Meddelelse
Behandling af personoplysninger på sociale medier
Det er almindeligt for virksomheder at behandle personoplysninger på sociale medier. Derudover er det ikke ualmindeligt for virksomheder at tro, at kun den sociale medieplatform har et ansvar, og ikke den virksomhed, der bruger tjenesten.
Behandling af personoplysninger på sociale medier
Virksomheder har et ansvar, når de behandler personoplysninger på sociale medier, og derfor er det godt at kende reglerne. Enkeltpersoner kan også være underlagt GDPR, når de offentliggør billeder eller videoer, der indeholder personoplysninger. Vær dog opmærksom på, at der gælder særlige regler, hvis behandlingen sker i journalistisk øjemed.
Der kan være et fælles ansvar for personoplysninger
Det er ikke altid let at afgøre præcist, hvornår virksomheder, der bruger sociale medier og behandler personoplysninger, har et fælles dataansvar med platformen.
To eksempler på fælles kontrol
Brug af statistiske værktøjer til sociale medier:
Hvis en virksomhed anvender et statistisk værktøj fra platformen, har virksomheden og platformsudbyderen et fælles dataansvar.
Ekstra kundeservice på de sociale medier
Mange virksomheder besvarer spørgsmål fra kunder/følgere via deres sociale medier. Med andre ord bruges sociale medier nogle gange som en supplerende kundeservice eller den eneste kundeservice for nogle mindre virksomheder. I sådanne tilfælde har virksomheden og den sociale medieplatform et fælles dataansvar. Det betyder blandt andet, at virksomheden skal screene sin ind- og udbakke regelmæssigt, ligesom i e-mails og andre kommunikationskanaler.
Kan virksomheder poste billeder af deres medarbejdere på deres sociale medier?
Ja, det kan være lovligt. Retsgrundlaget er normalt legitim interesse, hvis det er en professionel gruppe, der er vant til en sådan behandling, såsom mæglere, advokater osv. Et andet retsgrundlag kan være en kontrakt med den registrerede. Samtykke er ikke hensigtsmæssigt, fordi der er et ulige magtforhold mellem arbejdsgiveren og arbejdstageren. Det er dog godt at spørge medarbejderne alligevel, da det kan opfattes som privatlivsfølsomt at få billeder af sig selv offentliggjort.
Skal enkeltpersoner overholde GDPR, når de offentliggør billeder på sociale medier?
Ja, hvis billederne indeholder personoplysninger. Billeder, lyde og film kan være personoplysninger. Kravet er, at det skal være muligt at identificere personen.
Det betyder, at enhver, der offentliggør indhold på sociale medier, der er klassificeret som personoplysninger i henhold til GDPR, skal overholde GDPR, selvom det er til privat brug. Personen skal f.eks. have et retsgrundlag for behandlingen.
Gælder GDPR's private undtagelse for brugen af sociale medier til private formål?
Den private undtagelse i GDPR betyder, at fysiske personer, der behandler personoplysninger i forbindelse med deres husstand eller til rent privat brug, ikke skal overholde reglerne i GDPR. Undtagelsen finder dog ikke anvendelse, hvis en person offentliggør personoplysninger (f.eks. et billede af en person) på sociale medier, da de formidles til et bredere publikum. Det mener den svenske tilsynsmyndighed. De private undtagelser kan dog gælde, hvis f.eks. en person har en lukket profil, hvor kun hans eller hendes følgere kan se indholdet, og personen kun har sin familie som følger. Det samme kan være tilfældet, hvis en person offentliggør billeder af deres venner til et begrænset antal mennesker. Det er med andre ord et spørgsmål om formidling med henblik på at afgøre, om den private fritagelse finder anvendelse.
Et eksempel på, hvornår den private fritagelse finder anvendelse
Hvis en privatperson har en fysisk eller digital adressebog derhjemme med personoplysninger om slægtninge/venner (f.eks. navn, telefonnummer og adresse).
Mere om GDPR
Behandling af personoplysninger via hjemmesiden
Mange virksomheder har i dag en hjemmeside, og det er ikke ualmindeligt at behandle personoplysninger via den. For eksempel, hvis webstedet indeholder billeder af medarbejdere, har kontaktformularer, som besøgende kan bruge til at sende beskeder til virksomheden, bruger cookies eller lignende. Virksomhederne bør desuden offentliggøre deres meddelelse om beskyttelse af personoplysninger på webstedet, så brugerne let kan finde oplysninger om behandlingen af personoplysninger.