Lärarförbundet

GDPR och sociala medier: ”Nu krävs försiktighet, ordning och reda”

Katarina Ladenfors, advokat och GDPR-specialist.

Katarina Ladenfors, advokat och GDPR-specialist.

25 maj infördes GDPR vilket ökat människors personliga integritet. Som organisation måste Lärarförbundet ta större ansvar för att personuppgifter hanteras rätt. Advokat Katarina Ladenfors förklarar vad detta betyder för medlemmar och dig som publicerar på Lärarförbundets webb och sociala medier.

Att vara medlem i ett fackförbund räknas som en känslig personuppgift.

Katarina Ladenfors menar att för de företag, myndigheter, organisationer som inte efterlevde personuppgiftslagen (PuL) - vilka är många - har GDPR inneburit ett omfattande omtag. Att det måste finnas rutiner och dokumentation på plats att visa upp om Datainspektionen knackar på dörren – annars kan det bli dyrt. - Nu har försiktighet, ordning och reda blivit mycket viktigare när det gäller personuppgiftshantering.

Vad är en personuppgift?

- Alla upplysningar som kan identifiera en person - ett personnummer, en bild, en film, video, en ljudfil, liksom ett registreringsnummer på en bil etc.

Vad är viktigt att tänka på man publicerar på Lärarförbundets webb och i sociala mediersom nu när den nya dataskyddsförordningen (GDPR) trätt i kraft. Och vad får det för följd för våra medlemmar och följare?

- Framför allt innebär den nya dataskyddsförordningen stora förändringar när Lärarförbundet publicerar bilder och filmer i sina digitala kanaler, eller har namn i löpande text. Nu krävs att all publicering av personuppgifter vilar på en rättslig grund. Tidigare har myndigheter och organisationer kunnat publicera bilder etc. med den s.k missbruksregeln som undantag och förklaring. Men det går inte längre, eftersom den upphörde att gälla när GDPR infördes.

- Via missbruksregeln kunde organisationer och myndigheter komma undan med att använda enklare regler för att behandla personuppgifter i ostrukturerat material. Det kan vara information om personer i e-post, på internet eller i en enkel lista på datorn, men även vid publicering av bilder och filmer där människor syns.

- Men när regeln nu är borta gäller samma hårda regler för hantering av personuppgifter i databaser och ärendehanteringssystem även för bildpublicering och film. Det innebär att ni på Lärarförbundet måste ha den rättsliga grunden för personuppgiftsbehandlingen klar för er, liksom att ni måste informera de berörda personerna (de registrerade) och att ni för register över era personuppgiftsbehandlingar.

- Samma regler och rutiner gäller för publicering på webb, nyhetsbrev och i sociala medier enligt den nya dataskyddsförordningen.

När krävs samtycke om publicering av personuppgifter i sociala medier och digitala kanaler?

- Det krävs alltid en rättslig grund vid behandling av personuppgifter, som publicering, men samtycke är bara en av sex möjliga rättsliga grunder. Övriga är (2) avtal, (3) uppgift av berättigat intresse (allmänt intresse) eller myndighetsutövning, (4) skydd för grundläggande intresse, (5) rättslig förpliktelse som följer av lagar och regler, liksom (6) en intresseavvägning.

- Viktigt att tänka på är att de registrerade måste informeras enligt GDPR och att det finns upprättade rutiner för behandlingen som omfattar bland annat gallring (red anm. att man tar bort uppgiften). De interna rutinerna ska vara korrekta och kunna visas upp om Lärarförbundet får en granskning.

Vad är plattformens ansvar, exempelvis Instagram, Facebook och Twitter, för vad som publiceras där?

- Lärarförbundet sluter ett avtal med plattformen (systemoperatören) via användarvillkoren. I praktiken innebär det att exempelvis Facebook lägger över allt ansvar på användaren – den med ett konto.

Vad har Lärarförbundet för ansvar på exempelvis Facebook, Instagram Twitter

- Ni är ansvariga för vad som publiceras i era sociala kanaler och att ni följer dataskyddsförordningen fullt ut. Att det ni publicerar är lagligt och att ni har tillstånd att publicera materialet. Särskilt när ni kan påverka innehållet, som på Facebook där man kan stänga av kommentarfältet och kan ta bort meddelanden som exempelvis innebär hets mot folkgrupp enligt lagen om elektroniska anslagstavlor (BBS-lagen).

Vad kan vi publicera?

- Om det gäller en bild, kolla om ni har samtycke från den berörda på bilden eller modellavtal som tillåter publicering. Och när det gäller bilder och upphovsrätt från fotografens sida måste ni se till att avtalen med hen och underleverantörer även gäller sociala medier.

- Och att notera för exempelvis Facebook innebär användarvillkoren att de bilder ni publicerar där överlåts till det sociala mediet, särskilt när bilderna delats på forumet.

Vad gäller vid eventbilder (eller mingelbilder i GDPR-sammanhang)?

- Många områden kring GDPR är ännu oklara i praktiken men Datainspektionen har kommit med en vägledning kring publicering av mingelbilder. De menar att det kan vara svårt och krångligt att inhämta samtycke från alla som deltagit på exempelvis ett företagsevent.

- Om syftet med bildpubliceringen är att informera om verksamheten kan den rättsliga grunden för organisationer och privata företag vara intresseavvägning. Och för att det ska vara ok måste företagets intresse av att publicera bilderna - som verksamhetsinformation - väga tyngre än personuppgiftsskyddet för personerna på bilderna.

- Vidare gäller att företaget ska dokumentera hur de har resonerat vid valet av juridisk grund och att det tas upp i den interna dataskyddspolicyn som företaget/myndigheten ska kunna visa upp vid en eventuell granskning.

- Dataskyddsförordningen kräver också att de berörda besökarna på eventet informeras att deras personuppgifter, alltså bilderna, kan komma att användas som kommunikation på webbplatsen och att de har möjlighet att invända mot det. Information om vem som är personuppgiftsansvarig och vem som ska kontaktas vid en eventuell invändning måste också förmedlas.

- Och företaget/myndigheten måste vara förberedda på att om någon identifierar sig själv och vill utöva sina rättigheter, exempelvis inte vill synas, så gäller dennes rättigheter enligt förordningen.

När har man som privatperson rätt att bli bortglömd på sociala medier?

- Du har rätt att begära att bli glömd om behandlingen sker på en rättslig grund som tillåter radering. Om behandlingen sker enligt lag eller enligt myndighetsutövning kan du inte bli glömd.

Kommentera artikeln!

Med ett konto på lararforbundet.se kan du kommentera, spara och söka bland mer än 30 000 artikler. För alla lärare är lika viktiga - även de som inte är medlemmar i vårt fackförbund (ännu).

Bli medlem

eller logga in här