Personuppgifter - GDPR
Bilder och filmer kan vara personuppgifter
Bilder och filmer kan vara personuppgifter om levande individer förekommer i materialet och omfattas vid sådana fall av GDPR. Detsamma gäller ljudinspelningar som inkluderar en individs röst. Detta är särskilt viktigt för företag att tänka på, innan företaget behandlar personuppgifter i bilder, filmer eller ljudinspelningar.
Bilder och filmer - Vad utgör personuppgifter enligt GDPR?
Personuppgifter avser all information som direkt eller indirekt, ensamt eller i kombination med andra uppgifter, kan bli kopplad till en fysisk levande person. Till exempel ett namn, telefonnummer och personnummer.
Om det går att koppla en bild, film- eller ljudinspelning till en levande person, är det också en personuppgift. Däremot innebär det inte att allt som förekommer i materialet utgör personuppgifter. Observera att det måste gå att identifiera personen. Med andra ord är det möjligt att ”blurra” ansiktet av en individ som förekommer på en bild, eller att någon som är med på bilden inte går att identifiera på grund av någon annan anledning.
Vad gäller om företaget inte kan identifiera personen som förekommer i bilder, videofilmer eller ljudinspelningar?
Om ett företag tar en bild och det förekommer okända personer på bilden, men någon annan skulle kunna identifiera personerna, utgör det fortfarande personuppgifter enligt GDPR. Det spelar alltså ingen roll om företaget kan identifiera personerna eller inte.
Dessutom kan det vara så att en bild är för liten för att kunna avläsa personerna i den, men att man genom teknik kan zooma in och därigenom tydligare se personerna på bilden, så utgör det också en personuppgift.
Kan bilder och filmer innehålla känsliga eller andra integritetskänsliga personuppgifter?
Ja, bilder och filmer kan innehålla känsliga eller andra integritetskänsliga personuppgifter. Det finns fyra grupper av integritetskänsliga personuppgifter i GDPR, varav en av grupperna utgör känsliga personuppgifter. Även fast det är förbjudet att behandla känsliga personuppgifter enligt huvudregeln i artikel 9 i GDPR, finns det några undantag.
Exempel på känsliga personuppgifter är information som avslöjar en individs politiska åsikter. Om en person håller ett tal inför en sluten grupp människor och berättar om sina politiska åsikter i talet, och det går att koppla videoinspelningen eller ljudinspelningen till individen, utgör det en känslig personuppgift.
Publicera bilder och texter på anställda
I vissa fall vill företag publicera bilder med beskrivande texter om sina anställda på till exempel företagets webbplats. Det kan vara känsligt och därför kan det vara bra att fråga den anställde om dennes godkännande innan. Däremot kan man inte använda samtycke som den rättsliga grunden för behandlingen, eftersom maktförhållandet mellan arbetsgivaren och arbetstagaren är ojämlikt.
Avtal med registrerade kan vara en lämplig rättslig grund för att publicera bilder och texter på anställda om det är en del av arbetsuppgiften, såsom för mäklare.
Företaget kan ha ett berättigat intresse av att publicera bilder och beskrivande texter på anställda, om det är vanligt för sådana roller att ha uppgifterna publicerade. Till exempel personerna som sitter i bolagets styrelse eller ledningsgruppen.
Lär dig mer om GDPR
Behandling av integritetskänsliga personuppgifter
Det finns olika kategorier av personuppgifter som företag kan behandla. Ju viktigare personuppgifterna är, desto striktare är säkerhetskraven. Det finns fyra grupper av integritetskänsliga personuppgifter, varav känsliga uppgifter och uppgifter om lagöverträdelser utgör två av dem. Dessa två kategorier omfattas också av specialbestämmelser i GDPR, vilket skiljer från de andra två kategorierna som är personnummer och subjektivt integritetskänsliga uppgifter.