GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Kommunikation

Behandla personuppgifter på webbplatser

Det är vanligt för företag att behandla personuppgifter på webbplatser.

Får företag publicera bilder på sina anställda på webbplatsen?

Det beror på. Att arbetsgivaren publicera en bild på en anställd kan upplevas som integritetskränkande för den anställde. Därför kan det vara bra för arbetsgivaren att först analysera behovet av behandlingen. Inom vissa branscher är det en standard och det brukar därför inte vara några konstigheter att utföra behandlingen. Till exempel mäklarna i en mäklarbyrå. Dessutom kan vissa roller inom ett företag innebära att det kan vara lämpligt att publicera bild och text om personen på webbplatsen. 

Personuppgifter som rör fällande domar i brottmål

Rättslig grund att stödja behandlingen på gällande publicering av bilder på anställda

Measures that companies need to take to comply with GDPR

Berättigat intresse

Berättigat intresse kan vara en lämplig rättslig grund att stödja behandlingen på, om yrkesgruppen eller arbetsrollen är en sådan där man kan förvänta sig detta. Exempelvis personer i kontakt med externa relationer.

What is the definition of anonymised data?

Avtal med registrerad

Om det är nödvändigt för den anställde att ha bild på webbplatsen för att kunna fullgöra sina arbetsuppgifter. Observera att det är bra att tydliggöra detta i avtalet med den anställde.

Sensitive personal data according to GDPR

Samtycke är inte lämpligt

Samtycke är oftast en olämplig rättslig grund att använda när maktförhållandet mellan parterna är ojämlikt, vilket det är mellan arbetsgivare och arbetstagare. Därför bör man inte använda samtycke för att stödja behandlingen gällande publiceringen av bilder på anställda. Däremot kan det vara bra att fråga den anställde, men det är viktigt att i sådana fall ha en annan rättslig grund för behandlingen.

Subjektivt integritetskänsliga personuppgifter

Om bild eller text utgör känsliga personuppgifter

I vissa fall kan bild och/eller text utgöra känsliga personuppgifter. Det kan vara tillåtet att behandla, men reglerna är då striktare.

Behandling av personuppgifter på webbplatser för journalistiskt ändamål

Om behandlingen av personuppgifterna på webbplatsen sker för journalistiskt ändamål, gäller särskilda regler. Då kan det vara tillåtet att behandla bilder, ljudfiler, texter och liknande i arkiv. 

Informationen på webbplatsen kan omfattas av en grundlag om yttrandefrihet

Om det finns en grundlag om yttrandefrihet som reglerar innehållet på en webbplats, gäller inte GDPR i de delarna, eftersom grundlagarna står över GDPR. Till exempel är ett medieföretag ofta skyddat av grundlag om yttrandefrihet. Detsamma gäller om ett företag har fått ett utgivningsbevis från behörig myndighet. 

Integritetsmeddelandet bör finnas tillgänglig och publicerad på webbplatsen

Företag ska informera de registrerade om behandlingen av deras personuppgifter. Det brukar ske i ett integritetsmeddelande, som bör vara publicerat på webbplatsen. I ett integritetsmeddelande ska företag bland annat informera om syftet med behandlingen, hur länge behandlingen sker och vilka rättigheter som de registrerade har m.m. i enlighet med artiklarna 13-14 i GDPR. 

Ett vanligt misstag många företag gör på sina webbplatser

Många företag har en meddelandefunktion på webbplatsen där besökare enkelt kan skicka in frågor eller beställningar. Exempelvis ett kontaktformulär. För att kunna skicka meddelandet behöver webbplatsbesökaren oftast fylla i sina personuppgifter, såsom namn och mejladress, för att företaget ska kunna besvara meddelandet. Ett vanligt misstag är att inte informera om behandlingen av personuppgifterna i samband med att webbplatsbesökaren skickar meddelandet. Informationen om behandlingen bör, om möjligt, tillhandahållas före insamlingen av personuppgifterna. 

Till exempel kan företaget skriva följande text i kontaktformuläret, och placera det före “skicka-knappen”, samt länka till integritetsmeddelandet: “Vi behandlar dina personuppgifter i enlighet med vårt integritetsmeddelande.”

Utgör cookies personuppgifter?

Ja, cookies utgör en personuppgift och därmed gäller reglerna i GDPR vid användning av cookies. 

What is the definition of anonymised data?

Krävs ett aktivt samtycke för frivilliga cookies

För att få använda icke-nödvändiga cookies på webbplatsen, krävs ett samtycke från webbplatsbesökaren. Det ska vara ett aktivt samtycke, vilket bland annat innebär att webbplatsbesökaren själv ska kryssa i samtyckesrutan. Med andra ord ska den inte vara förkryssad. Däremot är det tillåtet för företag att behandla nödvändiga cookies utan ett samtycke.

Mer om GDPR

Skicka personuppgifter via e-post

Det är vanligt för företag att använda e-post som kommunikationsväg. Det utgör en behandling av personuppgifter om e-postadressen eller meddelandeinnehållet innehåller en personuppgift. Vid sådana fall gäller GDPR. Observera att okrypterad e-post inte anses vara tillräckligt säkert vid behandling av integritetskänsliga personuppgifter, såsom känsliga personuppgifter. Exempelvis bör arbetsgivaren inte skicka en lönespecifikation som innehåller information om sjukfrånvaro via okrypterad e-post. 

Vill du lära dig mer?

Klicka här
Rulla till toppen