Är GDPR tillämplig avseende personuppgifter som är att hänföra till en fysisk person med utomeuropeiskt medborgarskap?

2019-11-30 i PUL/GDPR
FRÅGA
Hej! Hur gäller GDPR för en ideell förening som vill posta bilder på sin Facebook-sida? FB-sidan har i dagsläget mindre än 100 följare, men är ju offentlig så vem som helst kan hitta den. Måste jag ha samtycke eller rättslig grund för att få publicera foton med identifierbara personer? Och gör det någon skillnad om personerna på bilderna är afrikaner och bilderna är tagna i ett afrikanskt land (med tanke på att GDPR är en europeisk förordning)?
SVAR

Hej och tack för att du vänder dig till Lawline med din fråga!

GDPR (The General Data Protection Regulation eller Dataskyddsförordningen) ersatte personuppgiftslagen (PuL) i maj 2018. Förordningen syftar bl.a. till att skydda fysiska personers grundläggande fri- och rättigheter och därmed deras rätt till skydd av personuppgifter (artikel 1.1 och 1.2 GDPR). Det är en ganska svåröverskådlig förordning och nedan följer ett försök till en redogörelse av dess tillämpningsområde.

Artikel 2 och 3 GDPR behandlar det materiella tillämpningsområdet (de bestämmelser som reglerar det rättsliga innehållet i förordningen, dvs. ett specifikt rättsförhållande) respektive territoriellt tillämpningsområde (med vilket avses var förordningen ska anses vara tillämplig geografiskt sett).

Förordningen är för det första tillämplig på behandling av personuppgifter där behandlingen helt eller delvis är automatiserad samt med hjälp av annan behandling som inte är automatiserad men där personuppgifter kommer att ingå i ett (vad man här kallar) register. Detta kräver en förklaring av några begrepp:

•Med personuppgifter avses "[v]arje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person direkt eller indirekt kan identifierad särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikationer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet" (artikel 4.1 GDPR). Ett fotografi kan uppfylla en del av dessa rekvisit (dvs. att det många gånger går att identifiera en person med hjälp av gestaltningen), vilket kan göra ett fotografi till en personuppgift.
•Med behandling avses en åtgärd eller en kombination av sådana gällande personuppgifter eller uppsättningar av sådana, oavsett om detta skett på ett automatiserat sätt. Exempel är insamling, registrering, framtagning, användning och kanske mest relevant i ditt fall, spridning genom sociala medier (artikel 4.2 GDPR).
•Med register avses "en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska områden" (artikel 4.6 GDPR).
•Med personuppgiftsansvarig avses bl.a. en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7 GDPR).


Fysiska personer skyddas oavsett medborgarskap och hemvist (skälen 2 och 14 i förordningen). Personerna på bilderna är alltså sådana fysiska personer som lagen avser även om de har utomeuropeiskt medborgarskap och skyddas därför av GDPR, oavsett om de är av afrikansk nationalitet eller är medborgare i en medlemsstat. Kort sagt kan man undanta uppgifter som rör juridiska personer (dvs. företag/näringsidkare), avlidna personer och uppgifter som inte går att hänföra till en person från tillämpningsområdet; i övrigt finns inga direkta begränsningar för vem som anses vara en fysisk person.

För det andra är förordningen tillämplig på behandlingen av personuppgifter där behandlingen sker inom ramen för den verksamhet (t.ex. en ideell förenings verksamhet) som bedrivs på personuppgiftsansvarigas (t.ex. en ideell förening) verksamhetsställen inom unionen; detta oberoende av om behandlingen, t.ex. spridning av bilder på Facebook, skett i Unionen eller inte (artikel 3.1 GDPR).

Kort sagt är GDPR tillämplig när en ideell förening offentligt publicerar bilder (som kan anses vara personuppgifter) på fysiska personer, t.ex. på en publik Facebook-sida. Då gäller, som du säger, att du antingen måste ha samtycke till publiceringen eller så måste publiceringen utgöra en rättslig grund som rättfärdigar behandlingen av personuppgifterna. Uppgifterna måste behandlas på ett lagligt, korrekt och öppet sätt (artikel 5.1 a). Behandlingen anses bara vara laglig om minst ett av villkoren i artikel 6.1 GDPR är uppfyllda, vilket antingen kräver samtycke att personuppgifterna publiceras för det specifika ändamålet eller att någon av de andra villkoren i a)–f) är uppfyllda. Om ni kan motivera publiceringen med att den är nödvändig för sådana ändamål som t.ex. rör den ideella föreningens eller en tredje parts intressen, och att de intressen och rättigheter som tillkommer den som personuppgifterna rör inte väger tyngre än det, så kan det alltså föreligga en rättslig grund som gör behandlingen av personuppgifterna laglig.

Hoppas att du fick svar på din fråga!

Med vänlig hälsning,

Caroline Hallén Lindqvist
Fick du svar på din fråga?
Relaterat innehåll
Senaste besvarade frågorna inom PUL/GDPR (162)
2019-12-08 Bilder av personer på allmän plats
2019-12-07 Min praktikplats har begärt ut mitt brottsregister - Kan de det?
2019-11-30 Är GDPR tillämplig avseende personuppgifter som är att hänföra till en fysisk person med utomeuropeiskt medborgarskap?
2019-11-29 Grupparbete i privatjuridik

Alla besvarade frågor (75477)