Kan ett företag spara bilder på en databas utan att bryta mot GDPR?

2019-04-22 i PUL/GDPR
FRÅGA
Angående gdpr och integritet. Om man som krogägare har ett typ av system där man scannar id för att kolla äkthet och även "loggar" bilden i 24-timmar på en databas, är det här något som är olagligt?
SVAR

Hej och tack för att du vänder dig till Lawline med din fråga!

Personlig integritet och hur man som företagare ska förhålla sig till GDPR kan vara ganska klurigt. Jag ska ta upp de viktigaste aspekterna som du borde tänka på. Det är svårt att ge ett tydligt "ja" eller "nej" svar på din fråga, eftersom det behövs lite mer information!

Det finns förutsättningar för att få hantera personuppgifter enligt GDPR artikel 5:

1. Bilderna måste hanteras på ett lagligt och korrekt sätt.

Ett exempel på ett lagligt sätt som kan vara aktuellt här, är att man får samtycke från kunden (GDPR artikel 6). Att hanteringen ska vara korrekt är svårare: en sak att tänka på är att hanteringen är rimlig med tanke på nyttan (alltså att ni vill förhindra användningen av förfalskade ID-kort). Här kan man läsa om principen av korrekthet.

2. Det måste finnas ett specifikt syfte med att samla in personuppgifterna.

Ni har ett syfte: nämligen att kontrollera att folk inte använder förfalskade ID-kort. Kunderna måste även meddelas om detta syfte!

3. Man får inte samla in mer uppgifter än de som behövs.

Bilderna måste alltså fylla ett specifikt syfte och detta syfte måste man informera kunderna om. Detta är lite klurigt för mig att avgöra, jag ser syftet med att scanna ID-korten och om bilderna måste sparas för denna åtgärd så finns det ett syfte för att samla in bilderna också. Men om det är ett "extra" steg att spara bilderna, så måste det finnas ett syfte för detta.

4. Uppgifterna ska vara korrekta och uppdaterade.

Eftersom ni hanterar bilder som finns på ID-kort så ser jag inte hur det kan vara ett problem med korrekthet. Det man kanske måste tänka på är ID-kort som är ogiltiga, då kan bilden uppfattas som att inte vara "uppdaterad".

5. Uppgifterna får inte förvaras längre än vad som är nödvändigt.

Detta innebär att om det går att förvara bilderna under en kortare tid, så ska man göra det. Enligt mig så verkar 24h redan som en kort period, men, som sagt så borde man korta ner det om det är möjligt.

6. Uppgifterna måste behandlas på ett säkert sätt.

Jag vet inte om er databas skyddar bilderna från att utomstående kan få tillgång till dem. Exempel på hur ni kan göra skyddet säkert är att det finns lämpliga brandväggar och antivirusskydd.

Sammanfattning:

Svaret är egentligen att det kan vara helt lagligt, men bara om man har följt alla steg som krävs. Det kan vara svårt att avgöra, det säkraste är att ta kontakt med en jurist och be dem undersöka just er situation. Du kan ta kontakt med Lawlines jurister här.

Naturligtvis kan du även skicka in en till fråga, men jag tror att du gjorde rätt i att inte lämna för mycket detaljer eftersom det kan påverka säkerheten. Jag förstår att detta kanske inte känns som ett svar på din fråga, men det är många små detaljer som ska falla plats. Jag tvivlar inte på att detta kommer lösa sig snart i alla fall!

Med vänliga hälsningar,

Alicia Yngstrand
Fick du svar på din fråga?
Kommentera
Relaterat innehåll
Senaste besvarade frågorna inom PUL/GDPR (136)
2019-05-13 Avtalsmall för uthyrning av gäststuga
2019-05-12 Strider TF och YGL mot GDPR?
2019-05-06 Kan vi stämma någon för att ha lagt ut bilder på vårt barn?
2019-04-30 Får bostadsförening sprida personuppgifter?

Alla besvarade frågor (69151)