levende individer utgjør personopplysninger i henhold til GDPR. Det samme gjelder dersom bildene inneholder andre data som kan brukes til å identifisere en fysisk levende person. For eksempel registreringsnummeret til et privateid kjøretøy som er synlig på bildet. Bedrifter som bruker og publiserer bilder som inneholder personopplysningene, må derfor sørge for at dette gjøres i samsvar med alle gjeldende regler.
Hvilke sosiale medier ledelse og fotografering prosedyrer bør omfatte
Rettslig grunnlag
Bedrifter må alltid ha et rettslig grunnlag for å behandle personopplysninger. Inkludere det juridiske grunnlaget (e) som brukes til behandling av personopplysninger i sosiale medier og for fotografering. Samtykke brukes vanligvis til å støtte behandlingen av bilder og markedsføring, men legitim interesse kan også være hensiktsmessig.
Riktig innhenting av samtykke
Hvis det rettslige grunnlaget er samtykke, er det nyttig at prosedyrene inkluderer hvordan samtykke skal innhentes for å være gyldig. I tillegg er det nyttig å unngå muntlig samtykke, da det er vanskeligere å bevise.
Bilder i offentlige eller semi-offentlige innstillinger
Inkluder når folk blir bedt om billedpublikasjoner, hvordan det er mulig å ta bilder uten å identifisere folk på bildene, og hvordan du tar bilder på kontoret. Vær oppmerksom på at mindreårige har et spesielt høyt beskyttelsesnivå, og det er derfor viktig å spesifikt regulere slik behandling der det er relevant.
Lagring av bilder
Det er viktig å huske på at bedrifter må lagre bilder og andre personopplysninger på en sikker måte. Framgangsmåtene bør derfor blant annet omfatte hvor lagringen skal finne sted, hvor lenge den varer og hvem som har rett til å få tilgang til bildene på lagringsstedet.
Gjennomgang og godkjenning før publisering
Det er ikke bra å publisere personopplysninger spontant, da det er en høyere risiko for manglende overholdelse av GDPR-reglene i slike tilfeller. Det er derfor godt å ha revisjonskrav og rutiner på plass før publiseringen finner sted.
Partnere
Hvis selskapet engasjerer en ekstern part for behandling av personopplysninger på sosiale medier eller for fotografering på vegne av selskapet, er det viktig å inngå en skriftlig prosessoravtale. I tillegg må leveransen av det visuelle materialet gjøres gjennom sikre kommunikasjonskanaler i forhold til sensitiviteten til personopplysningene.
Hvordan å minimere risiko
Ved å implementere klare prosedyrer og strukturer, reduseres risikoen forbundet med behandling av personopplysninger. Prosedyrene bør omfatte hvem som er ansvarlig for de ulike kontoene, hva slags innhold som er tillatt, bruk av plattformer privat og retningslinjer for å unngå sensitive situasjoner.
Tilbakekalling og tynning
De registrerte har alltid rett til å trekke tilbake sitt samtykke, derfor bør en prosedyre for dette etableres eller inkluderes. For eksempel, hvem som er ansvarlig for å fjerne materialet og personopplysningene, hvis den registrerte trekker tilbake sitt samtykke til hans eller hennes deltakelse.
Dokumentasjon
Bedrifter må kunne vise samsvar med GDPR, og det er derfor nyttig å dokumentere GDPRs arbeid, inkludert håndtering av sosiale medier og fotografering.
Mer informasjon
Prosedyrer for sletting er en annen rutine som kan være hensiktsmessig å etablere
Bedrifter vil regelmessig samle inn personopplysninger i tråd med GDPR-reglene. Tynning innebærer sletting eller anonymisering av personopplysninger av selskapet. Dette skal gjøres når de ikke lenger er nødvendige for det formålet de ble samlet inn for, eller på anmodning fra en registrert. Det finnes imidlertid unntak. For eksempel, hvis selskapet må behandle personopplysningene for å oppnå en juridisk forpliktelse.