Vad bör man tänka på för att göra rätt enligt GDPR?
En fråga kring GDPR och att filma och publicera på webben.
Är anställd av en kommun och vi har filmat allmänna platser och konserter i kommunen där det förekommer att privatpersoner syns eller skymtar förbi i filmerna. Filmerna ska publiceras på webben för att visas på t.ex. äldreboenden. Vad behöver vi tänka på för att göra rätt enlig GDPR?
Lawline svarar
Hej,
Tack för att du vänder dig till Lawline med dina fråga!
Den europeiska dataskyddsförordningen (GDPR) är ett komplext och omfattande regelverk som syftar till att stärka rättigheter för enskildas personliga integritet. Då GDPR är materiellt tillämplig behöver samtliga regler tas i beaktande, men utgående från din frågeställning kommer jag att fokusera på de mest centrala delarna av förordningen. Mera information går att finna på Datainspektionens hemsida.
När tillämpas GDPR?
GDPR tillämpas, enligt artikel 2-4 GDPR, på automatiserad behandling av personuppgifter på den europeiska marknaden. En personuppgift vara vilken information som helst som direkt eller indirekt går att länka till en person. En bild eller film kan med andra ord falla under tillämpningsområdet för GDPR.
Viktigt att notera är att GDPR gäller för behandling av personuppgifter, alltså inte enbart publicering. Enligt legaldefinitionen innebär behandling en åtgärd där personuppgifter tex. insamlas, registreras, bearbetas eller framtas. Detta innebär att ni redan vid själva inspelningstillfället har behandlat personuppgifter i GDPRs mening. Redan vid detta tillfälle måste personuppgifterna behandlas såsom förordningen föreskriver.
Vem är personuppgiftsansvarig?
För att det ska vara fråga om en tillåten behandling av personuppgifter måste det finnas ett angivet ändamål med behandlingen. Den som bestämmer ändamålet för behandlingen är även personuppgiftsansvarig och kan ställas till svars för en personuppgiftsbehandling som strider mot GDPR. Personuppgiftsansvarig måste alltså ha en dokumenterad plan för aktiviteter som innefattar behandling av personuppgifter där ändamålet framgår. Personuppgiftsansvarig i ditt fall skulle kunna vara din arbetsgivare, alltså kommunen. Även någon som för personuppgiftsansvariges räkning utför behandling av personuppgifter kan vara ansvarig såsom personuppgiftsbiträde.
Går det att leva upp till dataskyddsprinciperna?
Behandlingen måste även stämma överens med principer för behandling av personuppgifter som framgår av artikel 5 GDPR. Som exempel kan anges principen om ändamålsbegränsning. Principen innebär att personuppgifter endast får användas för ett angivet ändamål och inte i annat sammanhang. För publicering av en film behöver ni särskilt ta ställning till principen om lagringsminimering. Om ni gör bedömningen att ni kan publicera en film där det framgår personuppgifter, behöver ni även överväga att hur länge ni bör förvara de ursprungliga filerna. Enligt GDPR får nämligen inte personuppgifter förvaras under en längre tid än vad som är nödvändigt.
Finns det en rättslig grund för behandling av personuppgifter i artikel 6 GDPR?
För att behandlingen ska vara laglig behöver ni ha rättslig grund enligt artikel 6 GDPR. Ifall ni bedömer att personuppgiftsansvarige hör till den offentliga sektorn (kommunen) utesluts vissa rättsliga grunder, exempelvis samtycke enligt 6(1)a GDPR. Samtycke förutsätter, enligt artikel 7 GDPR, fullständig frivillighet för att vara giltigt. Det offentliga har traditionellt sett ansetts inneha en stark ställning som gör att det är svårt att uppfylla kraven för ett otvetydigt samtycke. Ni måste därför överväga att använda er av en annan rättslig grund. Observera att även intresseavvägning enligt artikel 6(1) f GDPR bortfaller som möjlig rättslig grund då en myndighet fullgör sina uppgifter.
Ni måste kontrollera att det inte är fråga om känsliga personuppgifter i artikel 9 GDPR eftersom sådan behandling är förbjuden och endast kan göras undantagsvis. Om det av filmen framgår uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ställs det alltså ännu högre krav för att det ska vara en laglig behandling.
Även en mängd andra regler aktualiseras så fort GDPR är tillämplig, exempelvis beträffande den registrerades rättigheter, krav på inbyggt dataskydd, register över behandlingar och krav på säkerhet. Som det redan konstaterades inledningsvis är GDPR ett ytterst komplex regelverk. För vidare vägledning rekommenderar jag att du vänder dig till Datainspektionens hemsida eller uppsöker en expert på området.
Vänligen,
