Fråga: Sociala medier och GDPR
Hej, vi är ett företag som planerar att använda våra sociala medier och hemsida till att sprida information om vår affärsidé och medarbetare. Det har dykt upp frågor om vi ens får publicera bilder från företagsevent och inlägg om våra anställda enligt GDPR. Vilka krav ställer GDPR vid publicering på sociala medier?
Legalbuddy svarar

Tack för att du vänder dig till oss med din fråga!


Det som är särskilt viktigt att tänka på vid användandet av sociala medier är att bilder och inlägg som publiceras kan utgöra personuppgifter och då krävs att behandlingen följer Dataskyddsförordningens (GDPR) regler. Exempel på situationer som omfattas av GDPR är när företag publicerar bilder från ett företagsevent eller presenterar anställda i inlägg på sociala medier. Som utgångspunkt är företaget som publicerar personuppgiftsansvarig för publiceringen vilket innebär att de krävs en rättslig grund. Dessutom måste företaget efterleva de grundläggande dataskyddsprinciperna och respektera den enskildes rättigheter.


Rättslig grund för behandlingen.

De rättsliga grunderna som är närmast till hands för företags publicering i sociala medier är samtycke och intresseavvägning.


Intresseavvägning – företaget måste visa på ett berättigat behov som väger tyngre än personers rätt till skydd. Dessutom måste ändamålet med publiceringen vara tydligt formulerat och dokumenterad. 


Samtycke – det krävs ett klart och tydligt frivilligt samtycke till att företaget samlar in och publicerar personuppgifter. Det ska även finnas ett ändamål och personuppgifterna får inte användas till något annat utan att nytt samtycke inhämtas.


Bilder från event

Samtycke kan användas som rättslig grund för publicering av bilder från företagsevent, men det kan vara opraktiskt om det är ett stort antal personer som medverkat på bilderna och alla måste tillfrågas. Om syftet är att informera om företagets verksamhet är det lämpligare att använda intresseavvägning som rättslig grund. Men det kräver att företagets intresse av att publicera bilder och inlägg väger tyngre än personernas intresse av skydd för sina personuppgifter.


Information om anställda på sociala medier eller webbplats

Att använda samtycke som rättslig grund kan bli problematiskt i anställningsförhållanden, då det råder ett beroendeförhållande mellan anställda och arbetsgivare. Det blir därmed svårt att visa att samtycket faktiskt är frivilligt. Även här kan intresseavvägning användas som rättslig grund, speciellt eftersom företaget har ett intresse av att informera kunder och intressenter om deras anställda.


Följa de grundläggande principerna

Den personuppgiftsansvarige är skyldig att följa de grundläggande dataskyddsprinciperna. Börja med att definiera ett tydligt ändamål för publiceringen av bilder och inlägg i sociala medier. Det kan till exempel vara att informera om och marknadsföra företaget och dess anställda till olika intressenter såsom kunder. Behandlingen av bilderna måste sedan hålla sig inom det givna ändamålet, och det är därför inte tillåtet att senare behandla personuppgifterna för andra syften. Samla inte in mer uppgifter än vad som behövs utifrån ändamålet och lagra dem inte längre än nödvändigt.


Den enskildes rättigheter

Den enskilde har rätt till information. För företag innebär det att man tydligt måste informera om att bilder som tas på event kan komma att publiceras på sociala medier och hemsidan samt att enskilda alltid har rätt att invända mot publiceringen. Det kräver att information om hur de ska gå tillväga och vem de ska kontakta måste lämnas.


Om den enskilde invänder mot publiceringen av bilder ska en ny intresseavvägning göras. Om personens intresse av skydd för sin personliga integritet väger tyngre än företagets intresse av publiceringen måste dessa inlägg och bilder tas bort omedelbart.


Den enskilde har alltid rätt att när som helst invända mot att personuppgifter används för direkt marknadsföring. Vid en invändning får personuppgifterna inte längre behandlas för sådana ändamål.


Rekommendation

Sammanfattningsvis, företaget är personuppgiftsansvariga och därmed bör ni börja med att konkretisera ändamålet med inlägg på sociala medier eller hemsidan. Om ni ska fotografera på event är ni skyldiga att informera om att fotografering sker på eventet och att bilderna kan användas på företagets sociala medier.


Därefter bör ni fundera på om samtycke är praktiskt möjligt att inhämta från alla berörda eller om intresseavvägning är ett bättre alternativ. I anställningsförhållanden är det sällan möjligt med samtycke, och då kan intresseavvägning istället användas som rättslig grund. Men den enskildes intresse av skydd kan väga tyngre än företagets intresse av att publicera inlägg och informera om verksamheten. Om så är fallet är behandlingen i strid med GDPR och företaget riskerar en varning och eventuella sanktioner från Datainspektionen. Den enskilde har rätt att invända mot publiceringen av bilder och inlägg, och det är viktigt att informera hur och till vem enskilda ska vända sig.


Har du ytterligare frågor om GDPR är du varmt välkommen att höra av dig till oss!

Behöver ni hjälp med att komma igång med GDPR så rekommenderar vi GDPR starter package som är ett fastpris-paket innehållande viktiga dokument och rådgivning.

Kickstarta ditt GDPR-arbete med ett fastpris-paket med viktiga dokument och rådgivning.

Skapa ett biträdesavtal när du processar data för någon annans räkning. OBS gratistjänst

Kommentarer

Få hjälp med ett GDPR-säkrat biträdesavtal för personuppgifter till fast pris

Friendly image

Finns inte svaret på din fråga?

Skriv till oss så svarar vi inom 5 arbetsdagar.

Ställ en fråga

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan